CNIL | SAN-2025-015 | 22 décembre 2025 | Affaire NEXPUBLICA FRANCE | SAN-2025-015-SHORT

Les faits et le contexte du traitement

La société NEXPUBLICA FRANCE — anciennement INETUM SOFTWARE FRANCE — développe et héberge le progiciel PCRM (Public CRM), outil de gestion de la relation avec les usagers dans le domaine de l’action sociale, utilisé par la Maison Départementale pour les Personnes Handicapées (MDPH) du département du Nord. Mis en production le 24 décembre 2019, ce progiciel traite des données à caractère personnel d’une sensibilité extrême : données d’identité, données de santé, données relatives au handicap, numéro de sécurité sociale (NIR), ainsi que des données rvélant la situation financière, familiale, scolaire et professionnelle des personnes. Les 2 et 10 novembre 2022, deux incidents de sécurité successifs, liés à des erreurs de paramétrage, ont permis à des usagers d’accéder aux données personnelles de tiers. Au total, les données de près de 15 000 personnes ont été exposées — dont des données de santé et relatives au handicap relevant de la protection renforcée de l’article 9 du RGPD. La MDPH a notifié ces violations à la CNIL le 29 novembre 2022, déclenchant un contrôle sur place le 24 mai 2023 et l’engagement d’une procédure de sanction à l’issue d’une instruction conduite par le rapporteur M. Fabien TARISSAN.

La responsabilité autonome du sous-traitant

La formation restreinte établit avec une clarté sans équivoque que, « indépendamment des obligations qui pèsent en propre sur le responsable de traitement, il revient au sous-traitant de proposer et de mettre en œuvre les solutions techniques et organisationnelles adéquates en matière de sécurité des traitements ». Cette affirmation consacre une obligation propre et autonome du sous-traitant, non réductible à une simple exécution des instructions du responsable de traitement. Elle est ancrée dans l’article 28, paragraphe 3, c) du RGPD, qui impose au sous-traitant de « prendre toutes les mesures requises en vertu de l’article 32 », et renforcée par le CCTP qui prescrit explicitement à NEXPUBLICA FRANCE une « obligation de conseil, de mise en garde et de recommandations en termes de sécurité et de mise à l’état de l’art ».

Cette responsabilité autonome s’étend également aux sous-traitants ultérieurs : en vertu de l’article 28, paragraphe 4, du RGPD, le sous-traitant initial « demeure pleinement responsable devant le responsable du traitement de l’exécution par l’autre sous-traitant de ses obligations ». Elle s’étend aussi aux briques technologiques tierces intégrées dans la solution : la formation restreinte considère que le « recours à cette brique logicielle relève d’un choix technique de la société NEXPUBLICA FRANCE », laquelle devait s’assurer de son absence de vulnérabilités. La défense tentant de diluer la responsabilité dans une chaîne d’intervenants se heurte ainsi à une logique de concentration de la charge de sécurité sur l’opérateur technique principal.

Les manquements retenus à l’article 32 du RGPD

La formation restreinte identifie quatre catégories de manquements, tous documentés avant la survenance des violations :

Vulnérabilités critiques persistantes issues des audits de code. Des audits de code automatisés réalisés en février et décembre 2021 avaient révélé de nombreuses vulnérabilités critiques et importantes. Certaines n’étaient toujours pas corrigées lors de l’audit de février 2023 — soit plus d’un an après leur identification. La société tentait de limiter la portée de ces audits en invoquant les risques de faux positifs des outils automatisés. La formation restreinte écarte cet argument en relevant que ces évaluations « font partie intégrante de la documentation interne de la société, sur lesquelles une autorité de contrôle peut s’appuyer afin d’apprécier le respect par la société de ses obligations ».

Failles critiques relevées par les tests d’intrusion. Les tests d’intrusion réalisés en décembre 2022 et mars 2023 à la demande de la MDPH ont mis en évidence des vulnérabilités importantes, dont une « faille critique permettant à un utilisateur, en l’absence de contrôle des permissions d’accès aux ressources, de lire des documents ne lui appartenant pas ». Le second rapport constatait que certaines vulnérabilités identifiées en décembre 2022 n’avaient toujours pas été corrigées en mars 2023.

