Cette décision s’inscrit dans un contexte de renforcement des exigences de la CNIL en matière de cybersécurité, en particulier lorsque les traitements portent sur des données sensibles et concernent des acteurs publics ou parapublics.
Nexpublica France et le logiciel PCRM : un outil clé pour la gestion des données sociales sensibles
Nexpublica France est une société spécialisée dans la conception de systèmes et logiciels informatiques. Elle développe notamment un progiciel de gestion dénommé PCRM, destiné à la gestion de la relation avec les usagers dans le domaine de l’action sociale.
Ce logiciel est utilisé, entre autres, par certaines Maisons départementales des personnes handicapées (MDPH) afin d’assurer le suivi administratif et médico-social de dossiers d’usagers. Il permet, en effet, de traiter des informations particulièrement sensibles, notamment relatives à la situation de handicap, à l’accompagnement social ou à l’accès à des prestations.
Des violations de données personnelles révélatrices de failles persistantes
À la fin du mois de novembre 2022, la CNIL a été destinataire d’une notification de violations de données personnelles émanant d’une MDPH, après que des usagers ont signalé avoir eu accès à des documents concernant des tiers sans y être autorisés.
Ces incidents ont conduit la CNIL à effectuer une mission de contrôle afin de vérifier que le fonctionnement et la sécurité du logiciel PCRM répondent bien aux exigences du droit des données personnelles.
Les investigations ont mis en lumière une situation préoccupante : les mesures techniques et organisationnelles mises en œuvre pour assurer la sécurité des données traitées étaient manifestement insuffisantes, alors même que des rapports d’audits antérieurs avaient identifié plusieurs vulnérabilités.
Ces failles, connues de la société, n’avaient pas été corrigées antérieurement.
Manquement à l’article 32 du RGPD : obligation de sécurité des données personnelles
Pour mémoire, l’article 32 du RGPD impose aux responsables de traitement comme aux sous-traitants de mettre en œuvre des mesures techniques et organisationnelles appropriées, afin de garantir un niveau de sécurité adapté aux risques, compte tenu notamment de :
- l’état des connaissances,
- des coûts de mise en œuvre,
- de la nature et de la finalité des traitements,
- ainsi que des risques pour les droits et libertés des personnes concernées.
La formation restreinte de la CNIL, a alors estimé que Nexpublica France n’avait pas respecté ces exigences.
Elle a notamment relevé une méconnaissance de principes élémentaires de sécurité informatique, combinée à une absence de réaction effective face à des alertes pourtant clairement identifiées.
Cette négligence apparaît d’autant plus grave que les données traitées incluaient des informations relatives au handicap des personnes, relevant de la catégorie des données sensibles au sens de l’article 9 du RGPD (données de santé).
Une sanction financière significative, sans injonction complémentaire
Au regard de l’ensemble de ces éléments, la CNIL a prononcé une amende pécuniaire de 1 700 000 euros, en tenant compte notamment des critères suivants :
- La capacité financière de Nexpublica France,
- La grande sensibilité des données traitées,
- Le nombre de personnes potentiellement concernées,
- La persistance de vulnérabilités connues,
- Et du fait que Nexpublica France est une entreprise spécialisée dans les systèmes et logiciels informatiques, ce qui renforce son niveau d’exigence attendu.
La formation restreinte a considéré que le montant de l’amende était proportionné au regard de la gravité des manquements, conformément aux critères de l’article 83 du RGPD.
Elle n’a toutefois pas prononcé d’injonction de mise en conformité, la société ayant mis en œuvre les mesures correctives nécessaires après la survenance des violations.
Politique de sanctions de la CNIL en 2025 : la cybersécurité comme priorité renforcée
Cette sanction illustre la tension croissante de la CNIL sur la sécurité des données personnelles, en particulier lorsqu’il s’agit de logiciels métiers largement utilisés par des acteurs publics ou dans des secteurs sensibles comme l’action sociale.
La CNIL rappelle ainsi que la sécurité des données ne peut être traitée comme une simple exigence formelle, mais constitue une obligation centrale et continue, tout au long du cycle de vie des données.
Enseignements pratiques pour les sous-traitants et éditeurs de logiciels RGPD
Au regard de ces éléments il apparaît primordial pour les sous-traitants :
- D’anticiper les risques, en intégrant la sécurité dès la conception des soutions (privacy by design et security by design) ;
- D’auditer et de corriger de manière proactive les vulnérabilités identifiées, sans attendre la survenance d’un incident ;
- D’adapter les mesures de sécurité à la sensibilité réelle des données traitées, conformément à l’article 32 du RGPD.
En outre, pour les responsables de traitements (utilisateurs de progiciels), il est nécessaire d’exiger des garanties de sécurité contractuelles auprès des sous-traitants, et de documenter les démarches de conformité.
Décision CNIL du 22 décembre 2025 : un signal fort pour la cybersécurité des logiciels métiers
Par cette décision du 22 décembre 2025, la CNIL adresse un signal fort aux éditeurs de logiciels : la négligence en matière de cybersécurité, en particulier lorsqu’elle concerne des données sensibles et des publics vulnérables, n’est plus tolérée.
Au-delà du cas Nexpublica, cette sanction rappelle que la sécurité des données personnelles est une responsabilité partagée, qui exige rigueur, anticipation et réactivité. En 2025 plus que jamais, l’article 32 du RGPD s’impose comme un pilier central de la conformité, et non comme une obligation secondaire
***
Le cabinet HAAS Avocats est spécialisé depuis trois décennies en droit des nouvelles technologies et de la propriété intellectuelle. Il accompagne de nombreux acteurs du numérique dans le cadre de leurs problématiques judiciaires et extrajudiciaires relatives au droit de l’IP/IT. Dans un monde incertain, choisissez de vous faire accompagner par un cabinet d’avocats fiables. Pour nous contacter, cliquez ici.