CNIL | SAN-2025-015 | 22 DÉCEMBRE 2025 | AFFAIRE NEXPUBLICA FRANCE |
NEXPUBLICA FRANCE | MONTANT : 1 700 000 EUROS
ANALYSE CRITIQUE MANQUEMENTS FAQ CONSEILS
CONSEILS AUX RESPONSABLES DE TRAITEMENT
A. LES ENSEIGNEMENTS MAJEURS DE LA DÉLIBÉRATION POUR LES RESPONSABLES DE TRAITEMENT
La délibération SAN-2025-015 ne sanctionne pas formellement le responsable de traitement — la MDPH du département du Nord — mais elle constitue, pour l’ensemble des responsables de traitement ayant recours à des sous-traitants éditeurs ou hébergeurs de logiciels, un avertissement d’une portée pratique considérable. Loin de diluer leur responsabilité dans la délégation contractuelle à un sous-traitant réputé compétent, la décision renforce au contraire l’exigence de vigilance active et continue qui pèse sur eux dès la sélection du sous-traitant et tout au long de la relation de sous-traitance.
1. L’OBLIGATION DE SÉLECTION RIGOUREUSE DU SOUS-TRAITANT : DÉPASSER LA COMPLIANCE DOCUMENTAIRE
L’article 28 § 1 du RGPD impose au responsable de traitement de « faire uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées ». Cette obligation de sélection ne se satisfait pas d’une simple déclaration contractuelle du sous-traitant affirmant se conformer au RGPD. Elle exige une vérification concrète, documentée et proportionnée aux risques du traitement envisagé.
Pour les traitements portant sur des données de catégorie spéciale (données de santé, données relatives au handicap au sens des articles 9 et 4 § 15 du RGPD) ou des données à grande échelle, cette vérification préalable doit comprendre :
—-L’examen des certifications et accréditations du sous-traitant pressenti : certification ISO/IEC 27001, qualification PASSI (Prestataires d’Audit de la Sécurité des Systèmes d’Information) de l’ANSSI pour les prestataires d’audit, certification HDS pour les hébergeurs de données de santé en vertu de l’article L. 1111-8 du Code de la santé publique ;
—-La demande de communication des derniers rapports d’audit de sécurité (audit de code, tests d’intrusion) et l’analyse de leur contenu et de leur suivi effectif ;
—-La vérification de l’existence et du contenu d’une politique formalisée de gestion des vulnérabilités, précisant les délais maximaux de correction par niveau de criticité ;
—-L’évaluation de la maturité organisationnelle du sous-traitant en matière de sécurité : existence d’un RSSI dédié, d’un programme de sensibilisation des développeurs, d’une démarche Security by Design dans le cycle de développement.
L’affaire NEXPUBLICA illustre douloureusement les conséquences d’une sélection insuffisamment rigoureuse : le progiciel PCRM a été mis en production le 24 décembre 2019 et les audits de code réalisés en février et décembre 2021 ont d’ores et déjà révélé des vulnérabilités critiques, qui ont ensuite conduit aux violations de novembre 2022. Un audit de sécurité préalable à la mise en production, réalisé par un prestataire indépendant qualifié, aurait vraisemblablement permis d’identifier ces défaillances avant qu’elles n’exposent les données personnelles de plusieurs milliers de personnes vulnérables.
2. LA FORMALISATION CONTRACTUELLE : DÉPASSER LES CLAUSES GÉNÉRIQUES DE L’ARTICLE 28
Le contrat de sous-traitance constitue la pièce maîtresse du dispositif de compliance entre le responsable de traitement et son sous-traitant. L’article 28 § 3 du RGPD en définit le contenu minimum, mais cette liste est insuffisante pour les traitements portant sur des données sensibles. La délibération NEXPUBLICA démontre que des clauses contractuelles insuffisamment précises — telles que la simple mention d’une « obligation de conseil, de mise en garde et de recommandations en termes de sécurité et de mise à l’état de l’art » stipulée dans le CCTP — ne permettent pas au responsable de traitement d’exercer un contrôle effectif sur la qualité des mesures de sécurité déployées.
