CNIL | SAN-2025-015 | 22 DÉCEMBRE 2025 | AFFAIRE NEXPUBLICA FRANCE |
NEXPUBLICA FRANCE | MONTANT : 1 700 000 EUROS
ANALYSE CRITIQUE MANQUEMENTS FAQ CONSEILS
A. PRÉSENTATION DE LA SOCIÉTÉ SANCTIONNÉE ET DU CONTEXTE OPÉRATIONNEL
La société NEXPUBLICA FRANCE, anciennement dénommée INETUM SOFTWARE FRANCE, est une société par actions simplifiée dont le siège social est établi au 4-10, rue Mozart à Clichy (92110). En 2024, elle employait environ 1 000 personnes et exerçait une activité de conseil en systèmes et logiciels informatiques. Depuis le 21 janvier 2025, la société n’est plus une filiale du groupe INETUM : elle a changé de dénomination sociale par publication au Bulletin officiel des annonces civiles et commerciales du 28 mars 2025 et constitue désormais une entité juridique autonome, sans lien capitalistique avec le groupe INETUM, poursuivant néanmoins les mêmes activités.
La société développe et commercialise un progiciel dénommé Public CRM (ci-après « PCRM »), outil de gestion de la relation avec les usagers dans le domaine de l’action sociale. La première version a été mise en production à la MDPH du département du Nord le 24 décembre 2019. NEXPUBLICA FRANCE édite et héberge ce progiciel pour le compte de la MDPH, qui traite des données particulièrement sensibles : données relatives au handicap et à la santé constituant des données de catégorie spéciale au sens de l’article 9 du RGPD, numéro de sécurité sociale (NIR), données relatives à la situation financière, familiale, scolaire et professionnelle des personnes accompagnées. La société sous-traite par ailleurs l’hébergement et les habilitations des utilisateurs à une société certifiée hébergeur de données de santé au sens de l’article L. 1111-8 du Code de la santé publique.
Le groupement d’intérêt public Maison Départementale pour les Personnes Handicapées (MDPH) du département du Nord utilise le PCRM pour assurer son rôle de guichet unique d’information auprès des personnes en situation de handicap et de leurs familles, ainsi que l’instruction administrative et médico-sociale de toute demande de compensation du handicap. La MDPH traite les demandes de cartes de priorité, d’invalidité, de stationnement et d’allocations d’éducation pour les enfants en situation de handicap ; elle assure l’appui à la scolarisation ou à l’insertion professionnelle ; elle oriente les personnes vers des établissements ou services médico-sociaux et traite les demandes de prestation de compensation du handicap. Les personnes concernées constituent un public particulièrement vulnérable, dont les données méritent une protection d’une intensité maximale.
B. LES VIOLATIONS DE DONNÉES À CARACTÈRE PERSONNEL DE NOVEMBRE 2022
Les 2 et 10 novembre 2022, des usagers du portail de la MDPH ont signalé avoir accès à des documents concernant des tiers. La MDPH du département du Nord a procédé à une notification de violation de données auprès de la CNIL le 29 novembre 2022, complétée le 6 mars 2023 après investigations permettant de préciser les caractéristiques des incidents.
Le premier incident s’est déroulé du 26 octobre au 8 novembre 2022. Un paramétrage erroné de la part de NEXPUBLICA FRANCE a permis à des usagers d’accéder à des données de tiers auxquelles ils n’avaient pas droit. La MDPH a indiqué dans sa notification que 366 personnes ont ainsi pu accéder aux données de tiers présentes dans le PCRM ; la société précise que parmi ces 366 personnes, seuls deux usagers ont eu la possibilité technique d’accéder effectivement aux données à caractère personnel de tiers via ces paramétrages erronés.
Le second incident s’est déroulé du 26 octobre au 14 novembre 2022. Une erreur de paramétrage de la part de NEXPUBLICA FRANCE a conduit à des anomalies d’affichage de pages : certains usagers ont eu accès, en lecture seule, aux 5 000 premiers enregistrements de la base à travers six pages web différentes du portail. La société a indiqué que neuf personnes se sont connectées au cours de cette période et ont pu avoir accès aux données de 14 170 personnes (un enregistrement pouvant concerner plusieurs personnes).
Dans les deux cas, la société s’est révélée dans l’incapacité de lister les données concernées par les violations. Elle a cependant pu exclure un accès aux pièces jointes (justificatifs d’identité, certificats médicaux) comprises dans le PCRM. Au total, près de 15 000 personnes ont été potentiellement concernées par ces violations.
