La CNIL a annoncé aujourd'hui avoir condamné France Travail à une amende de 5 millions d'euros pour manquement à ses obligations de protection des données personnelles, suite à une fuite de données au premier trimestre 2024, ayant concerné 36 millions de personnes, demandeurs d'emplois, mais aussi personnes inscrites sur son site pour consulter les annonces. France Travail est aussi mis en demeure de mettre en œuvre les mesures de sécurité requises dans un délai d'un mois, avec astreinte ensuite de 5000 € par jour de retard.
France Travail a un statut d'établissement public à caractère administratif, et c'est à ma connaissance, mais j'ai peut-être oublié ou pas connu des cas précédent, la première fois qu'une administration, est condamnée à une amende par la CNIL pour ce genre de faits. Bien sûr, c'est moins qu'Iliad (42 millions d'euros), mais c'est très significatif pour une administration. France Travail va peut-être devoir embaucher plus de personnes pour assurer la sécurité de ses systèmes d'information (ce qui n'est pas toujours évident pour une administration, surtout face aux salaires proposés dans le privé...)
Violation de données : sanction de 5 millions d’euros à l’encontre de FRANCE TRAVAIL
29 janvier 2026
Le 22 janvier 2026, la CNIL a sanctionné FRANCE TRAVAIL (anciennement Pôle Emploi) d’une amende de 5 millions d’euros pour ne pas avoir assuré la sécurité des données des personnes en recherche d’emploi.
Le contexte
Au premier trimestre 2024, un ou plusieurs attaquants sont parvenus à s’introduire dans le système d’information de FRANCE TRAVAIL. A cette occasion, ils ont utilisé des techniques dites « d’ingénierie sociale », consistant à exploiter la confiance, l’ignorance ou la crédulité des personnes. Cette méthode leur a permis d’usurper des comptes de conseillers de CAP EMPLOI, c’est-à-dire les structures chargées de l’accompagnement, du suivi et du maintien dans l'emploi des personnes en situation de handicap.
Les investigations ont permis d’établir que les attaquants ont accédé aux données de l’ensemble des personnes inscrites, ou qui l’ont été au cours des 20 dernières années, ainsi que des personnes ayant un espace candidat sur francetravail.fr (dont les numéros de sécurité sociale, les adresses mail et postales ainsi que les numéros de téléphone). Toutefois, les attaquants n’ont pas accédé aux dossiers complets des demandeurs d’emploi, qui peuvent notamment comprendre des données de santé.
Le contrôle réalisé par la CNIL a révélé l’insuffisance des mesures techniques et organisationnelles mises en œuvre afin d’assurer la sécurité des données personnelles traitées.
En conséquence, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a prononcé une amende de 5 millions d’euros à l’encontre de FRANCE TRAVAIL, tenant compte de la méconnaissance des principes essentiels en matière de sécurité, du nombre de personnes concernées, du volume et de la sensibilité des données traitées.
En outre, la formation restreinte a enjoint à FRANCE TRAVAIL de justifier des mesures correctrices apportées, selon un calendrier de mise en œuvre précis.
À défaut, l’organisme devra payer une astreinte de 5 000 euros par jour de retard.
À noter :
France Travail est un établissement public national à caractère administratif dont le budget est déterminé par la loi et repose principalement sur les cotisations sociales (employeurs/salariés). À cet égard, la détermination du montant de l’amende ne s’effectue pas en fonction d’un chiffre d’affaires, mais d’une fourchette dont le plafond ne peut dépasser 10 millions d’euros pour un manquement à la sécurité des données (article 32 du RGPD).
Toutes les amendes prononcées par la CNIL, qu’elles concernent les acteurs privés ou publics, sont recouvrées par le Trésor public et sont versées au budget de l’Etat.
https://cnil.fr/fr/violation-de-donnees-sanction-5millions-france-travailFrance Travail a de son côté publié un communiqué où elle prend acte de la condamnation de la CNIL, mais regrette sa sévérité, car elle dit avoir déjà pris les mesures nécessaires pour la protection des données.
France Travail prend acte de la sanction de la CNIL et rappelle que la cybersécurité et la protection des données sont des enjeux prioritaires
France Travail prend acte de la décision de la CNIL en date du 22 janvier dernier concernant la fuite de données dont France Travail et Cap emploi ont été victimes en mars 2024.
Nous avons pleinement conscience de la gravité des faits survenus et de la responsabilité qui est la nôtre en matière de protection des données. Sans contester la décision de la CNIL, nous en regrettons néanmoins la sévérité au regard de notre très fort engagement en matière de cybersécurité et de protection des données de nos usagers depuis la survenance de cet incident.
Dans un contexte où les menaces cyber ne cessent d’augmenter, nous restons plus que jamais mobilisés pour renforcer nos systèmes de protection et protéger les données personnelles de nos publics. C’est tout le sens des engagements pris et rappelés à la CNIL en matière de politique de mots de passe, d’habilitation, d’authentification multi-facteurs, de réduction des périmètres d’accès aux données et de surveillance des activités anormales sur notre SI depuis les comptes de nos conseillers et ceux de nos partenaires (connexions infructueuses ou suspicieuses par exemple). En effet, sans attendre la décision de la CNIL, nous avons d’ores et déjà mis en place les mesures correctives demandées avec notamment la double-authentification depuis près de deux ans et avons engagé depuis plusieurs mois les développements nécessaires pour répondre à l’ensemble des injonctions de la CNIL.
...
https://www.francetravail.org/accueil/communiques/2026/france-travail-prend-acte-de-la-sanction-de-la-cnil-et-rappelle-que-la-cybersecurite-et-la-protection-des-donnees-sont-des-enjeu.html?type=article
Attaques informatiques