latribune.fr
Les investigations ont mis au jour deux incidents distincts : le premier a concerné 366 personnes, tandis que le second a rendu accessibles les données de 14 170 individus. Les informations compromises incluaient des précisions sur la nature du...
Reuters
La Commission nationale de l’informatique et des libertés (Cnil) a rendu publique une amende de 1,7 million d’euros visant la société Nexpublica France. L'entreprise, qui opérait précédemment sous le nom d'Inetum Software France, est sanctionnée pour une faiblesse généralisée de son système d’information et une négligence structurelle dans la gestion de son progiciel — un terme désignant un produit logiciel complet et adaptable — nommé PCRM.
Cet outil constitue le pivot de la gestion des relations avec les usagers pour les Maisons départementales pour les personnes handicapées (MDPH). Fin 2022, une violation de données massive a été révélée à la suite de signalements d'utilisateurs qui pouvaient accéder librement à des dossiers appartenant à des tiers. Les investigations ont mis au jour deux incidents distincts : le premier a concerné 366 personnes, tandis que le second a rendu accessibles les données de 14 170 individus. Les informations compromises incluaient des précisions sur la nature du handicap des usagers, une catégorie de données considérée par la loi comme particulièrement délicate en raison des risques de discrimination ou d'atteinte à la dignité.
Face au régulateur, la défense de Nexpublica a tenté de limiter sa responsabilité en invoquant son statut de sous-traitant ou l'utilisation de composants logiciels tiers. Cet argument a été fermement écarté par la Commission. En s'appuyant sur l'article 32 du Règlement général sur la protection des données (RGPD), la Cnil a réaffirmé que le prestataire technique est tenu de garantir un niveau de sécurité proportionné aux risques encourus, indépendamment des obligations qui incombent au responsable de traitement, à savoir l'administration cliente.
L'analyse de l'autorité de contrôle souligne une passivité préoccupante. Les vulnérabilités étaient connues de la direction de l'entreprise grâce à plusieurs audits internes et des tests d'intrusion réalisés bien avant que les fuites ne surviennent. Nexpublica a laissé perdurer des failles techniques qualifiées de méconnaissance de l'état de l'art, signifiant que les protections élémentaires recommandées par les standards professionnels actuels n'étaient pas appliquées. Cette inertie face à des risques identifiés a constitué une circonstance aggravante dans le calcul de la sanction.
Au-delà de la sanction financière, cette affaire remet au centre du débat la question de la journalisation. Ce dispositif de traçabilité permet d'enregistrer chronologiquement tous les accès et les actions effectués sur un système informatique. Ces journaux sont des outils de détection indispensables pour repérer une intrusion ou identifier l'origine d'une fuite de données après coup.
Chaque jour à 13h, l’essentiel de l’actualité tech.
La Cnil préconise généralement une durée de conservation de ces enregistrements comprise entre six mois et un an. Ce délai permet d'équilibrer les nécessités de la cybersécurité et le respect de la vie privée des agents habilités à consulter ces fichiers. Toutefois, pour des traitements impliquant des données sensibles comme celles des MDPH, cette période de conservation peut être portée à trois ans si l'analyse de risque le justifie.
Pour le régulateur, la sécurité ne doit plus être envisagée comme une mesure corrective appliquée après un incident, mais comme une composante native des logiciels dès leur conception. C’est le principe de la protection des données dès la conception. Désormais, les responsables de traitement publics sont invités à intégrer des clauses de traçabilité strictes dans leurs procédures de passation de marchés. Le prestataire a, de son côté, l'obligation de fournir les outils nécessaires pour que son client puisse prouver sa conformité aux règles en vigueur.
L'amende de 1,7 million d'euros a été calibrée en tenant compte de la gravité des manquements et de la surface financière de Nexpublica. Ce verdict envoie un signal explicite aux éditeurs de logiciels : le traitement de données personnelles sensibles impose une rigueur technique absolue, faute de quoi ils s'exposent à des sanctions capables de fragiliser leur équilibre économique.
latribune.fr
