IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

France Travail sanctionnée d'une amende de 5 millions d'euros pour manquements graves à la protection des données personnelles : la CNIL met fin à l'illusion d'un RGPD à deux vitesses pour le secteur public

Le , par Stéphane le calme

510PARTAGES

14  0 
France Travail (ex-Pôle emploi) sanctionnée d'une amende de 5 millions d’euros pour manquements graves à la protection des données personnelles :
la CNIL met fin à l’illusion d’un RGPD à deux vitesses pour le secteur public

La Commission nationale de l’informatique et des libertés a frappé fort. En infligeant une amende de 5 millions d’euros à France Travail pour manquements graves à la protection des données personnelles, la CNIL envoie un signal clair à l’ensemble de l’écosystème numérique français. Au-delà du montant, cette sanction met en lumière des failles structurelles dans la gouvernance des données d’un opérateur public stratégique, et pose une question centrale pour les professionnels de l’IT : l’État est-il réellement au niveau des exigences qu’il impose aux autres ?

Au premier trimestre 2024, un ou plusieurs attaquants sont parvenus à s’introduire dans le système d’information de France Travail (anciennement Pôle emploi jusqu'au 31 décembre 2023), l’organisme gouvernemental français en charge de l’emploi.

Et France Travail de déclarer :

« Compte tenu des investigations techniques menées, les données personnelles d’identification exposées sont les suivantes : nom et prénom, date de naissance, numéro de sécurité sociale, identifiant France Travail, adresses mail et postale et numéros de téléphone. Les mots de passe et les coordonnées bancaires ne sont pas concernés par cet acte de cybermalveillance. Il n’existe donc aucun risque sur l’indemnisation.

« La base de données qui aurait été extraite de façon illicite contient les données personnelles d’identification des personnes actuellement inscrites, des personnes précédemment inscrites au cours des 20 dernières années ainsi que des personnes non inscrites sur la liste des demandeurs d'emploi mais ayant un espace candidat sur francetravail.fr. C’est donc potentiellement les données personnelles de 43 millions de personnes qui ont été exfiltrées. »

L’opération a débuté par une « usurpation d’identité de conseillers Cap emploi » (organisme en charge de la recherche d’emploi des personnes handicapées), a expliqué l’opérateur, à la suite de quoi France Travail a « remarqué des requêtes suspectes ».

Les autorités ont immédiatement lancé une enquête pour évaluer l’étendue des dégâts et identifier les auteurs de l’attaque. France Travail a également mis en place des mesures d’urgence pour sécuriser ses réseaux et prévenir de futures intrusions. Les personnes affectées sont conseillées de surveiller leurs comptes et de rester vigilantes face à d’éventuelles fraudes ou usurpations d’identité.


Une sanction lourde prononcée par la CNIL

Le contrôle réalisé par la CNIL a révélé l’insuffisance des mesures techniques et organisationnelles mises en œuvre afin d’assurer la sécurité des données personnelles traitées. En conséquence, la formation restreinte (organe de la CNIL chargé de prononcer les sanctions) a prononcé une amende de 5 millions d’euros à l’encontre de France Travail, tenant compte de la méconnaissance des principes essentiels en matière de sécurité, du nombre de personnes concernées, du volume et de la sensibilité des données traitées.

En outre, la formation restreinte a enjoint à France Travail de justifier des mesures correctrices apportées, selon un calendrier de mise en œuvre précis.

À défaut, l’organisme devra payer une astreinte de 5 000 euros par jour de retard.

La décision rendue publique par la CNIL s’inscrit dans le cadre strict du RGPD, mais elle dépasse largement le simple rappel à l’ordre réglementaire. L’autorité reproche à France Travail des manquements persistants aux obligations de sécurité, notamment l’absence de mesures techniques et organisationnelles suffisantes pour protéger des données personnelles sensibles. Il ne s’agit pas d’une erreur ponctuelle ou d’un incident isolé, mais d’un ensemble de défaillances révélant une approche insuffisamment structurée de la cybersécurité.

En effet, la formation restreinte a relevé que France Travail n’a pas mis en place les mesures techniques et organisationnelles qui auraient pu rendre l’attaque plus difficile. Pour rappel, la mise en œuvre de mesures de sécurité adaptées aux risques est une obligation de moyens prévue par l’article 32 du RGPD. Elle a notamment relevé que les modalités d’authentification permettant aux conseillers CAP EMPLOI d’accéder au système d’information de FRANCE TRAVAIL n’étaient pas suffisamment robustes.