C. LA PROCÉDURE DE CONTRÔLE ET DE SANCTION
En application de la décision n° 2023-063C du 20 mars 2023 de la Présidente de la Commission, une délégation de la CNIL a effectué une mission de contrôle sur place du groupe INETUM le 24 mai 2023 afin de vérifier le respect des dispositions de la loi n° 78-17 du 6 janvier 1978 modifiée et du RGPD. Ce contrôle a donné lieu au procès-verbal n° 2023-0631. Les 14 juin et 6 et 29 septembre 2023, la société a fourni des éléments complémentaires.
La Présidente de la Commission a, le 13 mai 2025, désigné M. Fabien TARISSAN en qualité de rapporteur. Le 17 juin 2025, ce dernier a fait signifier à la société un rapport concluant à un manquement à l’article 32 du RGPD et proposant le prononcé d’une amende administrative assortie d’une publicité différée après deux ans. La société a produit des observations le 29 juillet 2025 ; la réponse du rapporteur lui a été notifiée le 29 août 2025 ; de nouvelles observations ont été adressées le 10 octobre 2025 ; l’instruction a été clôturée le 29 octobre 2025. La société a été informée le 3 novembre 2025 que le dossier était inscrit à l’ordre du jour de la séance de la formation restreinte du 27 novembre 2025. Le rapporteur et la société ont présenté des observations orales lors de cette séance.
Par délibération SAN-2025-015 du 22 décembre 2025, la formation restreinte a prononcé une amende administrative de 1 700 000 euros pour manquement à l’article 32 du RGPD, assorti de la publicité de la décision avec anonymisation différée à l’expiration d’un délai de deux ans.
D. TABLEAU RÉCAPITULATIF DES RÉFÉRENCES JURIDIQUES ET JURISPRUDENTIELLES CITÉES
| Référence | Nature | Objet dans la délibération | Paragraphe/rôle |
|---|---|---|---|
| Article 32 § 1 RGPD | Disposition réglementaire | Obligation de mesures techniques et organisationnelles adaptées au risque | Fondement principal du manquement |
| Article 32 § 2 RGPD | Disposition réglementaire | Appréciation des risques : destruction, perte, accès non autorisé | Cadrage de l’intensité du risque |
| Article 5 § 1 f) RGPD | Disposition réglementaire | Principe d’intégrité et de confidentialité | Visé conjointement avec l’article 32 |
| Article 5 § 2 RGPD | Disposition réglementaire | Principe d’accountability | Responsabilité démontrable |
| Article 4 § 8 RGPD | Disposition réglementaire | Définition du sous-traitant | Qualification de NEXPUBLICA |
| Article 28 § 3 a) RGPD | Disposition réglementaire | Traitement sur instruction documentée du RT | Cadre contractuel de la sous-traitance |
| Article 28 § 3 c) RGPD | Disposition réglementaire | Obligation du ST de prendre les mesures de l’art. 32 | Autonomie de l’obligation de sécurité |
| Article 28 § 4 RGPD | Disposition réglementaire | Responsabilité en chaîne : ST initial responsable des ST ultérieurs | Extension responsabilité hébergeur et LIFERAY |
| Article 83 § 4 RGPD | Disposition réglementaire | Plafond amende : 10 M€ ou 2% CA mondial | Quantum de la sanction |
| Article 83 § 2 RGPD | Disposition réglementaire | Critères de détermination de l’amende | Gravité, négligence, coopération |
| Article 9 RGPD | Disposition réglementaire | Données sensibles : santé, handicap | Caractère aggravant de la nature des données |
| Article L. 1111-8 CSP | Disposition nationale | Certification HDS | ST ultérieur hébergeur de données de santé |
| Loi n° 78-17 du 6 janv. 1978 modifiée | Disposition nationale | Loi Informatique et Libertés | Base légale du contrôle |
| Article 19 LIL modifiée | Disposition nationale | Pouvoirs de la délégation de contrôle | Force probante des audits communiqués |
| Article 22 LIL modifiée | Disposition nationale | Désignation du rapporteur | Procédure de sanction |
| Article 6 CESDH | Norme conventionnelle | Droit à un procès équitable | Rejeté par la formation restreinte |
| Articles 41 et 47 CDFUE | Norme européenne | Droits de la défense | Rejeté par la formation restreinte |
| CJUE, 14 déc. 2023, Natsionalna agentsia za prihodite, C-204/21 | Jurisprudence CJUE | Obligation de sécurité indépendante de la survenance d’une violation | Violation préventive sans dommage effectif |
