29/01
Fuite de données chez France Travail : une amende salée pour des graves manquements de sécurité
Victime d’une intrusion informatique en 2024, France Travail est sanctionné par la CNIL pour de graves manquements à la sécurité des données, malgré des risques identifiés en amont.
Le 22 janvier 2026, la Commission nationale de l’informatique et des libertés (CNIL) a sanctionné France Travail, ex Pôle emploi, d’une amende de 5 millions d’euros pour manquement à son obligation de sécurité des données personnelles. En cause : une cyberattaque survenue au premier trimestre 2024, qui a exposé les données de millions de personnes en recherche d’emploi.
Selon les éléments établis par la CNIL, un ou plusieurs attaquants sont parvenus à s’introduire dans le système d’information de France Travail en utilisant des techniques d’ingénierie sociale. Cette méthode repose sur l’exploitation de la confiance ou de la crédulité des individus afin d’obtenir des accès non autorisés. Les attaquants ont ainsi réussi à usurper des comptes de conseillers de Cap Emploi, des structures chargées de l’accompagnement et du suivi des personnes en situation de handicap. Ces accès frauduleux leur ont permis de consulter une quantité très importante de données.
Des données sensibles exposées, mais pas les dossiers complets
Les investigations ont révélé que les données de l’ensemble des personnes inscrites à France Travail, ou l’ayant été au cours des vingt dernières années, ont été accessibles. Sont également concernées les personnes disposant d’un espace candidat sur le site francetravail.fr.
Les informations exposées incluent notamment les numéros de sécurité sociale, les adresses électroniques et postales ainsi que les numéros de téléphone. En revanche, les attaquants n’ont pas eu accès aux dossiers complets des demandeurs d’emploi, qui peuvent contenir des données particulièrement sensibles, notamment de santé.
Le contrôle mené par la CNIL a mis en évidence de graves insuffisances dans les mesures techniques et organisationnelles mises en place par France Travail pour assurer la sécurité des données personnelles. La formation restreinte de la CNIL a relevé plusieurs défaillances majeures. Les modalités d’authentification des conseillers Cap Emploi n’étaient pas suffisamment robustes. Les mécanismes de journalisation, destinés à détecter des comportements anormaux sur le système d’information, étaient eux aussi insuffisants. Enfin, les habilitations accordées aux comptes des conseillers étaient définies de manière trop large, leur permettant d’accéder à des données de personnes qu’ils n’accompagnaient pas directement, augmentant ainsi considérablement le volume de données exposées en cas de compromission.
Au regard de la gravité des manquements, du nombre de personnes concernées, ainsi que du volume et de la sensibilité des données traitées, la formation restreinte a prononcé une amende de 5 millions d’euros à l’encontre de France Travail. Elle a également enjoint l’établissement à justifier, selon un calendrier précis, des mesures correctrices mises en œuvre pour renforcer la sécurité de son système d’information. À défaut de mise en conformité dans les délais impartis, France Travail s’expose à une astreinte de 5 000 euros par jour de retard.
La CNIL précise que, dans ce dossier, la sanction tient aussi compte du fait que la plupart des mesures de sécurité adaptées avaient été identifiées en amont par France Travail dans ses analyses d’impact, sans avoir été effectivement déployées.