Cyberattaque chez France Travail : la CNIL inflige une amende de 5 millions d’euros

France Travail écope d’une lourde sanction après une importante fuite de données personnelles survenue début 2024. L’autorité française de protection des données personnelles a infligé une amende de 5 millions d’euros à l’établissement public, pointant des manquements majeurs en matière de sécurité informatique et d’organisation interne.

Une intrusion via l’ingénierie sociale

L’incident remonte au premier trimestre 2024. Un ou plusieurs attaquants sont parvenus à s’introduire dans le système d’information de France Travail en utilisant des techniques d’ingénierie sociale. Cette méthode consiste à manipuler des individus pour obtenir des accès ou des informations sensibles, en exploitant la confiance ou la méconnaissance des procédures de sécurité.

Les cybercriminels ont ainsi réussi à usurper des comptes de conseillers de Cap Emploi, des structures spécialisées dans l’accompagnement professionnel des personnes en situation de handicap. Grâce à ces accès détournés, ils ont pu consulter une base de données massive.

Des millions de personnes potentiellement concernées

Selon les investigations, les attaquants ont eu accès aux données de l’ensemble des personnes inscrites à France Travail — ou l’ayant été — au cours des vingt dernières années, ainsi qu’aux utilisateurs disposant d’un espace candidat sur le site officiel. Les informations concernées incluent notamment les numéros de sécurité sociale, adresses postales et électroniques, ainsi que les numéros de téléphone.

En revanche, les dossiers complets des demandeurs d’emploi n’auraient pas été consultés. Ces derniers peuvent contenir des données particulièrement sensibles, comme des informations médicales, ce qui limite en partie l’ampleur du préjudice.

Des mesures de sécurité jugées insuffisantes

Le contrôle mené par la CNIL a mis en lumière plusieurs défaillances techniques et organisationnelles. L’autorité estime que France Travail n’a pas déployé des mesures de sécurité suffisantes pour protéger les données personnelles qu’elle traite.

Parmi les points relevés figurent des mécanismes d’authentification jugés trop faibles pour l’accès des conseillers Cap Emploi ; un manque de journalisation permettant de détecter des comportements suspects sur le réseau ; mais aussi, des droits d’accès trop larges, autorisant certains conseillers à consulter des dossiers qui ne relevaient pas directement de leur suivi.

La CNIL souligne également que nombre de ces risques avaient pourtant été identifiés en amont dans des analyses internes, sans que les mesures correctrices ne soient réellement appliquées.

Une amende et des obligations correctrices

La sanction financière de 5 millions d’euros tient compte du volume de données concernées, de leur sensibilité et du nombre de personnes potentiellement touchées. France Travail, en tant qu’établissement public, n’est pas sanctionné sur la base d’un chiffre d’affaires mais selon un plafond spécifique prévu par le RGPD, pouvant atteindre 10 millions d’euros pour ce type de manquement.

En parallèle, l’organisme doit désormais justifier de la mise en œuvre de mesures correctrices dans un calendrier précis. À défaut, une astreinte de 5 000 euros par jour de retard pourra être appliquée. Les sommes perçues seront reversées au Trésor public et intégrées au budget de l’État.

Cette affaire rappelle le rôle central de la CNIL en matière de protection des données personnelles. L’autorité peut être saisie par tout citoyen en cas de difficulté ou de soupçon de violation de ses droits numériques. Elle dispose de pouvoirs d’enquête et de sanction, mais ne peut pas indemniser directement les victimes. Pour obtenir réparation, les personnes concernées doivent se tourner vers les services de police ou de gendarmerie, voire engager des démarches judiciaires.