Sécurité des données : sanction de 1 700 000 euros à l’encontre de la société NEXPUBLICA FRANCE

Le contexte

La société NEXPUBLICA France (anciennement INETUM SOFTWARE FRANCE), spécialisée dans la conception de systèmes et logiciels informatiques, développe un progiciel dénommé PCRM, qui est un outil de gestion de la relation avec les usagers dans le domaine de l’action sociale, notamment utilisé par des maisons départementales pour les personnes handicapées (MDPH) de certains départements.

Fin novembre 2022, des clients de la société NEXPUBLICA ont procédé à des notifications de violation de données personnelles auprès de la CNIL, car des usagers du portail leur ont signalé avoir accès à des documents concernant des tiers. La CNIL a alors réalisé des contrôles auprès de la société, qui ont révélé l’insuffisance des mesures techniques et organisationnelles mises en œuvre par cette dernière afin d’assurer la sécurité des données traitées au travers du logiciel PCRM. 

En conséquence, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a prononcé une amende de 1 700 000 euros à l’encontre de la société NEXPUBLICA FRANCE, tenant compte des capacités financières de la société, de la méconnaissance de principes élémentaires en matière de sécurité, du nombre de personnes concernées et de la sensibilité des données traitées (en particulier révélant un handicap).

Un manquement à l’obligation d’assurer la sécurité des données personnelles (article 32 RGPD)

L’article 32 du RGPD prévoit que le responsable de traitement et le sous-traitant doivent mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, tenant compte de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des objectifs (finalités) du traitement ainsi que des risques pour les droits et libertés des personnes physiques.

La formation restreinte a considéré que la société ne s’est pas conformée à ces exigences pour la mise en œuvre de son PCRM compte tenu de la faiblesse généralisée du système d’information et de la négligence dont elle a fait preuve en laissant perdurer des problèmes structurels de sécurité.

Elle a effet considéré que les vulnérabilités constatées dans le PCRM :

• relevaient pour la plupart d’une méconnaissance de l’état de l’art et de principes élémentaires en matière de sécurité ;
• étaient connues et identifiées par la société grâce à plusieurs rapports d’audits.

En dépit de ces éléments, les failles n’ont été corrigées qu’après les violations de données.

Ces circonstances sont aggravées du fait de l’activité de la société, qui est spécialisée dans le conseil en systèmes et logiciels informatiques.

La formation restreinte n’a pas prononcé d’injonction de mise en conformité dans la mesure où la société a apporté les correctifs nécessaires à la suite des violations de données.