Le gendarme de la vie privée a infligé une amende de 1,7 million d’euros à l’éditeur Nexpublica pour manquement à ses obligations de sécurité après des accès non autorisés à des données de santé. Un rappel pour les éditeurs que le traitement de données sensibles implique des exigences de sécurité élevées.
La Commission nationale de l’informatique et des libertés (Cnil) vient de sanctionner l’éditeur de logiciels Nexpublica (anciennement Inetum Software) d’une amende de 1,7 million d’euros au titre du Règlement général sur la protection des données (RGPD).
Gestionnaire des données de la MDPH du Nord
La société était mise en cause en tant que sous-traitant pour l’édition et l’hébergement d’un outil utilisé par la Maison départementale des personnes handicapées (MDPH) du Nord, après des accès non autorisés à des données de santé liées au handicap survenus en 2022.
Les incidents concernaient le portail usager du progiciel Public CRM (PCRM) utilisé pour le suivi administratif et médico-social des dossiers de personnes en situation de handicap.
Deux incidents de sécurité
Cette décision fait suite à deux incidents de sécurité distincts, survenus entre octobre et novembre 2022, signalés par la MDPH à la Cnil. Dans le premier cas, un paramétrage erroné aurait permis à certains usagers d’accéder à des données personnelles de tiers. Dans le second, des anomalies sur le portail en ligne ont conduit à l’exposition de plusieurs milliers d’enregistrements issus de la base de données du logiciel.
Les informations exposées permettaient d’identifier des personnes et de déduire leur situation de handicap.
Un sous-traitant est garant de la sécurité
Au cours de l’instruction, la Cnil s’est attachée à préciser le rôle de Nexpublica en tant que sous-traitant du traitement de données. Si l’éditeur faisait valoir une autonomie limitée dans la définition des mesures de sécurité, l’autorité rappelle que le RGPD impose également au sous-traitant de garantir un niveau de sécurité approprié, en tenant compte de la sensibilité des données traitées par le logiciel.
Dans le détail, des audits de code automatisés menés en 2021 faisaient déjà apparaître un volume important de vulnérabilités, dont plusieurs étaient classées critiques. Certaines de ces failles étaient encore présentes lors d’audits ultérieurs, révélant une persistance des vulnérabilités dans le temps, alors même que leur criticité était connue.
Un niveau global de sécurité insuffisant
Pour le gendarme de la vie privée, cette situation traduit un niveau global de sécurité insuffisant, aggravé par l’absence de mécanisme de défense en profondeur permettant de limiter les conséquences d’une faille isolée.
La Cnil rappelle, en parallèle, que les mécanismes de chiffrement ne correspondent plus à l’état de l’art. Elle dénonce également une traçabilité insuffisante pour retracer précisément les accès aux données.
Si Nexpublica France a fait valoir les correctifs apportés après les incidents et les résultats plus favorables d’audits récents, la Commission rappelle que ces améliorations n’effacent pas les manquements constatés pour la période antérieure.
