CNIL | SAN-2025-015 | 22 DÉCEMBRE 2025 | AFFAIRE NEXPUBLICA FRANCE |
NEXPUBLICA FAIT FI DES VULNERABILITES…DANS TOUS LES SENS DU TERME
ANALYSE CRITIQUE MANQUEMENTS FAQ CONSEILS
L’article 32, paragraphe 1, du RGPD impose au responsable du traitement et au sous-traitant de mettre en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque. Cette obligation, commune aux deux acteurs, s’apprécie en tenant compte de l’état des connaissances, des coûts de mise en œuvre, de la nature, de la portée, du contexte et des finalités du traitement, ainsi que des risques pour les droits et libertés des personnes physiques. Elle englobe, selon les besoins : la pseudonymisation et le chiffrement des données, les moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes, les moyens de rétablir l’accès aux données en cas d’incident, et une procédure de test, d’analyse et d’évaluation régulière de l’efficacité des mesures (article 32 §1 a, b, c, d RGPD).
La délibération SAN-2025-015 du 22 décembre 2025 constitue une application rigoureuse de ce cadre normatif à la situation particulière d’un sous-traitant éditeur et hébergeur d’un progiciel de gestion sociale. La formation restreinte y affirme sans ambiguïté que, « indépendamment des obligations qui pèsent en propre sur le responsable de traitement, il revient au sous-traitant de proposer et de mettre en œuvre les solutions techniques et organisationnelles adéquates en matière de sécurité des traitements ». Cette formulation est décisive : elle consacre une obligation propre, autonome, non réductible à une simple exécution des instructions du responsable de traitement. Elle est renforcée par le cahier des clauses techniques particulières (CCTP) régissant la relation contractuelle entre NEXPUBLICA FRANCE et la MDPH du département du Nord, lequel prescrit explicitement que la société est tenue à « une obligation de conseil, de mise en garde et de recommandations en termes de sécurité et de mise à l’état de l’art » ainsi que de « mettre en place les mesures nécessaires au respect des traitements déclarés » et d’« assurer la sécurité des données à caractère personnel qui pourraient lui être confiées ».
I.
La nature des données traitées et la gravité des risques inhérents
Le progiciel PCRM (Public CRM) développé et hébergé par NEXPUBLICA FRANCE — anciennement INETUM SOFTWARE FRANCE — permet à la MDPH du département du Nord d’assurer son rôle de guichet unique d’information auprès des personnes en situation de handicap et de leurs familles, ainsi que l’instruction administrative et médico-sociale de toute demande de compensation du handicap. La première version du PCRM a été mise en production le 24 décembre 2019. À compter de cette date, le logiciel traite, pour le compte de la MDPH, des données à caractère personnel d’une sensibilité extrême : données d’identité, données de santé, données relatives au handicap, numéro de sécurité sociale (NIR), ainsi que des données révélant la situation financière, familiale, scolaire et professionnelle des personnes concernées.
La formation restreinte insiste sur la dimension combinatoire de ces données : leur agrégation « fournit des informations extrêmement précises sur de nombreux pans de la vie des personnes concernées », notamment sur les établissements fréquentés, le type exact de suivi de la personne, son niveau d’autonomie, les aménagements et le niveau d’aide dont elle bénéficie pour sa vie quotidienne. Les risques associés à leur compromission sont particulièrement graves : usurpation d’identité, tentatives d’hameçonnage (phishing), falsification de documents médicaux, chantage ou messages de détresse factices, discriminations. Les données relatives au handicap constituent des données de santé au sens de l’article 4, paragraphe 15, du RGPD, et bénéficient à ce titre de la protection renforcée prévue par l’article 9. Les personnes en situation de handicap se trouvent dans un rapport de vulnérabilité particulier vis-à-vis des organismes gestionnaires : elles sont souvent contraintes de communiquer des informations très intimes pour accéder aux prestations sociales auxquelles elles ont droit, sans toujours disposer de la capacité de s’opposer à leur collecte ou d’exercer un contrôle effectif sur leur utilisation.
Ce contexte factuel conditionne l’ensemble de l’analyse de la formation restreinte. La sensibilité intrinsèque des données traitées, leur volume, leur caractère combinatoire et la vulnérabilité particulière des personnes concernées constituent le prisme à travers lequel sont appréciées les obligations de sécurité incombant au sous-traitant. Plus les données sont sensibles, plus les mesures de sécurité requises doivent être robustes, actualisées et démontrables.
II.