| CEDH, Saunders c. Royaume-Uni [GC], § 68 | Jurisprudence CEDH | Droit de ne pas s’incriminer : ne protège pas les documents indépendants de la volonté | Rejet du moyen d’auto-incrimination |
| CEDH, O’Halloran et Francis c. Royaume-Uni [GC], § 47 | Jurisprudence CEDH | Idem | Rejet du même moyen |
| CEPD, avis 2/2024 | Directive CEPD | Responsabilité ST pour ST ultérieurs et composants tiers | Art. 28 § 4 extension |
| CEPD, Lignes directrices 07/2020 du 7 juill. 2021 | Directive CEPD | Notions de RT et ST — obligations autonomes du ST | Autonomie obligation sécurité ST |
| ANSSI, bulletin CERTFR-2017-ACT-013 du 27 mars 2017 | Référentiel technique | SHA-1 : vulnérabilité immédiatement exploitable à abandonner | Chiffrement obsolète |
| CNIL, délibération n° 2021-122 du 14 oct. 2021 | Délibération CNIL | Recommandation journalisation : traçabilité « active » | Insuffisance de la journalisation |
| CNIL, délibération SAN-2023-023 du 29 déc. 2023 | Jurisprudence CNIL | Recours à SHA-1 : méconnaissance de l’état de l’art | Cohérence jurisprudentielle |
| CCTP régissant la relation MDPH / NEXPUBLICA | Acte contractuel | Obligations de conseil, mise en garde, sécurité et état de l’art | Fondement des obligations ST |
| ANSSI, Memento défense en profondeur v1.1, 2004 | Référentiel technique | Principes de défense en profondeur | Absence de défense en profondeur reprochée |
A. SUR LA QUALIFICATION DE LA RESPONSABILITÉ AUTONOME DU SOUS-TRAITANT
L’apport central de la délibération réside dans l’affirmation sans ambiguïté de la responsabilité autonome du sous-traitant en matière de sécurité des données, détachée de toute instruction spécifique du responsable de traitement. La formation restreinte énonce que :
« Indépendamment des obligations qui pèsent en propre sur le responsable de traitement, il revient au sous-traitant de proposer et de mettre en œuvre les solutions techniques et organisationnelles adéquates en matière de sécurité des traitements. »
Cette formule, d’une netteté remarquable, tranche le débat doctrinal sur la nature de l’obligation de sécurité du sous-traitant. Elle ne découle pas des seules instructions contractuelles du responsable de traitement, mais d’une obligation légale directe découlant de l’article 28 § 3 c) du RGPD, qui impose au sous-traitant de « prendre toutes les mesures requises en vertu de l’article 32 » indépendamment du contenu des instructions reçues. Cette lecture est conforme aux lignes directrices 07/2020 du CEPD, selon lesquelles « le sous-traitant a ses propres responsabilités directes au titre des articles 32 et 33 du RGPD » et « ces obligations s’appliquent au sous-traitant de manière autonome, indépendamment de toute instruction du responsable du traitement ».
La formation restreinte s’appuie sur les stipulations contractuelles du CCTP pour en confirmer la portée : NEXPUBLICA FRANCE était tenue « à une obligation de conseil, de mise en garde et de recommandations en termes de sécurité et de mise à l’état de l’art », ainsi que de « mettre en place les mesures nécessaires au respect des traitements déclarés » et d’« assurer la sécurité des données à caractère personnel qui pourraient lui être confiées ». La conjonction entre l’obligation légale et l’obligation contractuelle renforce l’assise de la décision.
Sur le plan critique, cette consécration de la responsabilité autonome du sous-traitant mérite une approbation pleine et entière. Le sous-traitant qui développe et héberge un progiciel destiné à traiter des données de santé et de handicap ne peut se retrancher derrière l’absence d’instructions précises pour légitimer une architecture sécuritaire défaillante. L’expertise technique qui fonde son activité commerciale constitue précisément le socle de sa responsabilité renforcée. Comme le souligne la CNIL avec une formule particulièrement incisive : « une société spécialisée en développement de solutions informatiques ne saurait invoquer son manque de connaissances lorsqu’un de ses produits révèle des vulnérabilités flagrantes qu’elle a laissé perdurer plusieurs mois ».