De plus, la formation restreinte a souligné l’insuffisance de mesures de journalisation permettant de détecter les comportements anormaux sur son système d’information. Enfin, la formation restreinte a relevé que les habilitations d’accès des comptes des conseillers CAP EMPLOI avaient été définies de manière trop large, permettant aux conseillers CAP EMPLOI d’accéder aux données de personnes qu’ils n’accompagnaient pas, ce qui a accru le volume de données accessibles par les attaquants.

Pour déterminer la sanction, la formation restreinte a tenu compte du fait que la plupart des mesures de sécurité adéquates avaient été identifiées par France Travail, en amont de la mise en œuvre du traitement, dans les analyses d’impact, sans pour autant avoir été effectivement mises en œuvre.

Pour les professionnels de l’informatique, cette sanction illustre une évolution nette de la doctrine de la CNIL. L’époque où les organismes publics bénéficiaient d’une forme de tolérance implicite semble révolue. Désormais, la conformité RGPD s’apprécie à l’aune des risques réels, du volume de données traitées et de la capacité de l’organisation à anticiper les menaces.


France Travail, un acteur critique au cœur de flux de données massifs

France Travail gère des millions de dossiers de demandeurs d’emploi, d’entreprises et de partenaires institutionnels. Ces données couvrent des informations d’identité, de situation professionnelle, parfois financière ou sociale, ce qui en fait une cible de choix pour la cybercriminalité. Dans ce contexte, l’exigence de sécurité ne peut être minimale ni purement déclarative.

La CNIL pointe notamment des insuffisances dans la gestion des accès, le cloisonnement des systèmes et la surveillance des usages. Pour un acteur de cette taille, ces lacunes traduisent moins un manque de moyens qu’un déficit de gouvernance IT et de pilotage de la sécurité dans la durée.

Une lecture très opérationnelle du RGPD

Ce qui frappe dans cette affaire, c’est la manière dont la CNIL interprète concrètement les obligations du RGPD. La notion de « sécurité appropriée » n’est pas abstraite. Elle suppose des audits réguliers, des politiques d’accès rigoureuses, une traçabilité effective et une capacité démontrée à détecter et contenir les incidents.

Pour les DSI et RSSI, le message est limpide : documenter ne suffit plus. Les autorités attendent des preuves opérationnelles, mesurables, et une amélioration continue des dispositifs. L’argument du contexte public ou de la complexité organisationnelle n’est plus recevable lorsqu’il s’agit de données personnelles à grande échelle.

Un signal fort pour tout le secteur public… et au-delà

Cette amende de 5 millions d’euros marque un tournant symbolique. Elle rappelle que les organismes publics sont soumis aux mêmes exigences que les entreprises privées, y compris les plus grandes. Pour les prestataires IT, les intégrateurs et les éditeurs travaillant avec l’administration, cette décision implique également une responsabilité accrue. La sécurité des données devient un critère contractuel central, susceptible d’engager la responsabilité de toute la chaîne.

Dans un contexte de numérisation accélérée des services publics, la sanction infligée à France Travail agit comme un révélateur. Elle montre que la transformation numérique sans investissement massif et continu dans la cybersécurité expose à des risques juridiques, financiers et réputationnels désormais très concrets.

Au fond, cette décision soulève une question plus large pour les professionnels de l’IT : l’État français a-t-il réellement intégré la cybersécurité comme une fonction stratégique, au même titre que l’infrastructure ou les applicatifs ? La réponse, à la lecture de cette sanction, reste ambivalente.

La CNIL ne se contente plus d’un rôle pédagogique. Elle assume pleinement une posture de régulateur exigeant, capable de sanctionner lourdement des acteurs publics majeurs. Pour l’écosystème numérique, c’est un changement de paradigme. La conformité RGPD n’est plus une contrainte administrative, mais un indicateur de maturité technologique et organisationnelle.

En ce sens, l’affaire France Travail dépasse largement le cadre d’une simple violation de données. Elle constitue un avertissement clair pour toutes les organisations, publiques comme privées : la sécurité des données personnelles n’est plus négociable, et l’approximation se paie désormais au prix fort.

La fragilité chronique des systèmes publics

Cette affaire s’inscrit dans une série d’incidents qui touchent régulièrement des administrations, des hôpitaux ou des collectivités. La transformation numérique de l’État avance vite sur le papier, mais beaucoup plus lentement sur le terrain de la cybersécurité. Infrastructures vieillissantes, empilement de prestataires, contraintes budgétaires, pénurie de talents cyber : le cocktail est bien connu des responsables IT du secteur public.

