NEXPUBLICA FRANCE : sanction CNIL (logiciel PCRM)
La CNIL inflige 1,7 M€ à NEXPUBLICA FRANCE pour défaut de sécurité de son logiciel PCRM, ayant exposé des données de santé d'usagers de MDPH.
- Organisation
- NEXPUBLICA FRANCE (anciennement INETUM SOFTWARE FRANCE)
- Secteur
- Secteur public
- Pays
- France
- Date des faits
- Octobre-novembre 2022 (violations de données), décision de sanction du 22 décembre 2025
- Ampleur
- environ 14 170 personnes pour l'une des violations (plusieurs milliers d'usagers de MDPH concernés)
- Vecteur
- mauvaise config
- Données exposées
- Données de santé, Information révélant un handicap, Documents personnels d'usagers de MDPH, Données d'identité
Le 22 décembre 2025, la formation restreinte de la CNIL a prononcé une amende de 1 700 000 euros à l’encontre de NEXPUBLICA FRANCE (anciennement INETUM SOFTWARE FRANCE), éditeur de logiciels, pour manquement à l’obligation de sécurité des données prévue à l’article 32 du RGPD. La sanction vise le logiciel PCRM, un outil de gestion de la relation usager utilisé dans le champ de l’action sociale, notamment par des Maisons départementales des personnes handicapées (MDPH).
Fin novembre 2022, des clients de la société ont notifié à la CNIL des violations de données : des utilisateurs des portails pouvaient accéder à des documents concernant des tiers, à la suite d’erreurs de configuration. Les données exposées présentaient un caractère sensible, certaines révélant l’existence d’un handicap ou des informations de santé. Selon la lecture de la délibération SAN-2025-015 par les sources spécialisées, l’une des violations aurait concerné environ 14 170 personnes ; le communiqué officiel évoque plus globalement un nombre important d’usagers affectés sans en publier le total consolidé.
La CNIL a retenu que les vulnérabilités du PCRM résultaient pour l’essentiel d’une méconnaissance de l’état de l’art et des principes élémentaires de sécurité, et qu’elles avaient déjà été identifiées dans plusieurs rapports d’audit antérieurs sans avoir été corrigées avant la survenance des incidents. La délibération mentionne notamment l’usage d’algorithmes obsolètes (SHA-1) et l’absence d’une architecture de défense en profondeur. La spécialisation de la société dans la conception de systèmes informatiques a été considérée comme un facteur aggravant.
Le montant de l’amende a été fixé en tenant compte de la capacité financière de l’entreprise, du manquement aux principes de base de la sécurité, du nombre de personnes concernées et de la sensibilité des données traitées. Aucune injonction n’a été prononcée, la société ayant corrigé la majorité des failles après les violations. Ces éléments sont confirmés par le communiqué officiel de la CNIL et la délibération publiée sur Légifrance.
Sources
- Sécurité des données : sanction de 1 700 000 euros à l'encontre de la société NEXPUBLICA FRANCE (CNIL)
- Data security: NEXPUBLICA FRANCE fined €1,700,000 (CNIL, version anglaise)
- Délibération SAN-2025-015 du 22 décembre 2025 (Légifrance)
- Sanction de 1 700 000 euros infligée à NEXPUBLICA FRANCE pour insuffisance des mesures de sécurité (Portail RGPD)
- CNIL : 1,7 M€ d'amende à NEXPUBLICA FRANCE pour failles de sécurité dans le logiciel PCRM (CyberVeille)