B. SUR L’EXTENSION DE LA RESPONSABILITÉ AUX SOUS-TRAITANTS ULTÉRIEURS ET AUX COMPOSANTS TIERS
La délibération franchit une étape supplémentaire en étendant la responsabilité de NEXPUBLICA FRANCE à ses sous-traitants ultérieurs et aux briques technologiques tierces qu’elle intègre dans sa solution. La formation restreinte s’appuie sur l’article 28 § 4 du RGPD, dont elle rappelle le texte : « si ce sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, le sous-traitant initial demeure pleinement responsable devant le responsable du traitement de l’exécution par l’autre sous-traitant de ses obligations ».
S’agissant du framework LIFERAY intégré dans le portail web du PCRM, la formation restreinte affirme que :
« Le recours [à cette brique logicielle] relève d’un choix technique de la société NEXPUBLICA FRANCE et qu’à ce titre, il lui appartient de s’assurer que cette brique logicielle est exempte de vulnérabilités. »
Cette extension jurisprudentielle, ancrée dans l’avis 2/2024 du CEPD, est d’une portée pratique considérable pour l’ensemble des éditeurs de logiciels intégrant des composants open source ou des briques tierces dans leurs solutions. Elle consacre un véritable principe de responsabilité en cascade : tout composant technologique intégré, qu’il soit développé en interne, fourni par un sous-traitant ultérieur ou issu d’une communauté open source, demeure sous la sphère de responsabilité du sous-traitant initial vis-à-vis du responsable de traitement.
Cette position est juridiquement défendable dans la mesure où c’est bien le sous-traitant initial qui décide d’intégrer tel ou tel composant dans sa solution, et qui est rémunéré pour garantir la sécurité globale du traitement. Admettre une exonération fondée sur l’origine tierce d’une vulnérabilité conduirait à créer une fragmentation de la chaîne de responsabilité incompatible avec l’objectif de protection effective des données personnelles.
C. SUR LA DÉMONSTRATION DU MANQUEMENT À L’ARTICLE 32 : LES QUATRE VECTEURS DE DÉFAILLANCE
La formation restreinte identifie quatre catégories distinctes de défaillances, toutes révélées par des audits successifs et non corrigées avant les violations.
1. Les vulnérabilités structurelles issues des audits de code automatisés (2021-2023)
Les audits de code automatisés réalisés en février et décembre 2021 ont révélé de nombreuses vulnérabilités critiques et importantes dans le PCRM. Or, lors d’un audit ultérieur réalisé en février 2023 — soit postérieurement aux violations de novembre 2022 —, certaines de ces vulnérabilités n’avaient toujours pas été corrigées. La matérialité de ce constat est d’autant plus accablante que les violations elles-mêmes avaient entre-temps démontré la réalité du risque théoriquement documenté depuis deux ans.
2. Les failles critiques révélées par les tests d’intrusion (décembre 2022 et mars 2023)
Les tests d’intrusion réalisés en décembre 2022 et mars 2023 à la demande de la MDPH ont mis en évidence :
« Un niveau de sécurité moyen avec des vulnérabilités importantes, dont une faille critique permettant à un utilisateur, en l’absence de contrôle des permissions d’accès aux ressources, de lire des documents ne lui appartenant pas. »
Le second rapport de mars 2023 constatait que certaines vulnérabilités identifiées dans le rapport de décembre 2022 n’avaient toujours pas été corrigées — alors même que les violations de novembre 2022 avaient eu lieu entre les deux audits. La persistance d’une faille critique, qualifiable de type IDOR (Insecure Direct Object Reference) selon la nomenclature OWASP, dans un système traitant des données de santé et de handicap, constitue une faute d’une gravité manifeste.
3. Le recours à la fonction de hachage cryptographique SHA-1 obsolète
La formation restreinte retient comme troisième vecteur de manquement le recours à SHA-1 pour certaines suites cryptographiques du protocole TLS 1.2. Elle se réfère expressément au bulletin de l’ANSSI CERTFR-2017-ACT-013 du 27 mars 2017, lequel indiquait que SHA-1 « est à présent l’objet d’une vulnérabilité immédiatement exploitable et doit être abandonnée ». En continuant d’utiliser SHA-1 en 2022, soit cinq ans après cette alerte officielle de l’ANSSI, NEXPUBLICA FRANCE a méconnu de façon caractérisée l’état de l’art en matière de cryptographie. Ce manquement est particulièrement révélateur d’une absence de politique de mise à niveau technique, alors même que des alertes publiques et officielles avaient été diffusées.
