CNIL | SAN-2025-015 | 22 DÉCEMBRE 2025 | AFFAIRE NEXPUBLICA FRANCE |
NEXPUBLICA FRANCE | MONTANT : 1 700 000 EUROS
ANALYSE CRITIQUE MANQUEMENTS FAQ CONSEILS
LE CADRE NORMATIF DE L’OBLIGATION DE SÉCURITÉ
L’article 32 § 1 du RGPD constitue le fondement exclusif du manquement retenu par la formation restreinte. Il dispose :
« Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque y compris entre autres, selon les besoins :
a) la pseudonymisation et le chiffrement des données à caractère personnel ;
b) des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;
c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ;
d) une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement. » (Article 32 § 1 RGPD)
L’article 32 § 2 du RGPD précise que l’évaluation du niveau de sécurité approprié tient compte « en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l’altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou de l’accès non autorisé à de telles données, de manière accidentelle ou illicite ».
Cette exigence est articulée avec le principe d’intégrité et de confidentialité posé par l’article 5 § 1 f) du RGPD, qui impose que les données soient traitées « de façon à garantir une sécurité appropriée », et avec le principe d’accountability de l’article 5 § 2, qui impose à tout responsable de traitement et, par extension à son sous-traitant, d’être « en mesure de démontrer que le traitement est effectué conformément au présent règlement ».
La formation restreinte rappelle, dans le sillage de la CJUE (14 décembre 2023, Natsionalna agentsia za prihodite, C-204/21, pt. 47), que cette obligation ne se réduit pas à une réaction postérieure à l’incident : elle doit être satisfaite en amont, au stade de la conception et du déploiement, puis réévaluée en continu. Ce point est fondamental : la CNIL ne sanctionne pas ici NEXPUBLICA pour n’avoir pas su réagir après les violations, mais pour n’avoir pas prévenu ces violations en corrigeant des failles qu’elle connaissait.
LES MANQUEMENTS RETENUS PAR LA FORMATION RESTREINTE
La formation restreinte identifie un manquement unique à l’article 32 du RGPD, décliné en quatre vecteurs de défaillance distincts et cumulatifs, tous documentés par les pièces versées à l’instruction.
A. LA FAIBLESSE STRUCTURELLE DU PCRM : ABSENCE DE CONTRÔLE DES PERMISSIONS D’ACCÈS
Le premier vecteur de manquement tient à l’architecture même du progiciel PCRM, dont la formation restreinte constate qu’elle présentait des défaillances structurelles de contrôle des permissions d’accès aux ressources, ayant directement causé les deux violations de données de novembre 2022.
Position de la CNIL — Formation restreinte : La formation restreinte relève que des usagers ont pu accéder à des données concernant des tiers « à la suite d’erreurs de paramétrage, d’anomalies d’affichage et d’insuffisances de contrôle des permissions d’accès aux ressources ». Elle constate qu’en ce qui concerne le second incident, des usagers ont eu accès, « en lecture seule, aux 5 000 premiers enregistrements de la base à travers six pages web différentes du portail », et que « neuf personnes se sont connectées au cours de cette période et ont pu avoir accès aux données de 14 170 personnes ». La formation restreinte considère que ces dysfonctionnements ne sont pas des aléas techniques ponctuels mais les manifestations d’un défaut structurel d’architecture et de gouvernance technique.
La formation restreinte établit que ce manquement est d’autant plus grave que les données exposées constituent pour la plupart des données de catégorie spéciale au sens de l’article 9 § 1 du RGPD — données de santé, données relatives au handicap, numéro de sécurité sociale (NIR), données relatives à la situation financière, familiale, scolaire et professionnelle — et concernaient un public « particulièrement vulnérable ».
Position de la défense : La société soutenait que les violations résultaient d’« erreurs de paramétrage » ponctuelles et non d’un défaut systémique de sa solution, et que parmi les 366 usagers potentiellement exposés lors du premier incident, « seuls deux usagers ont eu la possibilité technique d’accéder aux données à caractère personnel de tiers ». Elle faisait valoir que la portée de la violation avait été limitée et que la société s’était trouvée dans l’incapacité de lister les données compromises, mais en précisant avoir pu exclure tout accès aux pièces jointes.
