Données de santé et sécurité : la CNIL sanctionne lourdement un éditeur de logiciel

La dernière décision de la CNIL en 2025 envoie un message clair aux éditeurs de logiciels, en particulier dans le secteur de la santé : un éditeur a été sanctionné à hauteur de 1,7 million d’euros pour n’avoir pas mis en œuvre un niveau de sécurité suffisant sur un logiciel traitant des données de santé.

Cette sanction illustre le renforcement des exigences de la CNIL en matière de sécurité et la responsabilité directe des éditeurs, y compris lorsqu’ils agissent comme sous-traitants. La sécurité des logiciels n’est plus un simple enjeu technique : elle constitue un risque business et juridique majeur.

Cet article décrypte les enseignements clés de la décision et propose des bonnes pratiques concrètes à destination des éditeurs de logiciels, notamment en santé, afin d’anticiper les contrôles et de limiter les sanctions.

La société NEXPUBLICA France, spécialisée dans la conception de systèmes et de logiciels informatiques, a développé un progiciel dénommé Public CRM (PCRM). Cet outil est destiné au secteur de l’action sociale et est notamment utilisé par certaines maisons départementales des personnes handicapées (MDPH) pour gérer les relations avec les usagers. PCRM permet d’assurer le suivi des demandes gérées par les MDPH ont la charge, tout en offrant aux usagers la possibilité de consulter l’état d’avancement de leur dossier.

À la fin de l’année 2022, des usagers ont alerté un client de la société de la possibilité d’accéder aux données personnelles d’autres utilisateurs du logiciel. Cette situation constituait une violation de données à caractère personnel au sens de l’article 4 du RGPD. Le client a alors notifié l’incident à la CNIL, conformément à l’article 33 du RGPD, sans être en mesure d’identifier précisément le nombre de personnes ou de données concernées. La CNIL a décidé de diligenter une mission de contrôle sur place auprès de NEXPUBLICA France. C’est ce contrôle qui a abouti à la sanction de l’éditeur du logiciel.  

Rôle et responsabilités d’un éditeur de logiciel : une obligation de sécurité des données étendue aux sous-traitants ultérieurs

La CNIL rappelle que l’éditeur de logiciel agit en tant que sous-traitant et à ce titre qu’il est tenu de garantir un niveau de sécurité suffisant des traitements automatisés de données personnelles mis en œuvre pour le compte du responsable de traitement. Compte tenu de son expertise en matière de développement de solutions informatiques, il appartient à l’éditeur de proposer et de déployer des mesures techniques et organisationnelles adaptées et nécessaires afin d’assurer la sécurité et la confidentialité des données.

L’éditeur avait tenté de limiter sa responsabilité en invoquant celle de ses sous-traitants ultérieurs, notamment l’hébergeur de données de santé et de faire peser l’entière responsabilité sur le responsable de traitement. La CNIL a écarté cet argument, considérant que le recours à un sous-traitant ultérieur relevait en l’espèce du seul choix technique de la société NEXPUBLICA France. Il lui appartenait donc de s’assurer que les solutions proposées étaient exemptes de vulnérabilités, conformément à la position du CEPD, selon laquelle le sous-traitant initial demeure pleinement responsable de l’exécution des obligations des sous-traitants ultérieurs.  

Une analyse très circonstanciée des mesures de sécurité mises en place par la CNIL

La CNIL analyse les éléments suivants pour apprécier le niveau de sécurité exigé d’un logiciel :

  • Les caractéristiques du traitement de données : nature des données (sensibles), volume de données, personnes concernées (publics vulnérables), rôle du logiciel
  • Les impacts potentiels d’une violation pour les personnes concernées : usurpation d’identité, tentative d’hameçonnage (ou phishing), falsification de documents, chantage ou message de détresse factices, risques de discriminations
  • L’état de l’art : recommandations de l’ANSSI, doctrine et bonnes pratiques (ex. abandon des techniques SHA obsolètes, recours au principe de « défense en profondeur »)
  • Les compétences de l’éditeur : expertise revendiquée en systèmes et logiciels informatiques
  • Les audits de sécurité : contenu des rapports internes et externes réalisés par des experts
  • La gestion des vulnérabilités par l’éditeur : identification et correction des vulnérabilités, dispositifs d’alerte et de traitement des comportements anormaux

La CNIL rappelle que l’obligation de sécurité prévue à l’article 32 du RGPD est une obligation de moyens. Elle précise également que l’existence d’une violation de données ne caractérise pas, en elle-même, un manquement à l’article 32 du RGPD, pas plus que l’absence de violation n’exclut un tel manquement. Ce ne sont donc pas les violations en tant que telles qui fondent le manquement à l’article 32 du RGPD, mais l’insuffisance globale et structurelle des mesures de sécurité au sein du logiciel.

S’agissant de l’état de l’art, la CNIL se réfère notamment au principe de « défense en profondeur » promu par l’ANSSI, lequel implique que la sécurité ne repose pas sur un mécanisme isolé mais sur un ensemble cohérent et cumulatif de mesures techniques et organisationnelles. Or, cette approche globale ne semble pas avoir été prise en compte par l’éditeur. La CNIL relève en particulier que la société NEXPUBLICA France a eu recours à la fonction de hachage SHA-1, identifiée comme vulnérable et déconseillée depuis 2017. L’utilisation d’un tel procédé, non conforme aux standards de sécurité actuels, caractérise un manquement à l’obligation de garantir l’intégrité des données à caractère personnel.

La CNIL souligne également que, compte tenu de son expertise en développement de solutions informatiques, l’éditeur de logiciel ne pouvait pas invoquer un défaut de connaissances pour justifier la persistance de vulnérabilités manifestes pendant plusieurs mois. L’analyse de deux rapports d’audit de code, réalisés à six mois d’intervalle, met en évidence une augmentation des vulnérabilités critiques ainsi que la persistance de nombreuses failles. Or, au vu des vulnérabilités, la société aurait dû régir plus rapidement et mettre en œuvre des mesures correctrices.  

En outre, malgré la mise en place de journalisation et d’authentification multi facteur, l’impossibilité d’identifier précisément les données concernées par la violation survenue en 2022 révèle une traçabilité insuffisante des actions réalisées sur le PCRM et ainsi une faiblesse généralisée du système d’information.  

Enfin, la CNIL considère que même corrigées ultérieurement, ces vulnérabilités ont bien existé à un niveau de criticité élevé, révélant un manquement passé aux obligations de sécurité.  

Check-list sécurité – Ce que les éditeurs de logiciels (notamment en santé) doivent retenir de cette décision :

Quand ils identifient une vulnérabilité au sein du logiciel, il convient :  

  • D’adopter une démarche proactive et réactive, même en l’absence de violation de données
  • De corriger sans délai les failles critiques et documenter les actions correctrices
  • De ne pas mettre en production une nouvelle version du logiciel tant que les vulnérabilités critiques ne sont pas corrigées
  • D’informer les clients des mesures correctrices mises en place pour corriger les vulnérabilités
  • Si une violation de données résulte de la vulnérabilité, l’éditeur peut anticiper les notifications des clients à la CNIL et aux personnes concernées en leur transmettant des modèles

De manière générale et hors cas de violation de données ou vulnérabilité, les éditeurs doivent :  

  • Se tenir en permanence à jour des recommandations de sécurité et notamment s’aligner sur les standards reconnus : OWASP, l’ANSSI
  • Réaliser ou faire réaliser des audits réguliers en prenant en compte et traitant effectivement les résultats
  • Vérifier les obligations de conseil, d’alerte et de mise en garde prévues au contrat avec les clients  

Enfin, parmi les récentes violations de données personnelles, nous soulignons le bon exemple donné par l’éditeur du logiciel médical Weda. L’incident a concerné un nombre très important de maisons de santé et de professionnels de santé et la réaction de l’éditeur a été exemplaire. Weda a adopté une approche proactive, tant dans la correction technique que dans l’accompagnement de ses clients. En effet Weda a fourni aux professionnels de santé et maisons de santé une communication claire sur l’incident, un guide pas à pas pour la notification à la CNIL ainsi que des supports prêts à l’emploi pour l’information des patients. C’est précisément cette démarche pro-active et réactive de la part des éditeurs de logiciels (en santé) qui est attendue par la CNIL.

Pour toute question ou besoin d’accompagnement, n’hésitez pas à contacter notre équipe IT/Data !  

Clémentine Beaussier, avocate associée chez Squair

Lire l'article
Ecouter l'épisode
Lire le communiqué
Voir la vidéo
En savoir plus
2 janvier 2026
Say, hi !
Cta Arrow
Saturday - Thursday :
8:30 am - 10:45 pm
Call for an appointment

hello@libertylaw.com

Brand logo

© 2024

Squair

Pages
Accueil
Activités
Équipe
Actualités
Contact
Informations Légales
Mentions Légales
Conditions générales d'utilisation
Politique de confidentialité