La CNIL a infligé une amende de 5 millions d’euros à France Travail à la suite d’une fuite de données massive survenue en 2024. L’autorité reproche à l’organismes publics des mesures de sécurité jugées insuffisantes. L’établissement public ne conteste pas la sanction, bien qu’elle la regrette.
Après Free, c’est au tour de France Travail d’être sanctionné par la CNIL. L’autorité a infligé une amende de 5 millions d’euros à l’établissement public, à qui elle reproche de ne pas avoir assuré la sécurité des données de ses utilisateurs.
Un contrôle de la CNIL, suite à une cyberattaque survenue en 2024, « a révélé l’insuffisance des mesures techniques et organisationnelles mises en œuvre afin d’assurer la sécurité des données personnelles traitées », écrit la CNIL dans sa décision. L’autorité de protection des données personnelles a ainsi infligé une sanction de 5 millions d’euros et indique avoir tenu compte « de la méconnaissance des principes essentiels en matière de sécurité, du nombre de personnes concernées, du volume et de la sensibilité des données traitées ». L’établissement public devra en outre justifier des mesures correctrices apportées, au risque de se voir infliger une astreinte de 5 000 € par jour de retard.
France Travail ne conteste pas
De son côté, France Travail a dit prendre « acte de la sanction de la CNIL ». L’organisme ne conteste pas la décision, bien qu’il en regrette toutefois « la sévérité au regard de notre très fort engagement en matière de cybersécurité et de protection des données de nos usagers depuis la survenance de cet incident ». France Travail a notamment indiqué avoir renforcé ses systèmes de protection, en particulier en matière de mots de passe, d’habilitation, d’authentification multifacteurs, de réduction des périmètres d’accès aux données et de surveillance, et avoir mis en place des politiques de sensibilisation auprès de ses collaborateurs et de ses partenaires.
« En effet, sans attendre la décision de la CNIL, nous avons d’ores et déjà mis en place les mesures correctives demandées, avec notamment la double authentification depuis près de deux ans, et avons engagé depuis plusieurs mois les développements nécessaires pour répondre à l’ensemble des injonctions de la CNIL », écrit France Travail, qui rappelle en outre déjouer quelque 10 000 actes de malveillance chaque année.
Malgré tout, l’organisme continue d’être régulièrement victime d’intrusions. En décembre, il avait révélé dans un communiqué avoir été la cible d’un nouvel incident de cybersécurité ayant exposé des données, la quatrième attaque subie par l’établissement public en deux ans.
Une fuite d’ampleur
En mars 2024, France Travail a été victime d’une intrusion dans ses systèmes d’information qui a mené à une fuite de données concernant 36,8 millions d’utilisateurs. Un ou plusieurs attaquants ont utilisé des techniques d’ingénierie sociale pour usurper des comptes de conseillers de CAP Emploi, des structures en charge de l’accompagnement, du suivi et du maintien dans l’emploi des personnes en situation de handicap.
Après investigation, il a été révélé que les attaquants avaient accédé aux données des personnes inscrites ou l’ayant été au cours des 20 dernières années. Les numéros de sécurité sociale, les adresses électroniques et postales, ainsi que les numéros de téléphone des personnes disposant d’un espace candidat sur francetravail.fr ont également été exposés.
Mi-janvier, la CNIL a rendu deux décisions à l’encontre des sociétés Free Mobile et Free, prononçant respectivement des amendes de 27 et 15 millions d’euros, à la suite de manquements dans les mesures prises pour assurer la sécurité des données de leurs abonnés.
