La société Nexpublica France sanctionnée par la Cnil
Nexpublica France a développé le progiciel PCRM, un outil de gestion de la relation avec les usagers dans le domaine de l’action sociale, notamment pour certaines Maisons départementales des personnes handicapées (MDPH).
Des notifications de violation de données personnelles ont été adressées fin novembre 2022 par des clients de la société. Selon la Cnil, des usagers du portail avaient signalé avoir accès à des documents concernant des tiers. Les contrôles de la Cnil ont montré l’insuffisance des mesures techniques et organisationnelles mises en œuvre pour assurer la sécurité des données traitées au travers du logiciel PCRM.
La Cnil rappelle que l’article 32 du RGPD prévoit que le responsable de traitement et le sous-traitant doivent « mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque », tenant compte « de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques […] pour les droits et libertés des personnes physiques ».
La Cnil s’est prononcée le 22 décembre, lors de la délibération de la formation restreinte chargée des sanctions, en considérant que la société ne s’est pas conformée à ces exigences pour la mise en œuvre de son PCRM compte tenu de la faiblesse généralisée du système d’information et de la négligence dont elle a fait preuve en laissant perdurer des problèmes structurels de sécurité.
La Cnil a notamment établi que les vulnérabilités constatées dans le PCRM non seulement relevaient pour la plupart d’une méconnaissance de l’état de l’art et de principes élémentaires en matière de sécurité, mais étaient par ailleurs connues et identifiées par la société grâce à plusieurs rapports d’audits. Le fait que la société soit spécialisée dans le conseil en systèmes et logiciels informatiques a été considéré comme une circonstance aggravante. Les failles n’auraient été corrigées qu’après les violations de données.
La société Nexpublica France est ainsi sanctionnée par une amende de 1 700 000 euros compte tenu des capacités financières de la société, de la méconnaissance de principes élémentaires en matière de sécurité, du nombre de personnes concernées et de la sensibilité des données traitées (révélant en particulier un handicap). La société ayant apporté les correctifs nécessaires à la suite des violations de données, aucune injonction de mise en conformité n’a donc été prononcée à son encontre.
Avez-vous apprécié ce contenu ?
A lire également.
Comment quantifier un risque
31 mars 2026 - 08:06,
Tribune
-Après avoir expliqué qu’une PSSI et une appréciation des risques ne servaient à rien (ici 1) -mais un peu quand même -, intéressons-nous à un autre sujet brûlant qui déchaîne les passions, pire que JR (2) et la fin du Prisonnier (3) : la quantification du risque.
Publication d’un corpus inédit de comptes rendus médicaux fictifs en open data pour accélérer l’IA en santé
26 mars 2026 - 19:08,
Actualité
- Rédaction, DSIHDans un contexte réglementaire européen exigeant, qui garantit un accès et un partage sécurisés des données de santé, le projet PARTAGES apporte une réponse opérationnelle aux défis posés à l’IA en santé. Coordonné par la Plateforme des données de santé (Health Data Hub) et réunissant 32 partenaires...
Mise en place du Registre national des cancers
06 jan. 2026 - 07:54,
Actualité
- Damien Dubois, DSIHUn décret du Conseil d’État, paru le 28 décembre, fixe les modalités de mise en œuvre du Registre national des cancers. La loi du 30 juin 2025 confiait le pilotage et la production des données d’épidémiologie et de soins à l’Institut national du cancer.
Ouverture de l’appel à projets de la deuxième phase du programme Hop’en 2
12 jan. 2026 - 22:00,
Actualité
- Damien DuboisLe 7 janvier 2026, le ministère chargé de la Santé a annoncé le lancement de la deuxième phase du programme Hop’en. Les candidatures sont ouvertes jusqu’au 13 février prochain.
