Publicité en cours de chargement...
La société Nexpublica France sanctionnée par la Cnil
Nexpublica France a développé le progiciel PCRM, un outil de gestion de la relation avec les usagers dans le domaine de l’action sociale, notamment pour certaines Maisons départementales des personnes handicapées (MDPH).
Des notifications de violation de données personnelles ont été adressées fin novembre 2022 par des clients de la société. Selon la Cnil, des usagers du portail avaient signalé avoir accès à des documents concernant des tiers. Les contrôles de la Cnil ont montré l’insuffisance des mesures techniques et organisationnelles mises en œuvre pour assurer la sécurité des données traitées au travers du logiciel PCRM.
La Cnil rappelle que l’article 32 du RGPD prévoit que le responsable de traitement et le sous-traitant doivent « mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque », tenant compte « de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques […] pour les droits et libertés des personnes physiques ».
La Cnil s’est prononcée le 22 décembre, lors de la délibération de la formation restreinte chargée des sanctions, en considérant que la société ne s’est pas conformée à ces exigences pour la mise en œuvre de son PCRM compte tenu de la faiblesse généralisée du système d’information et de la négligence dont elle a fait preuve en laissant perdurer des problèmes structurels de sécurité.
La Cnil a notamment établi que les vulnérabilités constatées dans le PCRM non seulement relevaient pour la plupart d’une méconnaissance de l’état de l’art et de principes élémentaires en matière de sécurité, mais étaient par ailleurs connues et identifiées par la société grâce à plusieurs rapports d’audits. Le fait que la société soit spécialisée dans le conseil en systèmes et logiciels informatiques a été considéré comme une circonstance aggravante. Les failles n’auraient été corrigées qu’après les violations de données.
La société Nexpublica France est ainsi sanctionnée par une amende de 1 700 000 euros compte tenu des capacités financières de la société, de la méconnaissance de principes élémentaires en matière de sécurité, du nombre de personnes concernées et de la sensibilité des données traitées (révélant en particulier un handicap). La société ayant apporté les correctifs nécessaires à la suite des violations de données, aucune injonction de mise en conformité n’a donc été prononcée à son encontre.
Avez-vous apprécié ce contenu ?
A lire également.
Piloter la performance par la Data : l’Anap lance une offre globale
09 mars 2026 - 19:08,
Communiqué
- l’AnapFace aux enjeux de performance et de soutenabilité financière, la donnée est une ressource clé pour renforcer le pilotage des établissements. Lors d’une webconférence avec près de 850 participants, l’Anap a présenté « Votre Cockpit DATA » une plateforme gratuite qui permet aux établissements de retr...
Le DPI Sillage obtient le référencement Ségur V2
23 fév. 2026 - 19:34,
Communiqué
- Numih FranceCe vendredi 20 février 2026, l’Agence du Numérique en Santé (ANS) a confirmé le référencement Ségur V2 du Dossier Patient Informatisé Sillage 26.1* (Couloir Hôpital DPI) développé par Numih France. Sillage compte désormais parmi les DPI référencés Ségur V2 au niveau national, dans un contexte où la ...
Contract Management : rigueur et dialogue au service des établissements de santé
15 déc. 2025 - 16:10,
Tribune
-Face à la pression financière croissante, la réduction des dépenses est devenue une priorité pour les établissements de santé. Dans ce contexte, maîtriser les engagements existants et éviter toute dérive est indispensable. C’est là qu’intervient le contract management, véritable outil stratégique po...
Equasens renforce sa stratégie de formation digitale avec l’acquisition majoritaire d’Erevo
09 jan. 2026 - 10:23,
Brève
- Rédaction, DSIHLe groupe Equasens poursuit le renforcement de son positionnement dans les services numériques à destination des professionnels de santé. L’éditeur de solutions logicielles a annoncé, le 5 janvier 2026, l’acquisition de 80 % du capital d’Erevo, acteur français spécialisé dans la formation en ligne p...