À cela s’ajoute une pression opérationnelle forte. France Travail doit assurer la continuité du service pour des millions d’usagers, souvent dans des situations sociales fragiles. La sécurité devient alors une variable d’ajustement, reléguée derrière l’urgence fonctionnelle, jusqu’au jour où l’incident survient.

Des conséquences bien réelles pour les usagers

Pour les personnes concernées, la fuite ne se traduit pas immédiatement par un préjudice visible. C’est précisément ce qui rend ce type d’incident dangereux. Les données peuvent circuler pendant des mois, être revendues, recoupées avec d’autres bases compromises, puis exploitées bien plus tard. Les campagnes d’escroquerie ciblant les demandeurs d’emploi, déjà fréquentes, trouvent ici un terrain idéal.

Au-delà du risque individuel, c’est la relation de confiance entre les citoyens et les services publics numériques qui s’érode. Lorsqu’un organisme censé accompagner, protéger et soutenir devient involontairement une source de vulnérabilité, la crédibilité de l’ensemble de l’écosystème numérique public est atteinte.

Source : CNIL

Et vous ?

Quelle analyse faites-vous de la sanction de la CNIL ?

L’amende infligée à France Travail doit-elle être interprétée comme un simple rappel à l’ordre ou comme l’aveu d’un échec structurel de la cybersécurité dans le secteur public français ?

Peut-on encore parler de transformation numérique réussie quand la protection des données personnelles reste traitée comme un sujet secondaire, y compris dans des organismes d’État critiques ?

La CNIL est-elle en train de durcir volontairement sa doctrine pour faire de France Travail un cas d’école destiné à l’ensemble des administrations ?

Les directions informatiques des grands opérateurs publics disposent-elles réellement des moyens, de l’autonomie et du poids politique nécessaires pour imposer des choix de sécurité parfois contraignants ?

Cette sanction marque-t-elle la fin de l’idée selon laquelle le secteur public bénéficierait d’une forme de tolérance implicite face aux exigences du RGPD ?
Vous avez lu gratuitement 47 631 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de Fagus
Membre expert https://www.developpez.com
Le 30/01/2026 à 18:25
l’État français a-t-il réellement intégré la cybersécurité comme une fonction stratégique,
Avant non, et maintenant ce serait beaucoup dire que quelqu'un ait une vision. Déjà, on a un président qui comme vision a eu "je ferai un référendum en 2025", donc déjà voir à plus de quelques semaines c'est compliqué... et comme rien n'est anticipé, tous les sujets sont "traités" en mode "extinction de crise" (et ça se finit souvent en bâtons + subventions).

On a l'ANSSI, pourquoi l'OS sécurisé CLIP OS a-t-il été abandonné ? Peut-on raisonnablement laisser chaque chapelle administrative ré-inventer (ou pas) la sécurité à son échelle, versus développer des standards puis des solutions nationales avec des économies d'échelles ?

Il y a 15 ans, je connais des administrations publiques, où, si quelqu'un voulait brancher un appareil non-autorisé, c'était fastoche. La sécurité c'était seulement filtrage IP + MAC, ou IP + nom machine (wouhou!). Ben spoof et voilà ...
Si il fallait communiquer avec l'extérieur, ben tunnel et voilà. Si il fallait juste une machine admin sans rien brancher, et avoir un accès distant, ben il fallait juste trouver un "équipement d'un fournisseur extérieur" branché, récupérer son mot de passe admin de 6 caractères, constater dépité que le-dit fournisseur utilise le même sur toute la France sur tout son parc en accès distant...

(D'ailleurs, la rumeur dit que sur un centre important, c'est une de ces machines d'un fournisseur extérieur qui a permis d'injecter sur l'intranet, le cryptolocker qui a chiffré tous les serveurs pas à jour depuis des années...)

Aujourd'hui ça n'a gère changé...

Les gens de France Travail ont expliqué piteusement aux médias que les comptes compromis avaient accès sans raison à tous les dossiers de France et qu'il n'y avait pas de limite à la quantité de dossier qu'un compte pouvait consulter. Ils expliquaient cette semaine que malgré leur piratage ils n'avaient toujours pas de double authentification, sans compter la sécurisation des données accessibles par les prestataires externes...

Bien entendu, les gens utilisent tous weetransfer, chatGPT, et la politique avec les données confidentielles, c'est "on fait confiance".

Perso j'utilise une simple yubikey en double auth, et du chiffrage, j'ai du mal à comprendre qu'on puisse raisonnablement dans l'administration publique n'avoir rien de mieux qu'une politique de changement réguliers de mots de passe (sachant que 10% des gens filent leurs identifiants en hameçonnage).
3  0