Appréciation de la formation restreinte : La formation restreinte réfute implicitement la distinction entre « erreur ponctuelle » et « défaut structurel » en relevant que la répétition d’incidents similaires, leur rémanence malgré les alertes documentées et leur prédictibilité au regard des rapports d’audits antérieurs font basculer la qualification du côté de la négligence caractérisée. La formation restreinte souligne également que « l’impossibilité pour la société d’indiquer quelles données ont fait l’objet des violations » — insuffisance de la traçabilité — est en elle-même révélatrice du niveau de sécurité globalement faible du système.
B. LA PERSISTANCE DES VULNÉRABILITÉS MALGRÉ LES AUDITS SUCCESSIFS
Le deuxième — et sans doute le plus décisif — vecteur de manquement tient à la persistance de vulnérabilités documentées, identifiées par des audits successifs mais non corrigées avant les violations de novembre 2022.
Position de la CNIL — Formation restreinte : La formation restreinte relève que :
« Les audits dont il est question ont été soit commandités directement par la société (audit de code automatisé), soit par le responsable de traitement (tests d’intrusion). Ainsi, il s’agit d’évaluations faisant partie intégrante de la documentation interne de la société, sur lesquelles une autorité de contrôle peut s’appuyer afin d’apprécier le respect par la société de ses obligations. »
Elle établit une chronologie particulièrement accablante : les audits de code automatisés de février et décembre 2021 ont révélé de nombreuses vulnérabilités critiques et importantes ; les tests d’intrusion de décembre 2022 et mars 2023 ont confirmé un « niveau de sécurité moyen avec des vulnérabilités importantes, dont une faille critique permettant à un utilisateur, en l’absence de contrôle des permissions d’accès aux ressources, de lire des documents ne lui appartenant pas » ; le second rapport de mars 2023 constatait que « certaines vulnérabilités identifiées dans le rapport de décembre 2022 n’avaient toujours pas été corrigées », malgré les violations survenues entre les deux audits.
La formation restreinte, citant le texte même de l’article 32 § 1 d) du RGPD, rappelle que l’obligation de sécurité inclut une « procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles », et qu’elle ne peut se satisfaire de la seule existence d’audits sans leur suivi effectif : « l’audit cesse d’être un outil de prévention pour devenir le simple témoin d’une vulnérabilité entretenue ».
Position de la défense : La société faisait valoir plusieurs arguments. 1., elle contestait la valeur probante des audits automatisés en soutenant qu’ils « pouvaient générer des faux positifs » et devaient être « contextualisés ». 2., elle arguait avoir apporté des correctifs à la suite des violations : « ce n’est pas l’absence de réaction de la société à la suite des incidents de sécurité qui lui est reprochée », selon sa propre reformulation. 3., elle invoquait la phase initiale de mise en production du PCRM (mis en production le 24 décembre 2019) pour justifier des « connaissances nécessairement limitées » au moment des faits.
Appréciation de la formation restreinte : La formation restreinte neutralise chacun de ces arguments avec précision.
Sur les faux positifs : « La force probante des documents versés à la procédure ne saurait être remise en cause […]. Les audits en question ne constituent pas des jugements de valeur que le rapporteur se serait contenté de reprendre à son compte, mais le résultat d’analyses objectives du système d’information de la société, réalisées suivant une méthodologie précise et documentée. » Elle ajoute que la convergence entre plusieurs audits indépendants, la récurrence des constats et leur confirmation par les violations elles-mêmes vident l’argument du faux positif de sa substance.
Sur la réactivité post-incident : « Ce n’est pas l’absence de réaction de la société à la suite des incidents de sécurité qui lui est reprochée, mais la mise en production du PCRM présentant de telles failles, puis l’absence de correction rapide des vulnérabilités lors de leur identification dans les différents rapports d’audits. »
Sur la phase de mise en production : « Si la mise en production d’un logiciel peut s’accompagner de dysfonctionnements et implique des correctifs et mises à jour réguliers (ce qui relève d’ailleurs de bonnes pratiques), une société spécialisée en développement de solutions informatiques ne saurait invoquer son manque de connaissances lorsqu’un de ses produits révèle des vulnérabilités flagrantes qu’elle a laissé perdurer plusieurs mois. »
C. LE RECOURS À LA FONCTION DE HACHAGE SHA-1 : MÉCONNAISSANCE DE L’ÉTAT DE L’ART
Le troisième vecteur de manquement tient à l’utilisation persistante de la fonction de hachage cryptographique SHA-1 dans certaines suites cryptographiques du protocole TLS 1.2 du PCRM, alors même que cette technologie avait été officiellement déclarée vulnérable et à abandonner dès 2017.
Position de la CNIL — Formation restreinte : La formation restreinte se réfère expressément au bulletin de l’ANSSI CERTFR-2017-ACT-013 du 27 mars 2017, qui avait indiqué que SHA-1 « est à présent l’objet d’une vulnérabilité immédiatement exploitable et doit être abandonnée ». Elle rattache ce manquement à l’article 32 § 1 a) du RGPD relatif au chiffrement, et à l’exigence générale d’actualité des moyens techniques employés découlant de l’article 32 § 1 dans son ensemble. La formation restreinte retient que ce recours à SHA-1, cinq ans après l’alerte officielle de l’ANSSI, caractérise une méconnaissance de l’état de l’art en matière de cryptographie, inacceptable pour une société spécialisée en développement de solutions informatiques.
Ce point s’inscrit dans la continuité de la délibération CNIL SAN-2023-023 du 29 décembre 2023, qui avait déjà sanctionné le recours à SHA-1 comme méconnaissance caractérisée de l’état de l’art. La CNIL rappelle ainsi un référentiel cryptographique constant et opposable à tout responsable de traitement et sous-traitant.
Position de la défense : La société n’a pas développé de contestation spécifique sur ce point, n’apportant pas d’explication sur la persistance du recours à SHA-1 ni sur les raisons pour lesquelles elle n’avait pas migré vers des algorithmes conformes aux recommandations de l’ANSSI.
Appréciation de la formation restreinte : L’absence de contestation sur ce point fragilise définitivement la position de la défense. La formation restreinte en tire la conséquence que l’utilisation d’un algorithme disqualifié par l’état de l’art révèle un défaut de mise en conformité plus large, indice supplémentaire d’un « niveau global de sécurité faible ».
D. L’INSUFFISANCE DE LA JOURNALISATION ET L’ABSENCE DE TRAÇABILITÉ ACTIVE
Le quatrième vecteur de manquement, présenté par la formation restreinte comme une conséquence révélatrice des défaillances systémiques, tient à l’insuffisance de la journalisation et de la traçabilité des actions effectuées sur le PCRM.
Position de la CNIL — Formation restreinte : La formation restreinte observe que :
« L’impossibilité pour la société d’indiquer quelles données ont fait l’objet des violations met en lumière une traçabilité inefficiente des actions effectuées sur le PCRM. »
Elle rappelle la délibération CNIL n° 2021-122 du 14 octobre 2021 relative à la journalisation, qui préconise une traçabilité « active », c’est-à-dire un dispositif « capable de générer des alertes en cas de comportement anormal » et d’être effectivement traité en cas de comportement suspect. La formation restreinte souligne qu’une journalisation purement passive, consistant à enregistrer des événements sans mécanisme de surveillance, ne répond pas aux exigences de l’article 32 du RGPD lorsqu’elle n’offre aucune capacité de détection et de réaction — particulièrement dans un système traitant des données aussi sensibles.
Position de la défense : La société indiquait avoir mis en place une journalisation complémentaire dès février 2023. Elle faisait valoir que ce correctif démontrait sa réactivité et sa bonne foi dans la mise en conformité.
Appréciation de la formation restreinte : La CNIL prend acte de cette amélioration, mais en limite strictement la portée temporelle : ce correctif postérieur aux incidents ne suffit pas à effacer l’insuffisance antérieure du dispositif. La décision confirme ainsi un principe fondamental : la conformité se mesure à la qualité du système de sécurité au moment où le traitement est exécuté, non à son état final au jour de la sanction.
LA DÉTERMINATION DE LA SANCTION
A. LE FONDEMENT LÉGAL ET LE PLAFOND APPLICABLE
La formation restreinte rappelle que le manquement à l’article 32 du RGPD est susceptible de faire l’objet, en vertu de l’article 83 § 4 a) du RGPD, « d’une amende administrative pouvant s’élever jusqu’à 10 000 000 euros, ou dans le cas d’une entreprise, jusqu’à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu ». Elle rappelle que les amendes administratives « doivent être effectives, proportionnées et dissuasives ».
La formation restreinte relève qu’au 31 décembre 2024, le chiffre d’affaires de la société NEXPUBLICA FRANCE s’élevait à [montant masqué] euros, et que son effectif était d’environ 1 000 personnes, tout en relevant qu’elle « dispose de ressources humaines, techniques et financières importantes ».
B. LES CRITÈRES AGGRAVANTS RETENUS
La formation restreinte s’appuie sur les critères de l’article 83 § 2 du RGPD pour retenir plusieurs circonstances aggravantes.
La gravité et la nature du manquement (art. 83 § 2 a) : la violation a concerné « près de 15 000 personnes » et a porté sur « des données de santé et relatives au handicap particulièrement sensibles », constituant des données de catégorie spéciale au sens de l’article 9 RGPD. Les personnes concernées constituent « un public particulièrement vulnérable ».
La négligence grave (art. 83 § 2 b) : la formation restreinte retient que « les vulnérabilités constatées dans le PCRM relevaient pour la plupart d’une méconnaissance de l’état de l’art et de principes élémentaires en matière de sécurité », que « ces vulnérabilités étaient connues et identifiées par la société grâce à plusieurs rapports d’audits », et qu’« en dépit de ces éléments, les failles n’ont été corrigées qu’après les violations de données ».
La spécialisation technique (art. 83 § 2 k) : la formation restreinte juge que « ces circonstances sont aggravées du fait de l’activité de la société, qui est spécialisée dans le conseil en systèmes et logiciels informatiques ». Cette circonstance aggravante est particulièrement remarquable : elle signifie que l’expertise technique professionnelle d’un sous-traitant éditeur de logiciels constitue un facteur d’aggravation de sa responsabilité, et non une circonstance neutre ou atténuante.
C. LES CIRCONSTANCES ATTÉNUANTES RETENUES
La formation restreinte prend en compte deux circonstances atténuantes :
—-« La société a coopéré avec les services de la Commission tout au long de la procédure de contrôle et de sanction » ;
—-Elle « a apporté les correctifs nécessaires à la suite des violations de données », comme en témoignent les résultats des audits de février 2023 (plus que trois vulnérabilités, aucune critique ou importante) et de décembre 2024 (aucune vulnérabilité).
D. L’ABSENCE D’INJONCTION DE MISE EN CONFORMITÉ
La formation restreinte considère « qu’il n’y a pas lieu de prononcer une injonction de mise en conformité dans la mesure où la société a apporté les correctifs nécessaires à la suite des violations de données ».
E. LA PUBLICITÉ DIFFÉRÉE
La formation restreinte prononce la publicité de la décision en estimant qu’elle « permettra notamment d’informer l’ensemble des acteurs du secteur de l’action sociale et médico-sociale sur les mesures de sécurité attendues pour les traitements comportant des données de santé et relatives au handicap ». Elle assortit cette publicité d’une anonymisation différée à l’expiration d’un délai de deux ans, mesure qu’elle juge « proportionnée ».
DISPOSITIF DE LA DÉLIBÉRATION
La formation restreinte de la Commission nationale de l’informatique et des libertés, réunie en séance le 27 novembre 2025, après en avoir délibéré, décide :
Article 1er* — La société NEXPUBLICA FRANCE est sanctionnée d’une amende administrative d’un montant de 1 700 000 (un million sept cent mille) euros* pour manquement à l’article 32 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016.
