Sécurité des données : la Cnil sanctionne Nexpublica France d’une amende de 1,7 million d’euros

Par une délibération du 22 décembre 2025, la Commission nationale de l’informatique et des libertés (ci-après « la Cnil ») a infligé une amende de 1,7 million d’euros à la société Nexpublica France (anciennement Inetum) pour des manquements graves à son obligation de sécurité des données personnelles. Cette sanction concerne un logiciel de gestion des usagers utilisé dans le secteur de l’action sociale et rappelle avec force que la protection des données, en particulier lorsqu’elles concernent des personnes vulnérables, constitue une exigence centrale du Règlement général sur la protection des données (ci-après « le RGPD »).   

La sécurité des données, une obligation cardinale du RGPD 

La sécurité des données personnelles repose sur l’ensemble des mesures techniques et organisationnelles destinées à prévenir les accès non autorisés, les divulgations accidentelles ou illicites, ainsi que toute altération ou perte d’informations. Le RGPD consacre cette exigence à son article 32, qui impose aux responsables de traitement et à leurs sous-traitants de garantir un niveau de sécurité adapté aux risques, compte tenu notamment de la nature des données traitées et des personnes concernées. 

Lorsque ces obligations ne sont pas respectées, les conséquences peuvent être particulièrement graves, tant pour la vie privée des personnes que pour la confiance accordée aux services numériques, en particulier dans les secteurs sensibles tels que l’action sociale ou médico-sociale.   

Des alertes révélant des failles structurelles du logiciel 

L’affaire trouve son origine à la fin du mois de novembre 2022, lorsque plusieurs clients du logiciel PCRM, un progiciel de gestion de la relation avec les usagers développé par Nexpublica France, ont alerté la Cnil. Ils avaient constaté que certains usagers pouvaient accéder à des documents contenant des informations relatives à d’autres personnes, en dehors de toute autorisation légitime. 

Les contrôles menés par la Cnil ont mis en évidence des vulnérabilités structurelles affectant l’architecture et l’organisation des données du logiciel. Ces failles permettaient des accès non autorisés à des documents confidentiels, sans que des mesures de cloisonnement ou de restriction adéquates n’aient été mises en place.   

Des manquements caractérisés aux exigences de sécurité 

À l’issue de la procédure, la formation restreinte de la Cnil — l’organe chargé de prononcer les sanctions — a retenu plusieurs manquements aux obligations issues du RGPD. Il a notamment été reproché à Nexpublica France de ne pas avoir mis en œuvre des mesures de sécurité adaptées au regard des risques encourus, ainsi que de ne pas avoir assuré un niveau suffisant de protection des données par des mesures techniques et organisationnelles appropriées. 

La Cnil a considéré que ces insuffisances révélaient une négligence de principes élémentaires de protection des données, d’autant plus préoccupante que le logiciel concerné était destiné à accompagner des services publics intervenant auprès de populations vulnérables.   

Des données sensibles et des personnes particulièrement vulnérables 

Les données concernées par les failles de sécurité n’étaient pas anodines. Certaines révélaient des informations sensibles, notamment en lien avec des situations de handicap ou de précarité, traitées dans le cadre de dispositifs d’accompagnement social. L’exposition de telles données à des tiers non autorisés porte atteinte à la confidentialité des personnes concernées et peut entraîner des conséquences lourdes sur leur vie privée. 

Dans ce contexte, la Cnil a estimé que la gravité des manquements, l’ampleur de l’exposition des données et la nature des informations traitées justifiaient une sanction financière significative, tenant également compte de la situation économique de l’entreprise. 

Une sanction inscrite dans une dynamique répressive renforcée 

Cette décision s’inscrit dans une série de sanctions prononcées par la Cnil ces dernières années pour des manquements à l’obligation de sécurité des données. Elle confirme une ligne constante de l’autorité de contrôle : la sécurité ne constitue pas une exigence secondaire ou accessoire, mais une obligation fondamentale du RGPD, dont la méconnaissance expose les acteurs à des sanctions substantielles. 

À l’heure où les enjeux de cybersécurité et de protection de la vie privée occupent une place croissante, la Cnil rappelle ainsi que les responsables de traitement et leurs prestataires doivent placer la confidentialité, l’intégrité et la disponibilité des données personnelles au cœur de leurs dispositifs techniques et organisationnels. 

Par LOCK-T    

Avec la participation de Divine ANTONIO, stagiaire