4. L’insuffisance de la journalisation et de la traçabilité
La formation restreinte retient enfin que :
« L’impossibilité pour la société d’indiquer quelles données ont fait l’objet des violations met en lumière une traçabilité inefficiente des actions effectuées sur le PCRM. »
Ce constat est décisif à double titre. D’abord, il révèle l’absence de traçabilité active préconisée par la délibération CNIL n° 2021-122 du 14 octobre 2021 relative à la journalisation, laquelle recommande un dispositif « capable de générer des alertes en cas de comportement anormal ». Ensuite, il démontre l’incapacité de NEXPUBLICA à circonscrire a posteriori l’étendue d’une violation de données, ce qui constitue également un manquement aux obligations découlant de l’article 33 du RGPD en matière de notification.
D. SUR LE REJET DES MOYENS DE DÉFENSE DE NEXPUBLICA FRANCE
La société a soulevé plusieurs moyens de défense que la formation restreinte a tous écartés avec une motivation rigoureuse.
1. Le moyen tiré de la méconnaissance du droit à un procès équitable (art. 6 CESDH)
La société soutenait, d’une part, que son droit à ne pas s’incriminer avait été méconnu dès lors qu’elle avait été contrainte de produire les rapports d’audits fondant la caractérisation du manquement. La formation restreinte écarte ce moyen en faisant application de la jurisprudence de la CEDH :
« Les rapports d’audits ont été transmis conformément aux dispositions de l’article 19 de la loi Informatique et Libertés, au même titre que les autres pièces de l’instruction, sans préjuger d’éventuels manquements, et sans que la société contribue donc à sa propre incrimination. »
Reprenant les arrêts Saunders c. Royaume-Uni [GC] § 68 et O’Halloran et Francis c. Royaume-Uni [GC] § 47, la formation restreinte rappelle que « le droit de ne pas s’incriminer soi-même ne proscrit pas l’usage, dans une procédure pénale, de données que l’on peut obtenir de l’accusé en recourant à des pouvoirs coercitifs mais qui existent indépendamment de la volonté du suspect ».
D’autre part, la société arguait du caractère insuffisamment précis du périmètre des manquements reprochés. La formation restreinte réfute ce grief en relevant « qu’il ressort des pièces du dossier que le périmètre du manquement reproché à la société par le rapporteur est établi avec une précision suffisante » et que « la société a pu présenter ses observations en défense dans ses deux jeux d’écritures, ainsi qu’oralement lors de la séance ».
2. Le moyen tiré de la valeur probante des audits
La société soutenait que les audits automatisés contiendraient des faux positifs et que leur valeur probante devait être relativisée. La formation restreinte répond avec fermeté :
« Les audits dont il est question ont été soit commandités directement par la société (audit de code automatisé), soit par le responsable de traitement (tests d’intrusion). Ainsi, il s’agit d’évaluations faisant partie intégrante de la documentation interne de la société, sur lesquelles une autorité de contrôle peut s’appuyer afin d’apprécier le respect par la société de ses obligations. »
3. Le moyen tiré de la rapidité de la réaction post-incident
La société arguait avoir réagi rapidement à la suite des incidents. La formation restreinte neutralise cet argument par une distinction sémantique d’une netteté chirurgicale :
« Ce n’est pas l’absence de réaction de la société à la suite des incidents de sécurité qui lui est reprochée, mais la mise en production du PCRM présentant de telles failles, puis l’absence de correction rapide des vulnérabilités lors de leur identification dans les différents rapports d’audits. »
Cette formulation est fondamentale : le droit de la sécurité des données est un droit de prévention, non un droit de rattrapage.