Article 2 — La présente délibération sera rendue publique sur le site de la Commission et dans son rapport annuel. Il ne sera plus possible d’identifier nommément la société à l’expiration d’un délai de deux ans à compter de sa publication.
A. JURISPRUDENCE ANTÉRIEURE PERTINENTE DE LA CNIL
La délibération SAN-2025-015 s’inscrit dans un ensemble jurisprudentiel cohérent. La délibération SAN-2023-023 du 29 décembre 2023 avait posé le principe que le recours à SHA-1 constitue une méconnaissance de l’état de l’art en matière de cryptographie : NEXPUBLICA ne pouvait donc ignorer que cet algorithme était sanctionnable dès 2023. Antérieurement, plusieurs délibérations avaient sanctionné l’absence de mesures de sécurité élémentaires (gestion des accès, tests de sécurité réguliers) dans des systèmes traitant des données de santé, posant un standard d’exigence élevé pour les opérateurs du secteur médico-social. La délibération SAN-2026-001 du 8 janvier 2026 (FREE MOBILE), qui lui est chronologiquement postérieure de quelques semaines mais rendue publique dans un espace temporel proche, confirme que la CNIL applique les mêmes exigences avec une intensité proportionnelle à la sensibilité et au volume des données — ce que la décision NEXPUBLICA avait déjà démontré pour le secteur social et médico-social.
B. LA DÉCISION NEXPUBLICA COMME PRÉCÉDENT STRUCTURANT
Pour la première fois dans la jurisprudence de la CNIL, la décision SAN-2025-015 : (i) sanctionne un sous-traitant éditeur de logiciel sans mise en cause concomitante du responsable de traitement ; (ii) étend la responsabilité du sous-traitant aux composants technologiques tiers qu’il intègre dans sa solution (framework LIFERAY), indépendamment du fait que ces composants aient été développés par des tiers ; (iii) consacre expressément la notion de défense en profondeur — empruntée à l’ANSSI — comme standard normatif opposable aux organismes traitant des données sensibles ; (iv) affirme que la spécialisation technique du sous-traitant constitue un facteur d’aggravation de sa responsabilité. Ces quatre apports structurent désormais le référentiel jurisprudentiel auquel devront se conformer tous les sous-traitants éditeurs et hébergeurs de solutions informatiques dans les secteurs social, médico-social et, plus largement, dans tout secteur traitant des données de catégorie spéciale au sens de l’article 9 du RGPD.
POINTS ESSENTIELS
Par sa délibération SAN-2025-015 du 22 décembre 2025, la formation restreinte de la CNIL a lourdement sanctionné la société spécialisée en ingénierie informatique NEXPUBLICA FRANCE à hauteur de 1 700 000 euros pour un manquement caractérisé à l’article 32 du RGPD, en raison de défaillances structurelles majeures affectant la sécurité de son progiciel de gestion sociale PCRM déployé au bénéfice de la Maison Départementale pour les Personnes Handicapées (MDPH) du Nord, ayant conduit en novembre 2022 à l’exposition non autorisée des données de santé, de handicap, d’identité et du numéro de sécurité sociale (NIR) de près de 15 000 personnes particulièrement vulnérables ; la décision fustige une négligence grave et persistante du sous-traitant qui, d’une part, a maintenu en production des vulnérabilités critiques d’accès (de type IDOR) formellement identifiées par des audits de code automatisés et des tests d’intrusion successifs menés entre 2021 et 2023 sans procéder à leur correction dans des délais compatibles avec l’état de l’art, et d’autre part, a persisté à utiliser la fonction de hachage cryptographique SHA-1 formellement déclarée obsolète et vulnérable par l’ANSSI depuis 2017, le tout aggravé par une journalisation purement passive inapte à détecter ou tracer précisément l’étendue des exfiltrations de données, confirmant ainsi de manière inédite et implacable la responsabilité autonome, directe et renforcée du sous-traitant éditeur de logiciel vis-à-vis des composants tiers qu’il intègre, sans qu’il puisse se retrancher derrière les instructions du responsable de traitement ou arguer de faux positifs techniques pour s’exonérer de son obligation impérative de garantir une véritable défense en profondeur.
24.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats