La Commission nationale de l’informatique et des libertés a frappé fort. En infligeant une amende de 5 millions d’euros à France Travail pour manquements graves à la protection des données personnelles, la CNIL envoie un signal clair à l’ensemble de l’écosystème numérique français. Au-delà du montant, cette sanction met en lumière des failles structurelles dans la gouvernance des données d’un opérateur public stratégique, et pose une question centrale pour les professionnels de l’IT : l’État est-il réellement au niveau des exigences qu’il impose aux autres ?Au premier trimestre 2024, un ou plusieurs attaquants sont parvenus à s’introduire dans le système d’information de France Travail (anciennement Pôle emploi jusqu'au 31 décembre 2023), l’organisme gouvernemental français en charge de l’emploi.
Et France Travail de déclarer :
« Compte tenu des investigations techniques menées, les données personnelles d’identification exposées sont les suivantes : nom et prénom, date de naissance, numéro de sécurité sociale, identifiant France Travail, adresses mail et postale et numéros de téléphone. Les mots de passe et les coordonnées bancaires ne sont pas concernés par cet acte de cybermalveillance. Il n’existe donc aucun risque sur l’indemnisation.
« La base de données qui aurait été extraite de façon illicite contient les données personnelles d’identification des personnes actuellement inscrites, des personnes précédemment inscrites au cours des 20 dernières années ainsi que des personnes non inscrites sur la liste des demandeurs d'emploi mais ayant un espace candidat sur francetravail.fr. C’est donc potentiellement les données personnelles de 43 millions de personnes qui ont été exfiltrées. »
L’opération a débuté par une « usurpation d’identité de conseillers Cap emploi » (organisme en charge de la recherche d’emploi des personnes handicapées), a expliqué l’opérateur, à la suite de quoi France Travail a « remarqué des requêtes suspectes ».
Les autorités ont immédiatement lancé une enquête pour évaluer l’étendue des dégâts et identifier les auteurs de l’attaque. France Travail a également mis en place des mesures d’urgence pour sécuriser ses réseaux et prévenir de futures intrusions. Les personnes affectées sont conseillées de surveiller leurs comptes et de rester vigilantes face à d’éventuelles fraudes ou usurpations d’identité.
Une sanction lourde prononcée par la CNIL
Le contrôle réalisé par la CNIL a révélé l’insuffisance des mesures techniques et organisationnelles mises en œuvre afin d’assurer la sécurité des données personnelles traitées. En conséquence, la formation restreinte (organe de la CNIL chargé de prononcer les sanctions) a prononcé une amende de 5 millions d’euros à l’encontre de France Travail, tenant compte de la méconnaissance des principes essentiels en matière de sécurité, du nombre de personnes concernées, du volume et de la sensibilité des données traitées.
En outre, la formation restreinte a enjoint à France Travail de justifier des mesures correctrices apportées, selon un calendrier de mise en œuvre précis.
À défaut, l’organisme devra payer une astreinte de 5 000 euros par jour de retard.
La décision rendue publique par la CNIL s’inscrit dans le cadre strict du RGPD, mais elle dépasse largement le simple rappel à l’ordre réglementaire. L’autorité reproche à France Travail des manquements persistants aux obligations de sécurité, notamment l’absence de mesures techniques et organisationnelles suffisantes pour protéger des données personnelles sensibles. Il ne s’agit pas d’une erreur ponctuelle ou d’un incident isolé, mais d’un ensemble de défaillances révélant une approche insuffisamment structurée de la cybersécurité.
En effet, la formation restreinte a relevé que France Travail n’a pas mis en place les mesures techniques et organisationnelles qui auraient pu rendre l’attaque plus difficile. Pour rappel, la mise en œuvre de mesures de sécurité adaptées aux risques est une obligation de moyens prévue par l’article 32 du RGPD. Elle a notamment relevé que les modalités d’authentification permettant aux conseillers CAP EMPLOI d’accéder au système d’information de FRANCE TRAVAIL n’étaient pas suffisamment robustes.
De plus, la formation restreinte a souligné l’insuffisance de mesures de journalisation permettant de détecter les comportements anormaux sur son système d’information. Enfin, la formation restreinte a relevé que les habilitations d’accès des comptes...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.
