Publicité en cours de chargement...
La société Nexpublica France sanctionnée par la Cnil
Nexpublica France a développé le progiciel PCRM, un outil de gestion de la relation avec les usagers dans le domaine de l’action sociale, notamment pour certaines Maisons départementales des personnes handicapées (MDPH).
Des notifications de violation de données personnelles ont été adressées fin novembre 2022 par des clients de la société. Selon la Cnil, des usagers du portail avaient signalé avoir accès à des documents concernant des tiers. Les contrôles de la Cnil ont montré l’insuffisance des mesures techniques et organisationnelles mises en œuvre pour assurer la sécurité des données traitées au travers du logiciel PCRM.
La Cnil rappelle que l’article 32 du RGPD prévoit que le responsable de traitement et le sous-traitant doivent « mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque », tenant compte « de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques […] pour les droits et libertés des personnes physiques ».
La Cnil s’est prononcée le 22 décembre, lors de la délibération de la formation restreinte chargée des sanctions, en considérant que la société ne s’est pas conformée à ces exigences pour la mise en œuvre de son PCRM compte tenu de la faiblesse généralisée du système d’information et de la négligence dont elle a fait preuve en laissant perdurer des problèmes structurels de sécurité.
La Cnil a notamment établi que les vulnérabilités constatées dans le PCRM non seulement relevaient pour la plupart d’une méconnaissance de l’état de l’art et de principes élémentaires en matière de sécurité, mais étaient par ailleurs connues et identifiées par la société grâce à plusieurs rapports d’audits. Le fait que la société soit spécialisée dans le conseil en systèmes et logiciels informatiques a été considéré comme une circonstance aggravante. Les failles n’auraient été corrigées qu’après les violations de données.
La société Nexpublica France est ainsi sanctionnée par une amende de 1 700 000 euros compte tenu des capacités financières de la société, de la méconnaissance de principes élémentaires en matière de sécurité, du nombre de personnes concernées et de la sensibilité des données traitées (révélant en particulier un handicap). La société ayant apporté les correctifs nécessaires à la suite des violations de données, aucune injonction de mise en conformité n’a donc été prononcée à son encontre.
Avez-vous apprécié ce contenu ?
A lire également.
Évaluation des ESSMS : la HAS précise son système de cotation
09 jan. 2026 - 10:46,
Actualité
- Rédaction, DSIHDans le cadre de l’amélioration continue du dispositif d’évaluation de la qualité des établissements et services sociaux et médico-sociaux (ESSMS), la Haute Autorité de Santé (HAS) apporte des précisions sur le système de cotation. Ces évolutions visent à sécuriser les pratiques d’évaluation et à re...
Contract Management : rigueur et dialogue au service des établissements de santé
15 déc. 2025 - 16:10,
Tribune
-Face à la pression financière croissante, la réduction des dépenses est devenue une priorité pour les établissements de santé. Dans ce contexte, maîtriser les engagements existants et éviter toute dérive est indispensable. C’est là qu’intervient le contract management, véritable outil stratégique po...
Computer Engineering : bilan et perspectives
15 déc. 2025 - 10:34,
Communiqué
- Computer EngineeringLa fin d’année est toujours un moment propice pour mesurer le chemin parcouru. 52 semaines, c’est court et long à la fois, surtout lorsqu’on multiplie les projets et la croissance, comme c’est le cas pour l’éditeur d’applications biomédicales.
Le GHT Lorraine Nord choisit Numih France pour déployer son Dossier Patient Informatisé de Territoire Sillage
08 déc. 2025 - 21:58,
Communiqué
- Numih FranceLe Groupement Hospitalier de Territoire (GHT) Lorraine Nord a officiellement retenu Numih France pour la mise en œuvre de son Dossier Patient Informatisé (DPI) de Territoire : Sillage.. Ce choix marque une étape stratégique majeure pour la transformation numérique de l’offre de soins sur l’ensemble ...
