Source: CNIL — Le 22 décembre 2025, la CNIL a prononcé une amende de 1 700 000 € contre NEXPUBLICA FRANCE (ex-INETUM SOFTWARE FRANCE) pour des mesures de sécurité insuffisantes dans son progiciel PCRM utilisé dans l’action sociale.
• Contexte et produit concerné: NEXPUBLICA FRANCE développe le progiciel PCRM, un outil de gestion de la relation avec les usagers, notamment utilisé par des MDPH. Fin novembre 2022, des clients ont notifié à la CNIL des violations de données après que des usagers ont pu accéder à des documents concernant des tiers.
• Constats de la CNIL: Des contrôles ont révélé des mesures techniques et organisationnelles insuffisantes. Les vulnérabilités du PCRM relevaient pour la plupart d’une méconnaissance de l’état de l’art et de principes élémentaires de sécurité, et étaient déjà connues via plusieurs rapports d’audits. Les failles n’ont été corrigées qu’après les violations.
• Gravité et facteurs aggravants: La situation est jugée plus grave car la société est spécialisée dans le conseil en systèmes et logiciels informatiques. L’amende tient compte des capacités financières, de la méconnaissance de principes élémentaires, du nombre de personnes concernées et de la sensibilité des données (notamment celles révélant un handicap).
• Sanction et suite: Une amende de 1 700 000 € a été prononcée pour manquement à l’article 32 du RGPD (sécurité du traitement). Aucune injonction n’a été décidée, la société ayant apporté les correctifs après les incidents. Références: Délibération n° SAN – 2025-015.
IOC/TTP: Aucun indicateur de compromission (IOC) ni TTP spécifique mentionné.
Type d’article: décision/sanction administrative visant à informer sur un incident de conformité au RGPD 🔐⚖️
🔗 Source originale : https://www.cnil.fr/fr/securite-des-donnees-sanction-de-1-700-000-euros-lencontre-de-la-societe-nexpublica-france