Une lourde sanction vient de tomber à l’encontre de France Travail. À la suite d’une cyberattaque survenue au premier trimestre 2024, la Commission nationale de l’informatique et des libertés (CNIL) a infligé une amende de 5 millions d’euros à l’établissement public, pointant de graves manquements dans la protection des données personnelles.

Une intrusion facilitée par l’ingénierie sociale

Selon les éléments établis par les investigations, un ou plusieurs attaquants sont parvenus à pénétrer le système d’information de France Travail en utilisant des techniques dites d’ingénierie sociale. Cette méthode repose sur l’exploitation de la confiance ou de la méconnaissance des utilisateurs, plutôt que sur une faille technique classique.

Les cybercriminels ont ainsi réussi à usurper des comptes de conseillers CAP EMPLOI, structures chargées de l’accompagnement professionnel des personnes en situation de handicap. Cette compromission leur a ouvert l’accès à une base de données d’une ampleur exceptionnelle.

Des millions de personnes concernées

Les données exposées concernent l’ensemble des personnes inscrites à France Travail au cours des vingt dernières années, ainsi que celles disposant d’un espace candidat sur le site francetravail.fr. Parmi les informations accessibles figurent notamment :
• les numéros de sécurité sociale,
• les adresses électroniques et postales,
• les numéros de téléphone.

En revanche, les autorités précisent que les dossiers complets des demandeurs d’emploi, incluant notamment des données de santé, n’ont pas été consultés.

Des failles de sécurité clairement identifiées

Le contrôle mené par la CNIL a mis en évidence des défaillances majeures dans les dispositifs de sécurité de France Travail. L’autorité de régulation souligne notamment :
• des mécanismes d’authentification insuffisamment sécurisés pour les comptes CAP EMPLOI ;
• un manque de journalisation permettant de détecter rapidement des comportements suspects ;
• des droits d’accès trop étendus, autorisant des conseillers à consulter des données de personnes qu’ils ne suivaient pas directement.

La CNIL relève également que plusieurs mesures de sécurité adaptées avaient été identifiées en amont, dans les analyses d’impact, mais n’avaient pas été mises en œuvre.

Une sanction financière et une mise en demeure

Tenant compte du nombre très élevé de personnes concernées et de la sensibilité des données exposées, la formation restreinte de la CNIL a décidé d’une amende de 5 millions d’euros, un montant proche du plafond légal applicable aux organismes publics en matière de sécurité des données.

France Travail a également reçu une injonction de mise en conformité, assortie d’un calendrier précis. À défaut de justifier les corrections exigées, l’établissement s’expose à une astreinte de 5 000 euros par jour de retard.

Le rôle de la CNIL et les démarches possibles

La CNIL rappelle qu’elle agit en tant que régulateur et autorité de contrôle, mais qu’elle n’indemnise pas les victimes. Les personnes estimant avoir subi un préjudice peuvent déposer plainte auprès des services de police ou de gendarmerie.

Toutes les amendes prononcées par la CNIL, y compris à l’encontre d’organismes publics, sont recouvrées par le Trésor public et reversées au budget de l’État.

Cette affaire relance le débat sur la sécurisation des données personnelles, à l’heure où les systèmes publics traitent des volumes toujours plus importants d’informations sensibles.