S3 1 To
S3 1 To
Connexion Premium
Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société
Déontologie Règles de modération Mentions légales et contact
Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS GitHub Discord

Manquement aux « principes élémentaires en matière de sécurité » : Nexpublica condamnée

Sha alors

Manquement aux « principes élémentaires en matière de sécurité » : Nexpublica condamnée

Illustration : Flock

Le bilan de la CNIL est lourd, ce qui explique le montant de l’amende : 1,7 million d’euros, soit un peu plus de 1% de son chiffre d’affaires. Il faut dire que la société n’a pas respecté des « principes élémentaires » de la cybersécurité, n’a pas corrigé des failles « connues et identifiées » et a utilisé une fonction de hachage obsolète.

Ce 24 décembre, la CNIL a sanctionné la société Nexpublica France (anciennement Inetum Software France) d’une amende de 1 700 000 euros. En cause, « l’insuffisance des mesures techniques et organisationnelles mises en œuvre », sans oublier « la sensibilité des données traitées (en particulier révélant un handicap) ».

Circonstances aggravantes

La CNIL n’est pas tendre avec l’entreprise. La Commission parle d’une « méconnaissance de l’état de l’art et de principes élémentaires en matière de sécurité ». Il y a également des failles de sécurité qui « étaient connues et identifiées par la société grâce à plusieurs rapports d’audits », mais non corrigées. Pour ne rien arranger, « ces circonstances sont aggravées du fait de l’activité de la société, qui est spécialisée dans le conseil en systèmes et logiciels informatiques ».

Nexpublica développe un progiciel baptisé PCRM. C’est un outil de gestion de la relation avec les usagers dans le domaine de l’action sociale. Il est notamment utilisé par des maisons départementales pour les personnes handicapées (alias MDPH).

Dans sa délibération, la formation restreinte de la CNIL explique que début novembre 2022, « des usagers du portail de la MDPH ont signalé avoir accès à des documents concernant des tiers ». Le 29 novembre, la MDPH du Nord a « procédé à une notification de violation de données à caractère personnel » à la CNIL. « Ces notifications de violation de données transmises à la CNIL font état de la survenance de deux incidents de sécurité, liés selon la MDPH à des erreurs de paramétrage par la société Nexpublica ».

Des « erreurs de paramétrage »

Il reste 78% de l'article à découvrir.

Cadenas en colère - Contenu premium

Soutenez un journalisme indépendant,
libre de ton, sans pub et sans reproche.

Accédez en illimité aux articles

Profitez d'un média expert et unique

Intégrez la communauté et prenez part aux débats

Partagez des articles premium à vos contacts

Commentaires (7)

votre avatar
En effet, depuis le 21 janvier 2025, Nexpublica n’est plus une filiale du groupe Inetum
C'est moi, ou la maison mère se débarrasse de sa partie après en avoir profité: les avantages (bénéfices/CA) mais pas les inconvénients (amendes pour délit de 2022).
votre avatar
D'après fr.wikipedia.org Wikipedia :
En janvier 2025, Inetum procède à une réorganisation en se séparant de sa branche en charge des logiciels, Inetum Software, pour en faire une entité indépendante nommée Nexpublica. Cette scission, effective depuis le 21 janvier 2025, a été motivée par le souhait de recentrer l'activité de l'entreprise sur le secteur public. L'entreprise avait été fondée en 1963 par la Caisse des Dépôts pour développer des logiciels destinés aux collectivités territoriales. Les deux societès restent sous le contrôle du fonds d'investissement Bain Capital, qui a acquis Inetum en 2022.
votre avatar
Comme quoi, mêmes (surtout ?) des groupes mondiaux filiale d'ESN rempli d'ingénieur font souvent bien de la M*.
C'est quand qu'on arrête le crédit impôt recherche, ou à minima de le conditionner a des usages qui fonctionnent ?
votre avatar
le CIR n'est pas réservé aux ESN ;)
votre avatar
Certes mais c'est connu que ce type d'entreprise fraude en masse pour récupérer une partie de la perte des inter-contrats ;)
votre avatar
Pour ne rien arranger, « ces circonstances sont aggravées du fait de l’activité de la société, qui est spécialisée dans le conseil en systèmes et logiciels informatiques ».
De plus, « la publicité se justifie au regard de la gravité avérée du manquement en cause, de la sensibilité du traitement, de la négligence [...] ».
C'est évident qu'il faut que cela se sache (je ne connaissais pas cette société).
Si j'étais un de ses clients, je me poserai de sérieuses questions quant à la poursuite de la collaboration avec ces « experts ».
votre avatar
Le second incident a eu pour conséquence des « anomalies d’affichage ». Certains usagers ont ainsi pu lire les « 5 000 premiers enregistrements de la base à travers six pages web différentes du portail ».
Pas d'inquiétude il faut juste changer de navigateur et cette anomalie d'affichage va disparaitre :cartonrouge: