Bignon Lebray, a dynamic French law firm with over 40 years’ experience, advises on French and international matters across corporate, M&A, private equity, real estate, banking, tax, employment, public, environmental, competition, IP/IT, and data protection. Its integrated, cross-functional approach covers advisory and litigation, ensuring clients’ flexible, comprehensive, and long-term success.

Article Insights

Nicolas Moreau’s articles from Bignon Lebray are most popular: within Privacy topic(s)

in European Union

in European Union

in European Union

in European Union

in European Union

in European Union

in European Union

with readers working within the Law Firm industries Bignon Lebray are most popular: within Privacy, Employment and HR and Environment topic(s)

La société NEXPUBLICA France, spécialisée dans la conception de systèmes et logiciels informatiques, développe le progiciel PCRM, utilisé notamment par des maisons départementales des personnes handicapées (MDPH). Fin 2022, plusieurs violations de données personnelles ont été notifiées à la CNIL après que des usagers ont signalé avoir eu accès, via le portail, à des documents concernant des tiers. Les contrôles menés par la CNIL ont révélé l'insuffisance des mesures techniques et organisationnelles mises en œuvre pour assurer la sécurité des données traitées par le logiciel PCRM.

Sur le manquement à l'obligation d'assurer la sécurité des données personnelles

Conformément à l'article 32 du RGPD, le responsable de traitement doit mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque pour les droits et libertés des personnes physiques, tenant compte de l'état des connaissances et de la nature des données traitées.

En l'espèce, les contrôles ont révélé une faiblesse généralisée du système d'information. Constatant que les vulnérabilités identifiées relevaient d'une méconnaissance de principes élémentaires en matière de sécurité et étaient connues par la société grâce à plusieurs rapports d'audit, la CNIL a considéré que la société a fait preuve de négligence en laissant perdurer ces failles. Malgré ces alertes, les corrections n'ont été apportées qu'après que les violations de données aient eu lieu, manquement d'autant plus grave que la société est spécialisée dans le conseil en systèmes informatiques.

Bien que la société se soit depuis mise en conformité, la CNIL a prononcé à son encontre une amende de 1,7 million d'Euros, tenant compte de la méconnaissance de principes élémentaires, du nombre de personnes concernées et de la sensibilité des données traitées (révélant un handicap).

Source : Délibération SAN-2025-015 du 22 décembre 2025

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.