La CNIL inflige 5 millions d’euros d’amende à France Travail suite à une fuite de données personnelles
Ce 22 janvier 2026, la CNIL a officiellement sanctionné France Travail, qui va devoir payer une amende de 5 millions d’euros. Cette décision sanctionne les "insuffisances" techniques et organisationnelles ayant permis à des attaquants d'exfiltrer les données personnelles de millions de demandeurs d'emploi lors du piratage survenu au premier trimestre 2024.
Une attaque par rebond via CAP EMPLOI
Cette sanction à l'encontre de France Travail (anciennement Pôle Emploi) est liée à un incident de sécurité de début 2024. Lors de cette attaque, les pirates n'ont pas compromis le système d'information de France Travail. En effet, ils sont passés par CAP EMPLOI (les structures dédiées à l'insertion des personnes en situation de handicap), après avoir mis la main sur les comptes de conseillers CAP EMPLOI en ayant recours à des techniques d'ingénierie sociale.
Une fois connectés aux systèmes à l'aide de ces comptes légitimes, les pirates ont pu mettre la main sur un ensemble de données : "Les investigations ont permis d’établir que les attaquants ont accédé aux données de l’ensemble des personnes inscrites, ou qui l’ont été au cours des 20 dernières années, ainsi que des personnes ayant un espace candidat sur francetravail.fr.", précise la CNIL.
Parmi les données exfiltrées, il y a notamment :
- Les numéros de sécurité sociale.
- Les adresses e-mail et postales.
- Les numéros de téléphone.
La CNIL précise que les attaquants n'ont pas eu accès aux dossiers complets, ce qui a permis d'épargner notamment les données de santé présentes dans certains cas.
Voilà pour ce qui concerne le rappel de cet incident, mais pourquoi une telle amende de 5 millions d'euros ?
Authentification, logs et gestion des droits : des défaillances
Ce qui a motivé le montant de l'amende - tout de même éloigné du plafond légal de 10 millions d'euros pour un établissement public de ce type - ce n'est pas tant l'attaque elle-même : les mesures défensives insuffisantes ont pesé lourd.
"Pour rappel, la mise en œuvre de mesures de sécurité adaptées aux risques est une obligation de moyens prévue par l’article 32 du RGPD.", précise la CNIL.
La formation restreinte de la CNIL a pointé du doigt trois négligences importantes au niveau des systèmes de France Travail :
- Une authentification faible : les modalités de connexion accordées aux conseillers CAP EMPLOI pour accéder au SI de France Travail n'étaient "pas suffisamment robustes", facilitant l'intrusion initiale. Absence de l'authentification multifacteur ? Certainement.
- L'absence de cloisonnement : les habilitations des comptes utilisateurs étaient trop importantes. Les conseillers CAP EMPLOI pouvaient accéder aux données de personnes qu'ils n'accompagnaient pas. Ce manquement au principe de moindre privilège a mécaniquement accru le volume de données accessibles par les attaquants.
- Une journalisation insuffisante : la gestion des logs permettant une bonne traçabilité des actions, et donc de détecter les comportements suspects, n'était pas au niveau.
"Pour déterminer la , la formation restreinte a tenu compte du fait que la plupart des mesures de sécurité adéquates avaient été identifiées par FRANCE TRAVAIL, en amont de la mise en œuvre du traitement, dans les analyses d’impact, sans pour autant avoir été effectivement mises en œuvre.", peut-on lire.
Outre l'amende de 5 millions d'euros, France Travail doit désormais passer à l'action ! En effet, France Travail s'expose à une amende de 5 000 euros par jour de retard si le calendrier déterminé avec la CNIL n'est pas respecté.
Pour rappel, en janvier 2026, la CNIL a également prononcé une amende de 42 millions d'euros à l'encontre de FREE et FREE MOBILE suite à une cyberattaque ayant mené à une fuite de données.
Qu'en pensez-vous ?
