ARTICLE
23 January 2026

Données sensibles : la CNIL prononce une amende de 1,7 million d'Euros à l'encontre de NEXPUBLICA France (ex-INETUM)

BL
Bignon Lebray

Contributor

Bignon Lebray logo
Bignon Lebray, a dynamic French law firm with over 40 years’ experience, advises on French and international matters across corporate, M&A, private equity, real estate, banking, tax, employment, public, environmental, competition, IP/IT, and data protection. Its integrated, cross-functional approach covers advisory and litigation, ensuring clients’ flexible, comprehensive, and long-term success.
Explore Firm Details
La société NEXPUBLICA France, spécialisée dans la conception de systèmes et logiciels informatiques, développe le progiciel PCRM...
France Privacy
Nicolas Moreau
Your Author LinkedIn Connections
Nicolas Moreau’s articles from Bignon Lebray are most popular:
  • within Privacy topic(s)
  • in Canada
Bignon Lebray are most popular:
  • within Privacy, Environment and International Law topic(s)

La société NEXPUBLICA France, spécialisée dans la conception de systèmes et logiciels informatiques, développe le progiciel PCRM, utilisé notamment par des maisons départementales des personnes handicapées (MDPH). Fin 2022, plusieurs violations de données personnelles ont été notifiées à la CNIL après que des usagers ont signalé avoir eu accès, via le portail, à des documents concernant des tiers. Les contrôles menés par la CNIL ont révélé l'insuffisance des mesures techniques et organisationnelles mises en œuvre pour assurer la sécurité des données traitées par le logiciel PCRM.

Sur le manquement à l'obligation d'assurer la sécurité des données personnelles

Conformément à l'article 32 du RGPD, le responsable de traitement doit mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque pour les droits et libertés des personnes physiques, tenant compte de l'état des connaissances et de la nature des données traitées.

En l'espèce, les contrôles ont révélé une faiblesse généralisée du système d'information. Constatant que les vulnérabilités identifiées relevaient d'une méconnaissance de principes élémentaires en matière de sécurité et étaient connues par la société grâce à plusieurs rapports d'audit, la CNIL a considéré que la société a fait preuve de négligence en laissant perdurer ces failles. Malgré ces alertes, les corrections n'ont été apportées qu'après que les violations de données aient eu lieu, manquement d'autant plus grave que la société est spécialisée dans le conseil en systèmes informatiques.

Bien que la société se soit depuis mise en conformité, la CNIL a prononcé à son encontre une amende de 1,7 million d'Euros, tenant compte de la méconnaissance de principes élémentaires, du nombre de personnes concernées et de la sensibilité des données traitées (révélant un handicap).

Source :  Délibération SAN-2025-015 du 22 décembre 2025

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.

[View Source]
Authors
Photo of Nicolas Moreau
Nicolas Moreau
Your Author LinkedIn Connections
See More Popular Content From

Mondaq uses cookies on this website. By using our website you agree to our use of cookies as set out in our Privacy Policy.

Learn More