4. Le moyen tiré de la phase initiale de mise en production
La société invoquait le caractère initial de la mise en production et ses connaissances limitées. La formation restreinte rejette ce moyen par une formule particulièrement sévère :
« Une société spécialisée en développement de solutions informatiques ne saurait invoquer son manque de connaissances lorsqu’un de ses produits révèle des vulnérabilités flagrantes qu’elle a laissé perdurer plusieurs mois. »
5. Le moyen tiré de la mise en cause exclusive du sous-traitant
La société s’est interrogée sur l’engagement de sa seule responsabilité, soutenant qu’« il ne relève pas de la pratique habituelle de la CNIL de ne sanctionner que le sous-traitant ». La formation restreinte rappelle sobrement que « l’opportunité d’engager une procédure de sanction relève de la seule appréciation de la Présidente de la Commission ». Cette réponse, formellement exacte, n’en soulève pas moins une interrogation légitime quant à l’absence de mise en cause du responsable de traitement — cf. infra.
E. SUR LA DÉTERMINATION DU QUANTUM DE L’AMENDE
La formation restreinte prononce une amende de 1 700 000 euros sur le fondement de l’article 83 § 4 du RGPD, dont le plafond est fixé à 10 000 000 euros ou 2 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.
Parmi les circonstances aggravantes retenues :
—-La nature et la gravité particulières du manquement : près de 15 000 personnes concernées, données de santé et relatives au handicap, données de catégorie spéciale au sens de l’article 9 du RGPD ;
—-Le caractère par négligence grave : « les vulnérabilités constatées dans le PCRM relevaient pour la plupart d’une méconnaissance de l’état de l’art et de principes élémentaires en matière de sécurité » ; « ces vulnérabilités étaient connues et identifiées par la société grâce à plusieurs rapports d’audits » ; « en dépit de ces éléments, les failles n’ont été corrigées qu’après les violations de données » ;
—-La spécialisation technique de la société : « ces circonstances sont aggravées du fait de l’activité de la société, qui est spécialisée dans le conseil en systèmes et logiciels informatiques ».
Parmi les circonstances atténuantes :
—-La coopération de la société avec les services de la Commission tout au long de la procédure de contrôle et de sanction ;
—-L’apport des correctifs nécessaires à la suite des violations de données, comme en témoignent les résultats des audits de février 2023 et décembre 2024 ne révélant plus aucune vulnérabilité critique ou importante.
La formation restreinte considère qu’il n’y a pas lieu de prononcer une injonction de mise en conformité « dans la mesure où la société a apporté les correctifs nécessaires », mais prononce la publicité de la décision avec anonymisation différée après deux ans, estimant que « la publicité permettra notamment d’informer l’ensemble des acteurs du secteur de l’action sociale et médico-social sur les mesures de sécurité attendues pour les traitements comportant des données de santé et relatives au handicap ».
A. LA CONFIRMATION D’UN STANDARD D’EXIGENCE MAXIMAL POUR LES SOUS-TRAITANTS SPÉCIALISÉS
La délibération SAN-2025-015 s’inscrit dans un mouvement jurisprudentiel cohérent et ascendant de la CNIL en matière de sécurité des données. Elle confirme et approfondit plusieurs acquis antérieurs.
Antériorités jurisprudentielles significatives. La délibération SAN-2023-023 du 29 décembre 2023 avait déjà sanctionné le recours à SHA-1 comme méconnaissance de l’état de l’art, posant la pierre d’un référentiel cryptographique opposable aux organismes traitant des données personnelles. La délibération SAN-2026-001 du 8 janvier 2026 concernant FREE MOBILE avait sanctionné l’absence d’authentification multifacteur et de détection active des compromissions dans un système traitant les données de 24,6 millions de contrats — démontrant que les exigences de la CNIL s’appliquent avec une intensité proportionnelle à la sensibilité et au volume des données traitées. La délibération SAN-2026-003 du 22 janvier 2026 concernant FRANCE TRAVAIL avait sanctionné l’absence de défense en profondeur dans le cadre d’une violation massive par ingénierie sociale, affirmant le même principe de sécurité multidimensionnelle.
La délibération NEXPUBLICA s’en distingue toutefois sur un point essentiel : c’est la première fois que la CNIL sanctionne un sous-traitant pour les défaillances de son propre sous-traitant ultérieur et des composants technologiques tiers qu’il intègre, sans mise en cause concomitante du responsable de traitement. Ce faisant, elle construit un édifice jurisprudentiel dans lequel la chaîne de sous-traitance est appréhendée comme un tout dont la cohérence sécuritaire incombe intégralement au sous-traitant principal.
Postériorités jurisprudentielles. À la date de la présente délibération (22 décembre 2025), les décisions ultérieures de la CNIL confirmeront vraisemblablement l’extension de ces exigences aux éditeurs de logiciels intervenant dans les secteurs de la santé, du médico-social et, plus largement, de tout traitement à grande échelle de données de catégorie spéciale au sens de l’article 9 du RGPD.
