La Cnil sanctionne France Travail à hauteur de 5 millions d’euros

Par une décision du 22 janvier 2026, la formation restreinte de la Commission nationale de l’informatique et des libertés (ci-après « la Cnil ») a prononcé une sanction administrative de 5 millions d’euros à l’encontre de France Travail, anciennement Pôle emploi. L’autorité de contrôle reproche à l’établissement public de ne pas avoir mis en œuvre des mesures de sécurité suffisantes pour protéger les données personnelles des demandeurs d’emploi. 

Rappel du contexte de la violation de données 

Au premier trimestre 2024, le système d’information de France Travail a fait l’objet d’une intrusion par un ou plusieurs attaquants. Ces derniers ont eu recours à des techniques d’ingénierie sociale, consistant à exploiter la confiance ou la crédulité des personnes, afin d’usurper des comptes de conseillers appartenant à CAP EMPLOI, structures partenaires chargées de l’accompagnement des personnes en situation de handicap. 

Grâce à cette usurpation d’identifiants, les attaquants ont pu accéder à des bases de données particulièrement étendues. Les investigations ont établi que les données de l’ensemble des personnes actuellement inscrites à France Travail, de celles inscrites au cours des vingt dernières années, ainsi que de celles disposant d’un espace candidat sur le site francetravail.fr, étaient concernées. 

Les données compromises incluaient notamment les numéros de sécurité sociale, les adresses électroniques et postales ainsi que les numéros de téléphone. En revanche, les dossiers complets des demandeurs d’emploi, susceptibles de contenir des données de santé, n’ont pas été consultés par les attaquants. 

Le constat de manquements à l’obligation de sécurité 

À la suite de cette violation de données, la Cnil a procédé à un contrôle approfondi des mesures techniques et organisationnelles mises en œuvre par France Travail. Ce contrôle s’inscrivait dans le cadre de l’article 32 du règlement général sur la protection des données (RGPD), qui impose aux responsables de traitement de garantir un niveau de sécurité adapté aux risques, compte tenu notamment de l’état des connaissances, des coûts de mise en œuvre et de la nature des données traitées. 

La formation restreinte a relevé que les modalités d’authentification permettant aux conseillers de CAP EMPLOI d’accéder au système d’information de France Travail ne présentaient pas un niveau de robustesse suffisant. Ces faiblesses ont facilité l’usurpation de comptes légitimes, condition déterminante de l’accès frauduleux aux données personnelles. 

Par ailleurs, l’autorité a constaté une insuffisance des mécanismes de journalisation et de surveillance des accès. Or, ces dispositifs jouent un rôle central dans la détection des comportements anormaux et dans la capacité d’un organisme à réagir rapidement à une tentative d’intrusion ou à un accès non autorisé. 

Une gestion des habilitations excessivement large 

Le contrôle a également mis en lumière une définition trop extensive des habilitations accordées aux conseillers de CAP EMPLOI. En pratique, ces comptes permettaient l’accès à des données concernant des personnes qui n’étaient pas directement accompagnées par les agents concernés, sans justification fonctionnelle suffisante. 

Une telle configuration a eu pour effet d’élargir considérablement le périmètre des données accessibles à partir d’un compte compromis. Cette situation a mécaniquement accru l’ampleur de la violation, tant en nombre de personnes concernées qu’en volume d’informations exposées aux attaquants. 

La formation restreinte a souligné que cette organisation des accès ne respectait pas le principe de minimisation des droits, pourtant essentiel en matière de sécurité des systèmes d’information et de protection des données personnelles. 

Des mesures identifiées mais non mises en œuvre 

Pour apprécier la gravité des manquements, la Cnil a tenu compte du fait que France Travail avait identifié, en amont, plusieurs mesures de sécurité appropriées. Ces mesures figuraient notamment dans les analyses d’impact relatives à la protection des données réalisées avant la mise en œuvre des traitements concernés. 

Toutefois, ces mesures n’avaient pas été effectivement déployées au moment de l’attaque. L’autorité a rappelé que l’obligation prévue à l’article 32 du RGPD est une obligation de moyens renforcée, qui ne se limite pas à une identification théorique des risques mais suppose une mise en œuvre concrète et opérationnelle des dispositifs de sécurité. 

Ce décalage entre les risques identifiés et les mesures effectivement appliquées a constitué un élément déterminant dans l’appréciation des manquements reprochés à France Travail. 

La sanction prononcée et les mesures correctrices exigées 

Au regard de la méconnaissance de principes essentiels en matière de sécurité, du nombre particulièrement élevé de personnes concernées et de la nature des données en cause, la Cnil a prononcé une amende administrative de 5 millions d’euros à l’encontre de France Travail. 

En tant qu’établissement public national à caractère administratif, France Travail n’est pas soumis à un plafond de sanction fondé sur le chiffre d’affaires. La sanction applicable est encadrée par une limite maximale de 10 millions d’euros pour les manquements à l’obligation de sécurité prévue à l’article 32 du RGPD. Les sommes prononcées sont recouvrées par le Trésor public et versées au budget de l’État. 

La formation restreinte a également assorti sa décision d’une injonction de mise en conformité. France Travail doit justifier, selon un calendrier précis, de la mise en œuvre de mesures correctrices destinées à renforcer la sécurité des données personnelles. À défaut, l’établissement s’expose à une astreinte de 5 000 euros par jour de retard. 

Cette décision rappelle avec force que la protection des données personnelles constitue une exigence opérationnelle, y compris pour les organismes publics. Lorsque les traitements portent sur des volumes massifs de données et concernent une large partie de la population, les obligations de sécurité revêtent une importance particulière. 

Elle souligne également que l’identification préalable des risques, notamment dans le cadre des analyses d’impact, ne suffit pas en elle-même. Les mesures de sécurité doivent être effectivement déployées, régulièrement évaluées et adaptées à l’évolution des menaces, sous peine d’engager la responsabilité du responsable de traitement. 

LOCK-T 

Avec la participation de MAPANGOU NUNEZ Karly, stagiaire