La société NEXPUBLICA France, spécialisée dans la conception de systèmes et logiciels informatiques, développe le progiciel PCRM, utilisé notamment par des maisons départementales des personnes handicapées (MDPH). Fin 2022, plusieurs violations de données personnelles ont été notifiées à la CNIL après que des usagers ont signalé avoir eu accès, via le portail, à des documents concernant des tiers. Les contrôles menés par la CNIL ont révélé l'insuffisance des mesures techniques et organisationnelles mises en œuvre pour assurer la sécurité des données traitées par le logiciel PCRM.
Sur le manquement à l’obligation d’assurer la sécurité des données personnelles
Conformément à l’article 32 du RGPD, le responsable de traitement doit mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque pour les droits et libertés des personnes physiques, tenant compte de l’état des connaissances et de la nature des données traitées.
En l’espèce, les contrôles ont révélé une faiblesse généralisée du système d'information. Constatant que les vulnérabilités identifiées relevaient d'une méconnaissance de principes élémentaires en matière de sécurité et étaient connues par la société grâce à plusieurs rapports d'audit, la CNIL a considéré que la société a fait preuve de négligence en laissant perdurer ces failles. Malgré ces alertes, les corrections n'ont été apportées qu'après que les violations de données aient eu lieu, manquement d'autant plus grave que la société est spécialisée dans le conseil en systèmes informatiques.
Bien que la société se soit depuis mise en conformité, la CNIL a prononcé à son encontre une amende de 1,7 million d'Euros, tenant compte de la méconnaissance de principes élémentaires, du nombre de personnes concernées et de la sensibilité des données traitées (révélant un handicap).
Source : Délibération SAN-2025-015 du 22 décembre 2025
Découvrir les actualités :
- département avant Propriété intellectuelle & Nouvelles Technologies département après