Le contrat doit comporter une annexe technique de sécurité détaillant explicitement :
—-Les mesures de sécurité techniques mises en œuvre : architecture réseau (segmentation, cloisonnement), authentification multifacteurs pour tous les accès administrateurs et utilisateurs à privilèges, chiffrement des données au repos et en transit avec spécification des algorithmes utilisés (exclusion expresse de SHA-1 et de toute technologie cryptographique qualifiée d’obsolète par l’ANSSI), journalisation active avec mécanismes d’alerte en temps réel conformément à la délibération CNIL n° 2021-122 du 14 octobre 2021 ;
—-Les délais maximaux de correction des vulnérabilités par niveau de criticité, alignés sur les standards ANSSI : 15 jours pour les vulnérabilités critiques (CVSS ≥ 9,0), 30 jours pour les vulnérabilités importantes (CVSS 7,0-8,9), 90 jours pour les vulnérabilités modérées (CVSS 4,0-6,9) ;
—-Les modalités d’audit et de contrôle par le responsable de traitement : droit d’audit annuel sur pièces et sur site, droit d’audit inopinée en cas d’incident grave, prise en charge des coûts d’audit par le sous-traitant en cas de manquement identifié ;
—-Les obligations de reporting : remontée mensuelle des indicateurs de sécurité, transmission immédiate de tout rapport d’audit révélant des vulnérabilités critiques, notification sans délai de toute violation de données au sens de l’article 33 du RGPD ;
—-Les obligations concernant les sous-traitants ultérieurs : obligation d’obtenir l’accord préalable écrit du responsable de traitement, transmission des mêmes niveaux d’exigences, responsabilité solidaire en application de l’article 28 § 4 du RGPD ;
—-Une clause expresse de responsabilité du sous-traitant pour les composants technologiques tiers intégrés dans sa solution, y compris les frameworks open source tels que LIFERAY.
3. L’EXERCICE EFFECTIF DU DROIT D’AUDIT : UNE OBLIGATION, NON UNE OPTION
L’une des leçons les plus pratiques de la délibération NEXPUBLICA tient à l’importance cruciale du droit d’audit prévu par l’article 28 § 3 h) du RGPD, qui impose au sous-traitant de « mettre à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues au présent article et pour permettre la réalisation d’audits, y compris des inspections ».
Ce droit d’audit ne doit pas demeurer lettre morte. Le responsable de traitement qui confie le traitement de données sensibles à un sous-traitant a l’obligation de l’exercer effectivement et régulièrement. En pratique, cela implique :
L’audit préalable à la contractualisation (ou à la mise en production initiale) : réalisation d’un test d’intrusion par un prestataire qualifié PASSI, indépendant du sous-traitant, portant sur l’ensemble de l’application et de l’infrastructure, avant toute mise en production sur des données personnelles réelles. La mise en production du PCRM le 24 décembre 2019 sans audit de sécurité préalable indépendant constitue une lacune majeure dans le présent dossier.
L’audit périodique : réalisation annuelle, au minimum, d’un audit de sécurité incluant tests d’intrusion, revue de configuration et revue de code pour les modifications majeures. Ces audits doivent être réalisés par des prestataires indépendants du sous-traitant, qualifiés PASSI par l’ANSSI pour les systèmes traitant des données particulièrement sensibles.
Le suivi des recommandations : mise en place d’un mécanisme de suivi formalisé permettant de vérifier que toutes les vulnérabilités identifiées par les audits ont été effectivement corrigées dans les délais contractuels. Ce suivi doit faire l’objet d’une documentation rigoureuse, constitutive du dossier de conformité au titre du principe d’accountability prévu par l’article 5 § 2 du RGPD.
4. LA RÉALISATION D’UNE AIPD POUR LES TRAITEMENTS À RISQUE ÉLEVÉ
Pour les traitements portant sur des données de santé et de handicap à grande échelle — tels que ceux mis en œuvre par les MDPH —, la réalisation d’une analyse d’impact relative à la protection des données (AIPD) est obligatoire en vertu de l’article 35 § 3 b) du RGPD, qui impose cette formalité pour « le traitement à grande échelle de catégories particulières de données ». Cette AIPD doit inclure une analyse rigoureuse des risques de sécurité et des mesures prévues pour les atténuer.
La délibération NEXPUBLICA illustre l’importance d’une AIPD suffisamment détaillée en matière de sécurité : si une telle analyse avait été conduite de façon approfondie, elle aurait dû identifier le risque d’accès non autorisé par insuffisance de contrôle des permissions (type IDOR), le risque lié au recours à des algorithmes cryptographiques obsolètes (SHA-1), et le risque d’insuffisance de la journalisation rendant impossible la circonscription d’une violation. L’identification de ces risques dans l’AIPD aurait généré l’obligation de déployer des mesures correctives avant la mise en production.