Les deux incidents de sécurité de novembre 2022 et leur signification structurelle
Les 2 et 10 novembre 2022, des usagers du portail de la MDPH ont signalé avoir accès à des documents concernant des tiers. Ces incidents sont la manifestation visible d’une défaillance architecturale préexistante, et non l’origine des problèmes de sécurité.
Le premier incident s’est déroulé du 26 octobre au 8 novembre 2022 : un paramétrage erroné de la part de NEXPUBLICA FRANCE a permis à des usagers d’accéder à des données de tiers, alors qu’ils n’avaient pas le droit d’en connaître. Si la société indique que seuls deux usagers ont eu la possibilité technique d’accéder aux données de tiers, la MDPH a notifié que 366 personnes se trouvaient exposées par l’erreur de paramétrage elle-même.
Le second incident s’est déroulé du 26 octobre au 14 novembre 2022 : des anomalies d’affichage ont conduit certains usagers à avoir accès, en lecture seule, aux 5 000 premiers enregistrements de la base à travers six pages web différentes du portail. Neuf personnes se sont connectées et ont pu accéder aux données de 14 170 personnes (un enregistrement pouvant concerner plusieurs personnes).
Dans les deux cas, la société s’est trouvée dans l’incapacité de lister précisément les données concernées par les violations. Elle a pu exclure un accès aux pièces jointes (justificatifs d’identité, certificats médicaux) mais n’a pas été en mesure d’indiquer quelles données avaient précisément fait l’objet des violations. Ce point est loin d’être anecdotique : la formation restreinte y voit la preuve d’une « traçabilité inefficiente des actions effectuées sur le PCRM », révélatrice de l’insuffisance du dispositif de journalisation. Au total, les violations de données ont concerné les données personnelles, dont des données de santé, de près de 15 000 personnes.
La MDPH du département du Nord a procédé à une notification de violation de données à caractère personnel auprès de la CNIL le 29 novembre 2022, complétée le 6 mars 2023.
III.
Les défaillances structurelles révélées par les audits successifs
La formation restreinte identifie trois axes de manquement à l’obligation de sécurité, tous documentés par des audits réalisés avant les violations de novembre 2022.
Les vulnérabilités critiques des audits de code automatisés (2021). Des audits de code automatisés réalisés en février et décembre 2021 ont révélé de nombreuses vulnérabilités critiques et importantes affectant le PCRM. Or, certaines de ces vulnérabilités n’étaient toujours pas corrigées lors d’un audit ultérieur réalisé en février 2023 — soit après les violations de données. La formation restreinte écarte l’argument de la société selon lequel ces audits automatisés pourraient contenir des faux positifs en raison de l’absence de contextualisation technique. Elle relève que « les audits dont il est question ont été soit commandités directement par la société (audit de code automatisé), soit par le responsable de traitement (tests d’intrusion) » et qu’« il s’agit d’évaluations faisant partie intégrante de la documentation interne de la société, sur lesquelles une autorité de contrôle peut s’appuyer afin d’apprécier le respect par la société de ses obligations ». Les résultats des bilans ultérieurs confirment la réalité de ces défaillances : le bilan du 14 février 2023 ne listait plus que trois vulnérabilités, dont aucune critique ou importante, et le bilan du 12 décembre 2024 ne listait plus aucune vulnérabilité — ce qui atteste que les correctifs auraient pu être apportés bien plus tôt.
Les vulnérabilités révélées par les tests d’intrusion (décembre 2022 – mars 2023). Les tests d’intrusion réalisés en décembre 2022 et mars 2023, à la demande de la MDPH, ont mis en évidence un niveau de sécurité « moyen » avec des vulnérabilités importantes, dont une « faille critique permettant à un utilisateur, en l’absence de contrôle des permissions d’accès aux ressources, de lire des documents ne lui appartenant pas ». La société indique que cette vulnérabilité était due à une erreur humaine et que les correctifs déployés directement après l’incident de sécurité de novembre 2022 n’avaient pris effet qu’en janvier 2023. La formation restreinte relève que « le second rapport d’audit de mars 2023 faisait apparaître que certaines vulnérabilités identifiées dans le rapport de décembre 2022 n’avaient pas été corrigées ». Elle écarte l’argument selon lequel la société aurait corrigé rapidement les vulnérabilités, soulignant que « ce n’est pas l’absence de réaction de la société à la suite des incidents de sécurité qui lui est reprochée, mais la mise en production du PCRM présentant de telles failles, puis l’absence de correction rapide des vulnérabilités lors de leur identification dans les différents rapports d’audits ». Cette distinction est capitale : le grief ne porte pas sur la réactivité post-incident, mais sur l’insuffisance de la sécurité en amont et sur l’inertie face aux alertes successives.