B. POINTS CRITIQUES SUSCEPTIBLES DE DISCUSSION
Deux aspects de la délibération méritent une discussion critique.
1. La question non résolue de la responsabilité du responsable de traitement. La société NEXPUBLICA FRANCE avait légitimement soulevé l’interrogation quant à l’absence de mise en cause de la MDPH du département du Nord, en qualité de responsable de traitement. L’article 28 § 1 du RGPD impose en effet au responsable de traitement de « faire uniquement appel à des sous-traitants qui présentent des garanties suffisantes » et d’exercer une surveillance continue par des audits. La MDPH avait certes commandité les tests d’intrusion de décembre 2022 et mars 2023 — ce qui témoigne d’une certaine vigilance — mais la question demeure de savoir si elle avait exercé une surveillance suffisante entre 2019 et 2022, période durant laquelle les vulnérabilités s’accumulaient sans correction. La formation restreinte se contente de rappeler que « l’opportunité d’engager une procédure de sanction relève de la seule appréciation de la Présidente de la Commission », sans trancher la question de principe.
2. L’articulation avec la scission INETUM / NEXPUBLICA. La formation restreinte reconnaît que la scission est « intervenue en cours de procédure, postérieurement au contrôle réalisé par la CNIL en mai 2023 et au rapport de sanction notifié en juin 2025 », et que « la société NEXPUBLICA FRANCE poursuit les activités de conseil en systèmes et logiciels informatiques d’INETUM SOFTWARE FRANCE, et qu’elle reste donc l’entité responsable des manquements constatés ». Cependant, la délibération ne précise pas si les capacités financières réduites de l’entité issue de la scission ont été prises en compte pour déterminer le caractère effectif, proportionné et dissuasif de l’amende, comme l’exige l’article 83 § 2 du RGPD. Cette lacune de motivation est regrettable.
DISPOSITIF DE LA DÉLIBÉRATION
La formation restreinte de la Commission nationale de l’informatique et des libertés, réunie en séance le 27 novembre 2025, après en avoir délibéré, décide :
Article 1er — La société NEXPUBLICA FRANCE est sanctionnée d’une amende administrative d’un montant de 1 700 000 (un million sept cent mille) euros pour manquement à l’article 32 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016.
Article 2 — La présente délibération sera rendue publique sur le site de la Commission et dans son rapport annuel. Il ne sera plus possible d’identifier nommément la société à l’expiration d’un délai de deux ans à compter de sa publication.
POINTS ESSENTIELS
Par sa délibération SAN-2025-015 du 22 décembre 2025, la formation restreinte de la CNIL a lourdement sanctionné la société spécialisée en ingénierie informatique NEXPUBLICA FRANCE à hauteur de 1 700 000 euros pour un manquement caractérisé à l’article 32 du RGPD, en raison de défaillances structurelles majeures affectant la sécurité de son progiciel de gestion sociale PCRM déployé au bénéfice de la Maison Départementale pour les Personnes Handicapées (MDPH) du Nord, ayant conduit en novembre 2022 à l’exposition non autorisée des données de santé, de handicap, d’identité et du numéro de sécurité sociale (NIR) de près de 15 000 personnes particulièrement vulnérables ; la décision fustige une négligence grave et persistante du sous-traitant qui, d’une part, a maintenu en production des vulnérabilités critiques d’accès (de type IDOR) formellement identifiées par des audits de code automatisés et des tests d’intrusion successifs menés entre 2021 et 2023 sans procéder à leur correction dans des délais compatibles avec l’état de l’art, et d’autre part, a persisté à utiliser la fonction de hachage cryptographique SHA-1 formellement déclarée obsolète et vulnérable par l’ANSSI depuis 2017, le tout aggravé par une journalisation purement passive inapte à détecter ou tracer précisément l’étendue des exfiltrations de données, confirmant ainsi de manière inédite et implacable la responsabilité autonome, directe et renforcée du sous-traitant éditeur de logiciel vis-à-vis des composants tiers qu’il intègre, sans qu’il puisse se retrancher derrière les instructions du responsable de traitement ou arguer de faux positifs techniques pour s’exonérer de son obligation impérative de garantir une véritable défense en profondeur.
24.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats