Par une d\u00e9lib\u00e9ration du 22 d\u00e9cembre 2025, la Commission nationale de l\u2019informatique et des libert\u00e9s (ci-apr\u00e8s \u00ab la Cnil \u00bb) a inflig\u00e9 une amende de 1,7 million d\u2019euros \u00e0 la soci\u00e9t\u00e9 Nexpublica France (anciennement Inetum) pour des manquements graves \u00e0 son obligation de s\u00e9curit\u00e9 des donn\u00e9es personnelles. Cette sanction concerne un logiciel de gestion des usagers utilis\u00e9 dans le secteur de l\u2019action sociale et rappelle avec force que la protection des donn\u00e9es, en particulier lorsqu\u2019elles concernent des personnes vuln\u00e9rables, constitue une exigence centrale du R\u00e8glement g\u00e9n\u00e9ral sur la protection des donn\u00e9es (ci-apr\u00e8s \u00ab\u00a0le RGPD\u00a0\u00bb).\u00a0<\/p>\n\n\n\n
La s\u00e9curit\u00e9 des donn\u00e9es personnelles repose sur l\u2019ensemble des mesures techniques et organisationnelles destin\u00e9es \u00e0 pr\u00e9venir les acc\u00e8s non autoris\u00e9s, les divulgations accidentelles ou illicites, ainsi que toute alt\u00e9ration ou perte d\u2019informations. Le RGPD consacre cette exigence \u00e0 son article 32<\/a>, qui impose aux responsables de traitement et \u00e0 leurs sous-traitants de garantir un niveau de s\u00e9curit\u00e9 adapt\u00e9 aux risques, compte tenu notamment de la nature des donn\u00e9es trait\u00e9es et des personnes concern\u00e9es. <\/p>\n\n\n\n Lorsque ces obligations ne sont pas respect\u00e9es, les cons\u00e9quences peuvent \u00eatre particuli\u00e8rement graves, tant pour la vie priv\u00e9e des personnes que pour la confiance accord\u00e9e aux services num\u00e9riques, en particulier dans les secteurs sensibles tels que l\u2019action sociale ou m\u00e9dico-sociale.\u00a0<\/p>\n\n\n\n L\u2019affaire<\/a> trouve son origine \u00e0 la fin du mois de novembre 2022, lorsque plusieurs clients du logiciel PCRM, un progiciel de gestion de la relation avec les usagers d\u00e9velopp\u00e9 par Nexpublica France, ont alert\u00e9 la Cnil. Ils avaient constat\u00e9 que certains usagers pouvaient acc\u00e9der \u00e0 des documents contenant des informations relatives \u00e0 d\u2019autres personnes, en dehors de toute autorisation l\u00e9gitime. <\/p>\n\n\n\n Les contr\u00f4les men\u00e9s par la Cnil ont mis en \u00e9vidence des vuln\u00e9rabilit\u00e9s structurelles affectant l\u2019architecture et l\u2019organisation des donn\u00e9es du logiciel. Ces failles permettaient des acc\u00e8s non autoris\u00e9s \u00e0 des documents confidentiels, sans que des mesures de cloisonnement ou de restriction ad\u00e9quates n\u2019aient \u00e9t\u00e9 mises en place.\u00a0<\/p>\n\n\n\n \u00c0 l\u2019issue de la proc\u00e9dure, la formation restreinte de la Cnil \u2014 l\u2019organe charg\u00e9 de prononcer les sanctions \u2014 a retenu plusieurs manquements aux obligations issues du RGPD. Il a notamment \u00e9t\u00e9 reproch\u00e9 \u00e0 Nexpublica France de ne pas avoir mis en \u0153uvre des mesures de s\u00e9curit\u00e9 adapt\u00e9es au regard des risques encourus, ainsi que de ne pas avoir assur\u00e9 un niveau suffisant de protection des donn\u00e9es par des mesures techniques et organisationnelles appropri\u00e9es. <\/p>\n\n\n\n La Cnil a consid\u00e9r\u00e9 que ces insuffisances r\u00e9v\u00e9laient une n\u00e9gligence de principes \u00e9l\u00e9mentaires de protection des donn\u00e9es, d\u2019autant plus pr\u00e9occupante que le logiciel concern\u00e9 \u00e9tait destin\u00e9 \u00e0 accompagner des services publics intervenant aupr\u00e8s de populations vuln\u00e9rables.\u00a0<\/p>\n\n\n\n Les donn\u00e9es concern\u00e9es par les failles de s\u00e9curit\u00e9 n\u2019\u00e9taient pas anodines. Certaines r\u00e9v\u00e9laient des informations sensibles, notamment en lien avec des situations de handicap ou de pr\u00e9carit\u00e9, trait\u00e9es dans le cadre de dispositifs d\u2019accompagnement social. L\u2019exposition de telles donn\u00e9es \u00e0 des tiers non autoris\u00e9s porte atteinte \u00e0 la confidentialit\u00e9 des personnes concern\u00e9es et peut entra\u00eener des cons\u00e9quences lourdes sur leur vie priv\u00e9e.<\/p>\n\n\n\n Dans ce contexte, la Cnil a estim\u00e9 que la gravit\u00e9 des manquements, l\u2019ampleur de l\u2019exposition des donn\u00e9es et la nature des informations trait\u00e9es justifiaient une sanction financi\u00e8re significative, tenant \u00e9galement compte de la situation \u00e9conomique de l\u2019entreprise.<\/p>\n\n\n\n Cette d\u00e9cision s\u2019inscrit dans une s\u00e9rie de sanctions prononc\u00e9es par la Cnil ces derni\u00e8res ann\u00e9es pour des manquements \u00e0 l\u2019obligation de s\u00e9curit\u00e9 des donn\u00e9es. Elle confirme une ligne constante de l\u2019autorit\u00e9 de contr\u00f4le : la s\u00e9curit\u00e9 ne constitue pas une exigence secondaire ou accessoire, mais une obligation fondamentale du RGPD, dont la m\u00e9connaissance expose les acteurs \u00e0 des sanctions substantielles. <\/p>\n\n\n\n \u00c0 l\u2019heure o\u00f9 les enjeux de cybers\u00e9curit\u00e9 et de protection de la vie priv\u00e9e occupent une place croissante, la Cnil rappelle ainsi que les responsables de traitement et leurs prestataires doivent placer la confidentialit\u00e9, l\u2019int\u00e9grit\u00e9 et la disponibilit\u00e9 des donn\u00e9es personnelles au c\u0153ur de leurs dispositifs techniques et organisationnels.<\/p>\n\n\n\n Par LOCK-T\u202f\u202f <\/p>\n\n\n\n Avec la participation de Divine ANTONIO, stagiaire\u202f<\/p>\n\n\n\n <\/p>\n","protected":false},"excerpt":{"rendered":" Par une d\u00e9lib\u00e9ration du 22 d\u00e9cembre 2025, la Commission nationale de l\u2019informatique et des libert\u00e9s (ci-apr\u00e8s \u00ab la Cnil \u00bb) a inflig\u00e9 une amende de 1,7 million d\u2019euros \u00e0 la soci\u00e9t\u00e9 Nexpublica France (anciennement Inetum) pour des manquements graves \u00e0 son obligation de s\u00e9curit\u00e9 des donn\u00e9es personnelles. Cette sanction concerne un logiciel de gestion des … Read more<\/a><\/p>\n","protected":false},"author":1,"featured_media":395,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[33],"tags":[],"type_ressource":[19],"class_list":["post-394","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cnil","type_ressource-articles"],"_links":{"self":[{"href":"https:\/\/www.lock-t-avocat.com\/index.php\/wp-json\/wp\/v2\/posts\/394","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.lock-t-avocat.com\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.lock-t-avocat.com\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.lock-t-avocat.com\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.lock-t-avocat.com\/index.php\/wp-json\/wp\/v2\/comments?post=394"}],"version-history":[{"count":1,"href":"https:\/\/www.lock-t-avocat.com\/index.php\/wp-json\/wp\/v2\/posts\/394\/revisions"}],"predecessor-version":[{"id":396,"href":"https:\/\/www.lock-t-avocat.com\/index.php\/wp-json\/wp\/v2\/posts\/394\/revisions\/396"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.lock-t-avocat.com\/index.php\/wp-json\/wp\/v2\/media\/395"}],"wp:attachment":[{"href":"https:\/\/www.lock-t-avocat.com\/index.php\/wp-json\/wp\/v2\/media?parent=394"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.lock-t-avocat.com\/index.php\/wp-json\/wp\/v2\/categories?post=394"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.lock-t-avocat.com\/index.php\/wp-json\/wp\/v2\/tags?post=394"},{"taxonomy":"type_ressource","embeddable":true,"href":"https:\/\/www.lock-t-avocat.com\/index.php\/wp-json\/wp\/v2\/type_ressource?post=394"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Des alertes r\u00e9v\u00e9lant des failles structurelles du logiciel<\/h2>\n\n\n\n
Des manquements caract\u00e9ris\u00e9s aux exigences de s\u00e9curit\u00e9<\/h2>\n\n\n\n
Des donn\u00e9es sensibles et des personnes particuli\u00e8rement vuln\u00e9rables<\/h2>\n\n\n\n
Une sanction inscrite dans une dynamique r\u00e9pressive renforc\u00e9e<\/h2>\n\n\n\n