CNIL | SAN-2025-015 | 22 décembre 2025 | Affaire NEXPUBLICA FRANCE | SAN-2025-015-ESSENTIELS

1. La responsabilité autonome et étendue du sous-traitant éditeur de logiciel

La délibération SAN-2025-015 consacre avec une netteté remarquable le principe selon lequel le sous-traitant dispose d’obligations propres et autonomes en matière de sécurité des données, entièrement distinctes de celles du responsable de traitement. En application des articles 28, paragraphe 3, c) et 32 du RGPD, la formation restreinte affirme que « indépendamment des obligations qui pèsent en propre sur le responsable de traitement, il revient au sous-traitant de proposer et de mettre en œuvre les solutions techniques et organisationnelles adéquates en matière de sécurité des traitements ». Cette responsabilité ne dépend d’aucune instruction spécifique du responsable de traitement en matière de sécurité, et ne peut être diluée dans la chaîne contractuelle. Elle s’étend pleinement aux sous-traitants ultérieurs (article 28 §4 RGPD) et aux briques technologiques tierces intégrées dans la solution logicielle — dès lors que ce choix technique résulte de la seule décision du sous-traitant initial. Un prestataire informatique spécialisé ne peut donc ni se retrancher derrière les instructions de son client, ni imputer à des tiers les vulnérabilités affectant sa propre solution.

2. La persistance de vulnérabilités connues comme caractérisation de la négligence grave

La formation restreinte ne fonde pas le manquement sur la seule survenance des violations de données de novembre 2022, mais sur la persistance, pendant plusieurs années, de vulnérabilités critiques identifiées par des audits successifs et non corrigées avant les incidents. Des audits de code automatisés réalisés en février et décembre 2021 avaient révélé de nombreuses vulnérabilités critiques et importantes ; les tests d’intrusion de décembre 2022 et mars 2023 en avaient confirmé la persistance, dont une « faille critique permettant à un utilisateur, en l’absence de contrôle des permissions d’accès aux ressources, de lire des documents ne lui appartenant pas ». La CNIL rappelle, s’appuyant sur la jurisprudence de la CJUE (Natsionalna agentsia za prihodite, 14 décembre 2023, C-20241065), que l’obligation de sécurité est préventive et continue : elle doit être satisfaite en amont de tout incident. La société NEXPUBLICA FRANCE est donc sanctionnée non pas pour avoir manqué de réactivité après les violations, mais pour avoir mis en production un logiciel présentant de telles failles et pour n’avoir pas corrigé rapidement les vulnérabilités pourtant documentées — ce qui caractérise une négligence grave, circonstance aggravante au sens de l’article 83, paragraphe 2, b) du RGPD.

3. L’état de l’art cryptographique comme standard objectif et non négociable

L’utilisation de la fonction de hachage SHA-1 pour certaines suites cryptographiques du protocole TLS 1.2 illustre un point de doctrine constant dans la jurisprudence de la CNIL : le respect de l’état de l’art en matière de cryptographie constitue une obligation objective, dont la violation ne peut être justifiée par le simple fait que le système fonctionne encore ou que l’exploitation de la vulnérabilité n’a pas encore été constatée. L’ANSSI a indiqué dès 2017, dans son bulletin CERTFR-2017-ACT-013 du 27 mars 2017, que l’utilisation de SHA-1 « est à présent l’objet d’une vulnérabilité immédiatement exploitable et doit être abandonnée ». La CNIL a déjà sanctionné ce manquement dans la délibération SAN-2023-023 du 29 décembre 2023. La délibération SAN-2025-015 confirme que la mise à niveau régulière des briques cryptographiques intégrées dans un système d’information n’est pas une option facultative mais une composante obligatoire de l’obligation de sécurité prévue par l’article 32, paragraphe 1, a) du RGPD — particulièrement pour un logiciel traitant des données de santé et de handicap relevant de la protection renforcée de l’article 9 du RGPD.

4. La journalisation active comme composante structurelle de la sécurité des traitements

L’impossibilité pour NEXPUBLICA FRANCE d’indiquer avec précision quelles données avaient fait l’objet des violations « met en lumière une traçabilité inefficiente des actions effectuées sur le PCRM », selon les termes mêmes de la formation restreinte. Cette défaillance n’est pas anecdotique : elle révèle l’absence de mise en œuvre effective de la délibération n° 2021-122 du 14 octobre 2021 relative à la journalisation, laquelle recommande une « traçabilité active », c’est-à-dire la mise en place d’un processus permettant non seulement d’enregistrer les événements de sécurité, mais aussi de générer des alertes et de les traiter en cas de suspicion de comportement anormal. Une journalisation purement passive — qui consiste seulement à enregistrer des événements sans mécanisme de surveillance actif — ne répond pas aux exigences de l’article 32 du RGPD lorsqu’elle n’offre aucune capacité de détection et de réaction dans un traitement manipulant des données aussi sensibles. La délibération SAN-2025-015 intègre ainsi la journalisation active dans le standard de la défense en profondeur exigée d’un sous-traitant éditeur d’une solution de gestion sociale.

5. La défense en profondeur comme standard systémique exigible par la CNIL

La délibération SAN-2025-015 consacre explicitement le concept de défense en profondeur, formalisé par l’ANSSI, comme standard exigible au sens de l’article 32 du RGPD. La formation restreinte reproche à NEXPUBLICA FRANCE non pas l’absence de toute mesure de sécurité — la société avait mis en place une authentification multifacteur et un système de journalisation — mais l’« absence de mise en œuvre d’un système de défense en profondeur », résultant de la coexistence de ces mesures partielles avec des vulnérabilités critiques connues, un algorithme cryptographique obsolète et une gouvernance défaillante des correctifs. Ce concept impose que la sécurité d’un système d’information repose sur un ensemble cohérent et redondant de protections complémentaires — authentification forte, contrôle des permissions, chiffrement à l’état de l’art, journalisation active, gestion rigoureuse des composants tiers, politique structurée de correction des vulnérabilités —, de sorte que la faiblesse de l’un des piliers soit compensée par la robustesse des autres. L’absence ou l’insuffisance d’un seul de ces piliers fragilise la totalité de l’édifice et suffit à caractériser le manquement à l’obligation de sécurité, même si d’autres mesures sont par ailleurs en place.

POINTS ESSENTIELS