La CNIL a décidé de frapper fort. L'organisme vient d'infliger une amende de 5 millions d’euros à France Travail (ex-Pôle emploi), pour manquement à ses obligations en matière de sécurité des données personnelles. En cause : l'intrusion survenue début 2024 ayant exposé les informations sensibles de millions de personnes inscrites ou l’ayant été au cours des vingt dernières années.

France Travail écope d'une amende de 5 millions d'euros suite à l'énorme fuite de données de 2024. © HJBC / Shutterstock.com
France Travail écope d'une amende de 5 millions d'euros suite à l'énorme fuite de données de 2024. © HJBC / Shutterstock.com

Au-delà du montant, la décision rappelle la responsabilité particulière des grands organismes publics dans la protection des données des citoyens, à l’heure où les cyberattaques exploitent de plus en plus les failles humaines et organisationnelles.

Une intrusion facilitée… par des failles internes

Rappelez-vous l'an passé, une base de données contenant les informations personnelles de 44,3 millions de personnes faisait surface sur le dark web… En cause, une intrusion qui remonte au premier trimestre 2024. Un ou plusieurs attaquants sont parvenus à accéder au système d’information de France Travail en utilisant des techniques d’ingénierie sociale. En manipulant des interlocuteurs, ils ont réussi à usurper les comptes de conseillers de CAP EMPLOI, structures partenaires chargées notamment de l’accompagnement des personnes en situation de handicap.

Cette compromission a permis l’accès à une base de données particulièrement large : l’ensemble des personnes inscrites, ou l’ayant été depuis vingt ans, ainsi que les titulaires d’un espace candidat sur le site de France Travail. Les informations concernées incluaient notamment les numéros de sécurité sociale, les adresses postales et électroniques, ainsi que les numéros de téléphone. Les dossiers complets des demandeurs d’emploi, pouvant contenir des données de santé, n’auraient en revanche pas été consultés.

Le contrôle mené par la CNIL a mis en évidence plusieurs insuffisances : des modalités d’authentification jugées trop faibles, une journalisation des accès insuffisante pour détecter des comportements anormaux, ainsi que des droits d’accès trop larges accordés aux comptes des conseillers. Autant de failles qui ont facilité l'intrusion et ont donné une grande ampleur à cet incident.

Une sanction lourde pour un établissement public

En sanctionnant France Travail à hauteur de 5 millions d’euros, la CNIL rappelle que l’obligation de sécurité prévue par l’article 32 du RGPD n’est pas une simple formalité. L’autorité souligne notamment que certaines mesures de protection avaient été identifiées en amont dans les analyses d’impact, sans avoir été effectivement mises en œuvre… Un scénario loin d'être inédit !

Le montant de l’amende, plafonné à 10 millions d’euros pour un organisme public, tient compte du nombre de personnes concernées et de la sensibilité des données exposées. France Travail devra également justifier, selon un calendrier précis, des mesures correctrices engagées, sous peine d’une astreinte de 5 000 euros par jour de retard.

Enfin, cette sanction s’inscrit surtout dans une série d’incidents qui ont fragilisé la confiance dans les services numériques publics ces dernières années. France Travail n’est pas un cas isolé : l’URSSAF, la CAF, jusqu'au ministère de l'Intérieur, ou encore plusieurs opérateurs administratifs ont récemment été confrontés à des intrusions, des vols de données ou des perturbations informatiques majeures. Autant d’épisodes qui rappellent que la transformation numérique de l’administration s’accompagne d’une exposition croissante aux risques cyber. Plus qu’un simple rappel à l’ordre, la décision de la CNIL agit comme un signal d’alarme : la sécurité des données personnelles n’est plus un sujet secondaire, mais un enjeu de souveraineté numérique et de confiance citoyenne.

Source : CNIL