⚡ Testez-vous en 2 secondes
Un éditeur de logiciel peut être sanctionné par la CNIL pour des failles de sécurité dans son produit, même s'il n'est pas le responsable du traitement des données.
"Un logiciel sans sécurité, c'est une porte sans serrure dans un quartier qu'on ne connaît pas."
— Mickaël Mingeau
Un éditeur de logiciel vient d'écoper de 1,7 million d'euros d'amende. Non pas pour avoir collecté des données. Non pas pour les avoir revendues. Mais pour ne pas avoir sécurisé correctement son propre produit. La CNIL vient de rappeler une règle simple : celui qui conçoit un outil numérique est responsable de sa solidité. Et dans notre secteur de la sécurité privée, où les logiciels de main courante, de rondes ou de planning brassent des données sensibles chaque jour, cette décision résonne comme un avertissement.
Les faits : un progiciel utilisé par des MDPH
La société NEXPUBLICA France (anciennement INETUM SOFTWARE France) édite un logiciel nommé PCRM. Cet outil gère la relation avec les usagers dans le domaine de l'action sociale. Il est notamment utilisé par certaines maisons départementales pour les personnes handicapées (MDPH).
Fin novembre 2022, des clients de NEXPUBLICA ont signalé à la CNIL un problème grave. Des usagers du portail avaient accès à des documents concernant d'autres personnes. Un accès non autorisé à des données sensibles. Des données révélant un handicap.
La CNIL a mené des contrôles. Elle a constaté que les failles de sécurité n'étaient pas nouvelles. Elles étaient connues de la société. Plusieurs audits internes les avaient identifiées. Et pourtant, rien n'avait été corrigé.