Recours à l’algorithme de hachage SHA-1. L’utilisation de SHA-1 pour certaines suites cryptographiques du protocole TLS 1.2 caractérise une méconnaissance de l’état de l’art en matière de cryptographie. L’ANSSI a indiqué dès 2017, dans son bulletin CERTFR-2017-ACT-013, que cet algorithme « est à présent l’objet d’une vulnérabilité immédiatement exploitable et doit être abandonné ». Des responsables de traitement ayant recouru à SHA-1 ont déjà été sanctionnés par la CNIL (délibération SAN-2023-023 du 29 décembre 2023). La société n’a pas contesté ce point, fragilisant l’ensemble de sa défense sur le volet cryptographique.

Journalisation insuffisante. L’impossibilité pour la société d’indiquer précisément quelles données avaient fait l’objet des violations « met en lumière une traçabilité inefficiente des actions effectuées sur le PCRM ». La formation restreinte rappelle les recommandations de la délibération n° 2021-122 du 14 octobre 2021 relative à la journalisation, préconisant une « traçabilité active » permettant de générer des alertes en cas de comportement anormal — exigence non satisfaite par le dispositif en place au moment des violations.

Le rejet des moyens de défense

La formation restreinte écarte fermement les principaux moyens invoqués. Sur les faux positifs des audits, elle rappelle que ceux-ci constituent des évaluations objectives sur lesquelles l’autorité de contrôle peut légitimement s’appuyer. Sur la correction rapide des vulnérabilités, elle souligne que « ce n’est pas l’absence de réaction de la société à la suite des incidents de sécurité qui lui est reprochée, mais la mise en production du PCRM présentant de telles failles, puis l’absence de correction rapide des vulnérabilités lors de leur identification dans les différents rapports d’audits ». Sur la phase initiale de mise en production, elle est particulièrement tranchée : « une société spécialisée en développement de solutions informatiques ne saurait invoquer son manque de connaissances lorsqu’un de ses produits révèle des vulnérabilités flagrantes qu’elle a laissé perdurer plusieurs mois ». La formation restreinte conclut que la société « a laissé perdurer des problèmes structurels dans son PCRM, conduisant à un niveau global de sécurité faible et à l’absence de mise en œuvre d’un système de défense en profondeur ».

La négligence grave caractérisée

La formation restreinte qualifie la faute de négligence grave, circonstance aggravante au sens de l’article 83, paragraphe 2, b) du RGPD. Cette qualification repose sur la convergence de plusieurs éléments : les vulnérabilités étaient connues et documentées par plusieurs audits successifs ; la société disposait des compétences techniques nécessaires pour les identifier et les corriger ; elles ont néanmoins été maintenues pendant une durée incompatible avec l’obligation de diligence imposée par l’article 32. La CJUE (Natsionalna agentsia za prihodite, 14 décembre 2023, C-20241065) a rappelé que l’obligation de sécurité est préventive et continue : elle doit être satisfaite en amont, au stade de la conception et du déploiement, puis réévaluée au fil du temps. La correction postérieure aux incidents ne saurait donc effacer le manquement antérieur.

L’absence d’injonction et la publicité de la décision

La formation restreinte relève que la société a apporté les correctifs nécessaires à la suite des violations de données, comme en témoignent les résultats des audits de février 2023 et décembre 2024 ne révélant plus aucune vulnérabilité critique ou importante. Elle considère en conséquence qu’il n’y a pas lieu de prononcer une injonction de mise en conformité. Elle prononce néanmoins la publicité de la décision, estimant qu’elle permettra « d’informer l’ensemble des acteurs du secteur de l’action sociale et médico-sociale sur les mesures de sécurité attendues pour les traitements comportant des données de santé et relatives au handicap », avec anonymisation différée à l’expiration d’un délai de deux ans à compter de sa publication — délai demandé par la société elle-même et accordé par la formation restreinte.

Synthèse produite sur la base des sources primaires de l’espace CNIL Analyses 2026 — SAN-2025-015

POINTS ESSENTIELS