Le recours à la fonction de hachage SHA-1. La société avait recours à la fonction de hachage cryptographique SHA-1 pour certaines suites cryptographiques du protocole TLS 1.2. Or, l’ANSSI a indiqué dès 2017, dans son bulletin d’actualité CERTFR-2017-ACT-013 du 27 mars 2017, que « l’utilisation de mécanismes cryptographiques de signature reposant sur SHA-1 est à présent l’objet d’une vulnérabilité immédiatement exploitable et doit être abandonnée ». La formation restreinte rappelle que « des responsables de traitement ayant recours à la fonction SHA-1 ont déjà été sanctionnés par la CNIL, cette technologie n’étant plus considérée comme conforme à l’état de l’art » (voir délibération SAN-2023-023 du 29 décembre 2023). La société n’a pas répondu sur ce point. L’absence de contestation spécifique fragilise sa position et laisse entière la démonstration de la CNIL : l’utilisation d’un algorithme disqualifié par l’état de l’art depuis 2017 révèle un défaut de mise en conformité plus large, particulièrement inacceptable dans un logiciel appelé à traiter des données de santé et de handicap.
La journalisation insuffisante. La formation restreinte observe que l’impossibilité pour la société d’indiquer quelles données ont fait l’objet des violations « met en lumière une traçabilité inefficiente des actions effectuées sur le PCRM », témoignant de l’absence de mise en œuvre effective de la délibération n° 2021-122 du 14 octobre 2021 relative à la journalisation, laquelle recommande « une traçabilité active » — c’est-à-dire la mise en place d’un processus permettant de générer des alertes et de les traiter en cas de suspicion de comportement anormal. La société indique avoir mis en place un système de journalisation complémentaire depuis février 2023 : la CNIL en prend acte, mais rappelle que ce correctif postérieur aux incidents ne suffit pas à effacer l’insuffisance antérieure du dispositif.
La formation restreinte tire de l’ensemble de ces éléments une conclusion synthétique : « il ressort de l’instruction que la société NEXPUBLICA FRANCE a laissé perdurer des problèmes structurels dans son PCRM, conduisant à un niveau global de sécurité faible et à l’absence de mise en œuvre d’un système de défense en profondeur ».
IV.
La responsabilité autonome et étendue du sous-traitant
La délibération SAN-2025-015 constitue un jalon majeur dans la définition du périmètre de la responsabilité du sous-traitant. Trois dimensions méritent une attention particulière.
La responsabilité autonome vis-à-vis du responsable de traitement. La formation restreinte établit que la responsabilité du sous-traitant en matière de sécurité est distincte et autonome de celle du responsable de traitement. Elle ne dépend ni de l’existence d’instructions spécifiques du responsable de traitement concernant les mesures de sécurité à déployer, ni d’une éventuelle défaillance concomitante du responsable de traitement dans l’exercice de ses propres obligations de surveillance. L’article 28, paragraphe 3, c) du RGPD impose explicitement au sous-traitant de « prendre toutes les mesures requises en vertu de l’article 32 ». La société NEXPUBLICA FRANCE avait tenté de limiter la portée de sa responsabilité en faisant valoir qu’elle n’avait qu’une autonomie limitée vis-à-vis du responsable de traitement, qui définirait le niveau de sécurité attendu pour le PCRM. La formation restreinte écarte fermement cette argumentation : compte tenu de son expertise en matière de développement de solutions informatiques, « il revenait à la société NEXPUBLICA FRANCE de rechercher les mesures techniques et organisationnelles de nature à assurer la confidentialité des données à caractère personnel traitées ».
La responsabilité étendue aux sous-traitants ultérieurs. La société sous-traite l’hébergement du PCRM à une société certifiée hébergeur de données de santé au sens de l’article L. 1111-8 du code de la santé publique. Elle soutenait que certaines vulnérabilités relevaient de son prestataire hébergeur, et qu’elle ne pouvait en être tenue responsable. La formation restreinte s’appuie sur l’article 28, paragraphe 4, du RGPD — « lorsque cet autre sous-traitant ne remplit pas ses obligations en matière de protection des données, le sous-traitant initial demeure pleinement responsable devant le responsable du traitement de l’exécution par l’autre sous-traitant de ses obligations » — pour affirmer que NEXPUBLICA FRANCE « reste à titre principal responsable du respect des règles en matière de protection des données à caractère personnel par son sous-traitant ultérieur ». Cette position est confortée par l’avis 2/2024 du CEPD relatif à certaines obligations découlant du recours à un ou plusieurs sous-traitants ultrieurs, qui indique que « le sous-traitant initial devrait veiller à proposer des sous-traitants ultrieurs fournissant des garanties suffisantes ». La formation restreinte note également que NEXPUBLICA FRANCE « avait, en tout état de cause, connaissance d’éventuelles failles de sécurité résultant des mesures ou de l’absence de mesures mises en œuvre par la société d’hébergement ».