5. LA GESTION OPÉRATIONNELLE DES VIOLATIONS DE DONNÉES
La délibération NEXPUBLICA met également en lumière l’importance d’une procédure de notification des violations de données bien rodée. La MDPH a notifié la violation le 29 novembre 2022, soit 19 jours après les premiers signalements du 10 novembre 2022, mais seuls seuls 29 jours après la première des deux violations débutée le 26 octobre 2022. La complétion de la notification n’est intervenue que le 6 mars 2023, soit plus de quatre mois après les incidents.
L’article 33 § 1 du RGPD impose la notification « dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance ». Les responsables de traitement doivent anticiper ce risque en formalisant, avant tout incident, une procédure précise comprenant : identification du DPO et des personnes chargées de la notification, modèles de formulaires de notification, procédure de collecte des informations nécessaires (nature des données, nombre de personnes concernées, conséquences probables, mesures prises), identification des délais impératifs.
CONSEILS AUX PERSONNES CONCERNÉES PAR LES TRAITEMENTS
A. COMPRENDRE LES RISQUES SPÉCIFIQUES LIÉS AUX VIOLATIONS DE DONNÉES DE SANTÉ ET DE HANDICAP
Les personnes dont les données ont été exposées lors des violations de novembre 2022 sont des personnes en situation de handicap accompagnées par la MDPH du département du Nord. Leurs données exposées pouvaient inclure des données d’identité, des données de santé et relatives au handicap, le numéro de sécurité sociale (NIR), ainsi que des informations relatives à leur situation financière, familiale, scolaire et professionnelle.
Cette catégorie de données est particulièrement sensible à plusieurs égards. En premier lieu, les données de santé et de handicap constituent des données de catégorie spéciale au sens de l’article 9 du RGPD, bénéficiant d’une protection renforcée. En deuxième lieu, le NIR (numéro de sécurité sociale) est une donnée particulièrement dangereuse en cas de divulgation, car il est utilisé comme identifiant unique dans de nombreuses bases de données administratives et permet des usurpations d’identité à grande échelle. En troisième lieu, la combinaison de ces données permet de dresser un profil extrêmement détaillé de la situation de vulnérabilité des personnes concernées, susceptible d’être exploité à des fins discriminatoires, frauduleuses ou malveillantes.
B. LES DROITS DES PERSONNES CONCERNÉES ET LEUR EXERCICE CONCRET
Le droit d’accès (article 15 RGPD). Toute personne ayant eu un dossier auprès de la MDPH du département du Nord au cours de la période 2019-2022 et susceptible d’avoir été affectée par les violations de novembre 2022 peut exercer son droit d’accès auprès de la MDPH pour obtenir confirmation que ses données ont été traitées, copie des données traitées, et informations sur les violations éventuellement survenues. La MDPH, en qualité de responsable de traitement, est tenue de répondre dans un délai d’un mois à compter de la réception de la demande, prolongeable de deux mois pour les demandes complexes.
Le droit d’information en cas de violation (article 34 RGPD). L’article 34 § 1 du RGPD impose au responsable de traitement de communiquer « dans les meilleurs délais » à la personne concernée toute violation susceptible d’engendrer « un risque élevé pour les droits et libertés ». Compte tenu de la nature extrêmement sensible des données traitées dans le PCRM, les personnes dont les données ont été exposées auraient dû être informées individuellement. Si vous n’avez pas reçu de notification, vous êtes en droit de questionner la MDPH sur les raisons de cette absence et de saisir la CNIL en cas de réponse insatisfaisante.
Le droit à l’effacement et à la limitation (articles 17 et 18 RGPD). Dans le contexte d’une violation de données, les personnes concernées peuvent demander la limitation du traitement de leurs données dans l’attente de mesures correctives, ou leur effacement lorsque le traitement n’est plus nécessaire aux fins pour lesquelles les données ont été collectées, sous réserve des obligations légales de conservation incombant à la MDPH.
Le droit à la réparation du préjudice (article 82 RGPD). L’article 82 § 1 du RGPD dispose que « toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi ». Les personnes dont les données de santé, de handicap et le NIR ont été exposés peuvent avoir subi un préjudice moral du fait de l’atteinte à leur vie privée, indépendamment de toute exploitation effective des données par des tiers malveillants. La jurisprudence de la CJUE dans l’arrêt Natsionalna agentsia za prihodite du 14 décembre 2023 (C-204/21) a précisé que la seule crainte d’un usage abusif des données exposées peut constituer un préjudice moral indemnisable, sans qu’il soit nécessaire de démontrer une exploitation effective.
Pour exercer ce droit à réparation, les personnes concernées peuvent agir directement contre le responsable de traitement (la MDPH du département du Nord) et/ou contre le sous-traitant (NEXPUBLICA FRANCE) devant les juridictions civiles compétentes. La responsabilité solidaire prévue par l’article 82 § 4 du RGPD leur permet d’agir contre l’un ou l’autre des acteurs pour l’intégralité du préjudice.
C. LES DÉMARCHES PRATIQUES RECOMMANDÉES AUX PERSONNES CONCERNÉES
Démarche n°1 — Vérifier si vous êtes concerné et sécuriser vos accès. Si vous avez déposé un dossier auprès de la MDPH du département du Nord entre décembre 2019 et novembre 2022, vos données ont pu être exposées. Il est conseillé de contacter immédiatement la MDPH pour obtenir confirmation et, par précaution, de modifier vos mots de passe sur tout service utilisant votre numéro de sécurité sociale comme identifiant, et de surveiller attentivement vos relevés de comptes bancaires et vos avis d’imposition pour détecter toute anomalie susceptible de révéler une tentative d’usurpation d’identité.
Démarche n°2 — Signaler toute tentative de fraude. En cas de suspicion d’usurpation d’identité, d’appels frauduleux prétendant utiliser vos données de santé, ou de tout autre comportement suspect susceptible d’être lié à l’exposition de vos données, il convient de signaler immédiatement ces faits à la plateforme Pharos du Ministère de l’Intérieur (https://www.internet-signalement.gouv.fr) et de déposer une plainte auprès des forces de l’ordre.
Démarche n°3 — Exercer vos droits RGPD. Toute personne concernée peut adresser un courrier recommandé avec accusé de réception au Délégué à la Protection des Données (DPO) de la MDPH du département du Nord, en exposant sa demande d’accès aux données la concernant et d’information sur les violations survenues. En cas d’absence de réponse dans le délai d’un mois ou de réponse insatisfaisante, il est possible de saisir la CNIL en ligne sur https://www.cnil.fr/fr/plaintes ou par courrier à l’adresse : CNIL, 3 Place de Fontenoy — TSA 80715 — 75334 Paris Cedex 07.
Démarche n°4 — Envisager une action en réparation du préjudice. Si vous estimez avoir subi un préjudice moral ou matériel du fait de l’exposition de vos données, vous pouvez consulter un avocat spécialisé en protection des données personnelles pour évaluer l’opportunité d’une action en responsabilité civile contre la MDPH du département du Nord et/ou NEXPUBLICA FRANCE sur le fondement de l’article 82 du RGPD et du droit commun de la responsabilité civile. La prescription de ce type d’action est en principe de cinq ans à compter de la connaissance du dommage.
MESURES PRÉVENTIVES ET BONNES PRATIQUES POST-DÉCISION
A. POUR LES ORGANISMES DU SECTEUR SOCIAL ET MÉDICO-SOCIAL
La délibération NEXPUBLICA doit être appréhendée comme un signal d’alarme particulièrement fort par l’ensemble des organismes du secteur de l’action sociale et médico-social — MDPH, Conseils Départementaux, CCAS, EHPAD, établissements et services médico-sociaux — qui ont recours à des logiciels de gestion développés et hébergés par des prestataires informatiques pour traiter des données de santé, de handicap, et des données à caractère social de personnes vulnérables.
La formation restreinte souligne expressément que la publicité de la décision « permettra notamment d’informer l’ensemble des acteurs du secteur de l’action sociale et médico-sociale sur les mesures de sécurité attendues pour les traitements comportant des données de santé et relatives au handicap ». Cette précision dans la motivation de la sanction de publicité n’est pas anodine : elle désigne clairement un secteur dans lequel la CNIL entend exercer une vigilance renforcée à l’avenir.
Les responsables de traitement de ce secteur doivent impérativement :
En matière contractuelle : procéder à une révision systématique des contrats de sous-traitance conclus avec leurs prestataires informatiques pour y intégrer les clauses de sécurité détaillées décrites supra (section I.A.2), en commençant par les contrats portant sur les traitements les plus sensibles ;
En matière d’audit : mettre en place un programme d’audits de sécurité annuels réalisés par des prestataires qualifiés PASSI, portant sur l’ensemble des applications et infrastructures traitant des données de catégorie spéciale, et veiller à l’existence d’un mécanisme formel de suivi des recommandations ;
En matière de gouvernance : désigner ou confirmer la désignation d’un DPO compétent en matière de sécurité des systèmes d’information ou s’assurer de la coordination effective entre le DPO et le RSSI, et mettre en place un comité de pilotage sécurité-données associant direction, DPO, RSSI et responsables métiers.
B. POUR LES PRESTATAIRES INFORMATIQUES INTERVENANT DANS LE SECTEUR SOCIAL ET MÉDICO-SOCIAL
La délibération NEXPUBLICA établit un standard d’exigence maximal pour les éditeurs de logiciels et les hébergeurs intervenant dans le secteur social et médico-social, compte tenu de la sensibilité extrême des données traitées et de la vulnérabilité des personnes concernées.
Ces prestataires doivent impérativement :
Adopter une démarche Security by Design (art. 25 RGPD) : intégrer les exigences de sécurité dès la phase de conception du logiciel, réaliser des analyses d’impact sur la sécurité à chaque évolution majeure, déployer des outils d’analyse statique de sécurité du code (SAST) dans le pipeline de développement, et mettre en place des revues de code sécurité systématiques avant toute mise en production ;
Maintenir à l’état de l’art les composants cryptographiques : éliminer tout recours à des algorithmes déclarés obsolètes par l’ANSSI (notamment SHA-1, MD5, DES, RC4), migrer vers des protocoles TLS 1.3 avec des suites cryptographiques conformes aux recommandations de l’ANSSI (RGS — Référentiel Général de Sécurité), et mettre en place une veille automatique sur les alertes de vulnérabilité émises par le CERT-FR (cyber.gouv.fr) ;
Déployer une journalisation active : conformément à la délibération CNIL n° 2021-122 du 14 octobre 2021, mettre en place un système de journalisation centralisée couvrant l’ensemble des accès et actions sur les données personnelles, avec des mécanismes d’alerte automatique en cas de comportement anormal (volume d’accès inhabituel, tentatives d’accès non autorisées, téléchargements massifs) ;
Formaliser une politique de gestion des vulnérabilités : documenter précisément les délais maximaux de correction par niveau de criticité, constituer un registre de suivi de toutes les vulnérabilités identifiées avec leur statut de correction, et produire un reporting trimestriel à destination des responsables de traitement clients.
POINTS ESSENTIELS
Par sa délibération SAN-2025-015 du 22 décembre 2025, la formation restreinte de la CNIL a lourdement sanctionné la société spécialisée en ingénierie informatique NEXPUBLICA FRANCE à hauteur de 1 700 000 euros pour un manquement caractérisé à l’article 32 du RGPD, en raison de défaillances structurelles majeures affectant la sécurité de son progiciel de gestion sociale PCRM déployé au bénéfice de la Maison Départementale pour les Personnes Handicapées (MDPH) du Nord, ayant conduit en novembre 2022 à l’exposition non autorisée des données de santé, de handicap, d’identité et du numéro de sécurité sociale (NIR) de près de 15 000 personnes particulièrement vulnérables ; la décision fustige une négligence grave et persistante du sous-traitant qui, d’une part, a maintenu en production des vulnérabilités critiques d’accès (de type IDOR) formellement identifiées par des audits de code automatisés et des tests d’intrusion successifs menés entre 2021 et 2023 sans procéder à leur correction dans des délais compatibles avec l’état de l’art, et d’autre part, a persisté à utiliser la fonction de hachage cryptographique SHA-1 formellement déclarée obsolète et vulnérable par l’ANSSI depuis 2017, le tout aggravé par une journalisation purement passive inapte à détecter ou tracer précisément l’étendue des exfiltrations de données, confirmant ainsi de manière inédite et implacable la responsabilité autonome, directe et renforcée du sous-traitant éditeur de logiciel vis-à-vis des composants tiers qu’il intègre, sans qu’il puisse se retrancher derrière les instructions du responsable de traitement ou arguer de faux positifs techniques pour s’exonérer de son obligation impérative de garantir une véritable défense en profondeur.
24.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats