Après une cyberattaque d’une grande ampleur révélée en 2024, France Travail fait désormais face aux conséquences réglementaires de cet incident.
En effet, la CNIL (Commission Nationale de l’Informatique et des Libertés) a tranché, pointant une série de manquements dans la sécurisation de France Travail…
Une fuite de données touchant 36,8 millions de personnes
Dans un communiqué, la CNIL a condamné France Travail à une amende administrative de 5 millions d’euros pour une fuite massive de données personnelles.
📩 L’actu digitale évolue vite. Restez à jour.
Recevez la newsletter quotidienne, gratuitement.
En vous inscrivant vous acceptez notre politique de protection des données personnelles.
Les faits remontent à mars 2024, lorsqu’un groupe de pirates est parvenu à extraire des informations issues d’une base de données de l’opérateur, alors encore récemment issu de la transformation de Pôle Emploi.
Les données concernées couvrent un périmètre particulièrement large, avec les noms, les prénoms, les numéros de Sécurité sociale, les identifiants France Travail, les adresses e-mail et postales, ainsi que numéros de téléphone.
Si l’incident visait initialement jusqu’à 43 millions de personnes inscrites sur les vingt dernières années, le nombre a finalement été ramené à 36,8 millions après élimination des doublons.
Selon la CNIL, l’ampleur de la population exposée, combinée à la nature sensible des informations concernées, a pesé lourd dans la décision. Même si certaines données comme les dossiers complets ou les informations médicales n’ont pas été compromises, la fuite reste l’une des plus significatives jamais observées dans le secteur public français.
Des failles liées à un partenaire et à l’authentification
L’enquête menée par la CNIL met en cause un enchaînement de faiblesses techniques et organisationnelles.
Les attaquants ont utilisé des techniques d’ingénierie sociale pour usurper les comptes de conseillers de Cap Emploi, structures partenaires chargées de l’accompagnement des personnes en situation de handicap. Ces comptes donnaient accès aux systèmes d’information de France Travail dans le cadre d’un partenariat établi entre les deux organismes.
Ainsi, le régulateur souligne que les mécanismes d’authentification n’étaient pas suffisamment robustes, notamment en autorisant jusqu’à 50 tentatives de mots de passe avant le blocage d’un compte. Les habilitations d’accès étaient également jugées trop larges, permettant de consulter des dossiers sans lien direct avec les missions des conseillers concernés. À cela s’ajoute une supervision insuffisante des accès, limitant la détection de comportements anormaux.
A ce titre, la CNIL rappelle que l’article 32 du RGPD impose une obligation de moyens en matière de sécurité, adaptée aux risques identifiés. Dans ce dossier, France Travail avait pourtant formalisé plusieurs mesures de protection dans ses analyses internes, sans les déployer au moment des faits.
Une injonction assortie d’astreintes financières
Au delà de l’amende, la décision s’accompagne d’injonctions précises, et France Travail doit justifier de la mise en conformité de sa politique de mots de passe et renforcer les restrictions d’accès pour les conseillers de Cap Emploi.
En cas de retard, une astreinte de 5 000 euros par jour pourra s’appliquer après un délai d’un mois suivant la notification officielle.
Dans un communiqué de France Travail, l’opérateur public dit reconnaître la gravité des faits, tout en regrettant la sévérité de la sanction, d’autant plus que des mesures correctrices ont été prises comme la généralisation de la double authentification, mise en place avant même la décision de la CNIL.