La responsabilité étendue aux briques technologiques tierces. La société faisait également valoir qu’elle ne pouvait être tenue responsable de composantes relevant de briques technologiques dont elle n’avait pas assuré la conception. La formation restreinte adopte une position particulièrement exigeante : « le recours à cette brique logicielle relève d’un choix technique de la société NEXPUBLICA FRANCE et qu’à ce titre, il lui appartient de s’assurer que cette brique logicielle est exempte de vulnérabilités, au regard des finalités, des moyens et des risques pour le traitement en cause ». Le fait que la MDPH du département du Nord ne prescrive pas le recours à cette brique logicielle spécifique dans le CCTP est décisif : ce choix technique résulte de la seule décision de NEXPUBLICA FRANCE, qui doit en assumer la pleine responsabilité.
V.
Le rejet des moyens de défense et la qualification de la faute
La société NEXPUBLICA FRANCE a soulevé plusieurs moyens de défense que la formation restreinte a écartés avec une sévérité notable.
Sur le droit à ne pas contribuer à sa propre incrimination. La société estimait que son droit à ne pas participer à sa propre incrimination avait été méconnu, dans la mesure où elle avait été contrainte de produire les rapports d’audits qui fondent en grande partie la caractérisation du manquement. La formation restreinte rejette ce moyen en se fondant sur la jurisprudence de la Cour européenne des droits de l’homme (Saunders c. Royaume-Uni [GC] ; O’Halloran et Francis c. Royaume-Uni [GC]) selon laquelle « le droit de ne pas s’incriminer soi-même ne proscrit pas l’usage, dans une procédure pénale, de données que l’on peut obtenir de l’accusé en recourant à des pouvoirs coercitifs mais qui existent indépendamment de la volonté du suspect ». Les rapports d’audits ont été transmis conformément aux dispositions de l’article 19 de la loi Informatique et Libertés.
Sur la valeur probante des audits. La société soutenait que les audits automatisés pouvaient générer des faux positifs. La formation restreinte relève que « les audits dont il est question ont été soit commandités directement par la société (audit de code automatisé), soit par le responsable de traitement (tests d’intrusion) » et que « ces évaluations font partie intégrante de la documentation interne de la société ». Elle souligne que « les audits en question ne constituent pas des jugements de valeur que le rapporteur se serait contenté de reprendre à son compte, mais le résultat d’analyses objectives du système d’information de la société, réalisées suivant une méthodologie précise et documentée ».
Sur la phase initiale de mise en production. La société invoquait sa phase initiale de mise en production et ses connaissances nécessairement limitées. La formation restreinte écarte cet argument de manière particulièrement tranchée : « une société spécialisée en développement de solutions informatiques ne saurait invoquer son manque de connaissances lorsqu’un de ses produits révèle des vulnérabilités flagrantes qu’elle a laissé perdurer plusieurs mois ». La spécialisation dans le conseil en systèmes et logiciels informatiques aggrave le constat, car elle réduit à néant la crédibilité d’un argument tiré d’une supposée inexpertise.
La formation restreinte qualifie la faute de négligence grave : les vulnérabilités étaient connues, documentées, prévenues par des alertes successives, et pourtant maintenues. Cette qualification est d’autant plus sévère qu’elle est retenue à l’encontre d’une société dont la spécialisation technique est précisément le développement de solutions informatiques. La jurisprudence de la CJUE (arrêt Natsionalna agentsia za prihodite, C-20241065, 14 décembre 2023) est mobilisée pour rappeler que l’obligation de sécurité est préventive et non réactive : « l’absence de violation de données à caractère personnel ne suffit pas à démontrer l’absence de manquement, pas plus que la survenance d’une violation de données ne suffit à caractériser en elle-même l’existence d’un manquement à l’article 32 du RGPD ». Ce qui est reprochable, c’est l’état du dispositif de sécurité au moment où le traitement est mis en œuvre — pas seulement l’existence d’un incident.
VI.
Le concept de défense en profondeur comme standard exigible
L’un des apports doctrinaux les plus significatifs de la délibération réside dans la référence explicite au concept de défense en profondeur, dont la formation restreinte fait un standard exigible au sens de l’article 32 du RGPD. Ce concept, formalisé par l’ANSSI dans son Memento sur le concept de défense en profondeur appliqué aux systèmes d’information (version 1.1, 19 juillet 2004), repose sur l’idée fondamentale que « la sécurité d’un système d’information ne doit jamais reposer sur un élément unique, mais sur un ensemble cohérent de mesures techniques et organisationnelles se renforçant mutuellement ».
La formation restreinte constate l’« absence de mise en œuvre d’un système de défense en profondeur » : les mesures partiellement mises en place par NEXPUBLICA FRANCE (notamment une authentification multifacteur et un système de journalisation) ne constituent pas à elles seules un dispositif de sécurité suffisant lorsqu’elles coexistent avec des vulnérabilités critiques connues, un algorithme cryptographique obsolète et une gouvernance défaillante des correctifs.
La défense en profondeur implique que chaque couche de protection — authentification, contrôle des permissions, chiffrement, journalisation active, gestion des composants tiers, surveillance et détection des anomalies — s’ajoute aux autres pour limiter les risques d’exploitation. L’absence ou l’insuffisance d’un seul de ces piliers fragilise la totalité du dispositif. La CNIL consacre ainsi une conception organique de la sécurité des traitements : elle n’est pas satisfaite par l’existence de quelques mesures isolées, mais exige un ensemble cohérent de protections complémentaires, proportionnées à la sensibilité des données traitées et continuellement réévaluées au regard de l’état de l’art.
VII.
Les moyens défensifs écartés et la portée critique de la délibération
La décision soulève des questions critiques auxquelles elle ne répond qu’imparfaitement.
Sur l’articulation avec la responsabilité du responsable de traitement. La délibération ne sanctionne que le sous-traitant, sans examiner les diligences accomplies ou non par la MDPH avant la survenance des incidents. La société NEXPUBLICA FRANCE soulève d’ailleurs cette interrogation en s’étonnant de « l’engagement de sa seule responsabilité dans le cadre de la présente procédure, alors qu’il ne relève pas de la pratique habituelle de la CNIL de ne sanctionner que le sous-traitant ». La formation restreinte répond de manière lapidaire que « l’opportunité d’engager une procédure de sanction relève de la seule appréciation de la Présidente de la Commission », sans préciser les critères ayant conduit à ne pas sanctionner le responsable de traitement. Cette zone d’ombre affaiblit légèrement la cohérence systémique de la décision, même si la responsabilité autonome du sous-traitant est juridiquement bien établie.
Sur la scission intervenue en cours de procédure. La société NEXPUBLICA FRANCE a fait l’objet d’une scission avec le groupe INETUM le 21 janvier 2025, intervenue postérieurement au contrôle de la CNIL en mai 2023 et au rapport de sanction notifié en juin 2025. La formation restreinte note que « la société NEXPUBLICA FRANCE poursuit les activités de conseil en systèmes et logiciels informatiques d’INETUM SOFTWARE FRANCE, et qu’elle reste donc l’entité responsable des manquements constatés », mais ne précise pas si elle a pris en compte les conséquences éventuelles de cette scission sur les capacités financières de la société pour déterminer le quantum.
Sur les délais raisonnables de correction. La délibération ne précise pas explicitement quel délai de correction aurait été considéré comme raisonnable pour les vulnérabilités identifiées. Elle affirme que la persistance de deux ans est « excessive », mais laisse ouverte la question du seuil à partir duquel la durée de maintien d’une vulnérabilité connue caractérise un manquement. Les rférentiels de l’ANSSI fournissent des indications pratiques (15 jours pour les vulnérabilités critiques, 30 jours pour les vulnérabilités importantes), mais ces délais ne sont pas formellement consacrés par la délibération, ce qui maintient une certaine zone d’incertitude normative.
Sur la portée de l’obligation de vérification des composants tiers. La formation restreinte considère que NEXPUBLICA FRANCE devait s’assurer que la brique logicielle tierce intégrée dans sa solution était « exempte de vulnérabilités », mais ne précise pas les modalités pratiques de cette vérification lorsque le code source n’est pas accessible. Ces zones d’ombre, bien réelles, n’affectent pas le sens général de la décision mais témoignent de ce que la doctrine CNIL de la sécurité des traitements continuera de se préciser par strates successives, au gré des contentieux et des audits techniques.
Synthèse produite sur la base des sources primaires de l’espace CNIL Analyses 2026 — SAN-2025-015
POINTS ESSENTIELS
27.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats