La Commission nationale de l’informatique et des libertés a frappé fort. En infligeant une amende de 5 millions d’euros à France Travail pour manquements graves à la protection des données personnelles, la CNIL envoie un signal clair à l’ensemble de l’écosystème numérique français. Au-delà du montant, cette sanction met en lumière des failles structurelles dans la gouvernance des données d’un opérateur public stratégique, et pose une question centrale pour les professionnels de l’IT : l’État est-il réellement au niveau des exigences qu’il impose aux autres ?Au premier trimestre 2024, un ou plusieurs attaquants sont parvenus à s’introduire dans le système d’information de France Travail (anciennement Pôle emploi jusqu'au 31 décembre 2023), l’organisme gouvernemental français en charge de l’emploi.
Et France Travail de déclarer :
« Compte tenu des investigations techniques menées, les données personnelles d’identification exposées sont les suivantes : nom et prénom, date de naissance, numéro de sécurité sociale, identifiant France Travail, adresses mail et postale et numéros de téléphone. Les mots de passe et les coordonnées bancaires ne sont pas concernés par cet acte de cybermalveillance. Il n’existe donc aucun risque sur l’indemnisation.
« La base de données qui aurait été extraite de façon illicite contient les données personnelles d’identification des personnes actuellement inscrites, des personnes précédemment inscrites au cours des 20 dernières années ainsi que des personnes non inscrites sur la liste des demandeurs d'emploi mais ayant un espace candidat sur francetravail.fr. C’est donc potentiellement les données personnelles de 43 millions de personnes qui ont été exfiltrées. »
L’opération a débuté par une « usurpation d’identité de conseillers Cap emploi » (organisme en charge de la recherche d’emploi des personnes handicapées), a expliqué l’opérateur, à la suite de quoi France Travail a « remarqué des requêtes suspectes ».
Les autorités ont immédiatement lancé une enquête pour évaluer l’étendue des dégâts et identifier les auteurs de l’attaque. France Travail a également mis en place des mesures d’urgence pour sécuriser ses réseaux et prévenir de futures intrusions. Les personnes affectées sont conseillées de surveiller leurs comptes et de rester vigilantes face à d’éventuelles fraudes ou usurpations d’identité.
Une sanction lourde prononcée par la CNIL
Le contrôle réalisé par la CNIL a révélé l’insuffisance des mesures techniques et organisationnelles mises en œuvre afin d’assurer la sécurité des données personnelles traitées. En conséquence, la formation restreinte (organe de la CNIL chargé de prononcer les sanctions) a prononcé une amende de 5 millions d’euros à l’encontre de France Travail, tenant compte de la méconnaissance des principes essentiels en matière de sécurité, du nombre de personnes concernées, du volume et de la sensibilité des données traitées.
En outre, la formation restreinte a enjoint à France Travail de justifier des mesures correctrices apportées, selon un calendrier de mise en œuvre précis.
À défaut, l’organisme devra payer une astreinte de 5 000 euros par jour de retard.
La décision rendue publique par la CNIL s’inscrit dans le cadre strict du RGPD, mais elle dépasse largement le simple rappel à l’ordre réglementaire. L’autorité reproche à France Travail des manquements persistants aux obligations de sécurité, notamment l’absence de mesures techniques et organisationnelles suffisantes pour protéger des données personnelles sensibles. Il ne s’agit pas d’une erreur ponctuelle ou d’un incident isolé, mais d’un ensemble de défaillances révélant une approche insuffisamment structurée de la cybersécurité.
En effet, la formation restreinte a relevé que France Travail n’a pas mis en place les mesures techniques et organisationnelles qui auraient pu rendre l’attaque plus difficile. Pour rappel, la mise en œuvre de mesures de sécurité adaptées aux risques est une obligation de moyens prévue par l’article 32 du RGPD. Elle a notamment relevé que les modalités d’authentification permettant aux conseillers CAP EMPLOI d’accéder au système d’information de FRANCE TRAVAIL n’étaient pas suffisamment robustes.
De plus, la formation restreinte a souligné l’insuffisance de mesures de journalisation permettant de détecter les comportements anormaux sur son système d’information. Enfin, la formation restreinte a relevé que les habilitations d’accès des comptes des conseillers CAP EMPLOI avaient été définies de manière trop large, permettant aux conseillers CAP EMPLOI d’accéder aux données de personnes qu’ils n’accompagnaient pas, ce qui a accru le volume de données accessibles par les attaquants.
Pour déterminer la sanction, la formation restreinte a tenu compte du fait que la plupart des mesures de sécurité adéquates avaient été identifiées par France Travail, en amont de la mise en œuvre du traitement, dans les analyses d’impact, sans pour autant avoir été effectivement mises en œuvre.
Pour les professionnels de l’informatique, cette sanction illustre une évolution nette de la doctrine de la CNIL. L’époque où les organismes publics bénéficiaient d’une forme de tolérance implicite semble révolue. Désormais, la conformité RGPD s’apprécie à l’aune des risques réels, du volume de données traitées et de la capacité de l’organisation à anticiper les menaces.
France Travail, un acteur critique au cœur de flux de données massifs
France Travail gère des millions de dossiers de demandeurs d’emploi, d’entreprises et de partenaires institutionnels. Ces données couvrent des informations d’identité, de situation professionnelle, parfois financière ou sociale, ce qui en fait une cible de choix pour la cybercriminalité. Dans ce contexte, l’exigence de sécurité ne peut être minimale ni purement déclarative.
La CNIL pointe notamment des insuffisances dans la gestion des accès, le cloisonnement des systèmes et la surveillance des usages. Pour un acteur de cette taille, ces lacunes traduisent moins un manque de moyens qu’un déficit de gouvernance IT et de pilotage de la sécurité dans la durée.
Une lecture très opérationnelle du RGPD
Ce qui frappe dans cette affaire, c’est la manière dont la CNIL interprète concrètement les obligations du RGPD. La notion de « sécurité appropriée » n’est pas abstraite. Elle suppose des audits réguliers, des politiques d’accès rigoureuses, une traçabilité effective et une capacité démontrée à détecter et contenir les incidents.
Pour les DSI et RSSI, le message est limpide : documenter ne suffit plus. Les autorités attendent des preuves opérationnelles, mesurables, et une amélioration continue des dispositifs. L’argument du contexte public ou de la complexité organisationnelle n’est plus recevable lorsqu’il s’agit de données personnelles à grande échelle.
Un signal fort pour tout le secteur public… et au-delà
Cette amende de 5 millions d’euros marque un tournant symbolique. Elle rappelle que les organismes publics sont soumis aux mêmes exigences que les entreprises privées, y compris les plus grandes. Pour les prestataires IT, les intégrateurs et les éditeurs travaillant avec l’administration, cette décision implique également une responsabilité accrue. La sécurité des données devient un critère contractuel central, susceptible d’engager la responsabilité de toute la chaîne.
Dans un contexte de numérisation accélérée des services publics, la sanction infligée à France Travail agit comme un révélateur. Elle montre que la transformation numérique sans investissement massif et continu dans la cybersécurité expose à des risques juridiques, financiers et réputationnels désormais très concrets.
Au fond, cette décision soulève une question plus large pour les professionnels de l’IT : l’État français a-t-il réellement intégré la cybersécurité comme une fonction stratégique, au même titre que...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.