La CNIL a prononcé une amende de 5 millions d’euros à l’encontre de France Travail pour ne pas avoir assuré un niveau de sécurité suffisant des données personnelles qu’il traite. La décision, rendue le 22 janvier 2026, fait suite à une intrusion intervenue début 2024, ayant conduit à l’accès non autorisé à des données d’identification et de contact concernant plusieurs dizaines de millions de personnes.
Une compromission par usurpation de comptes partenaires
L’attaque, survenue au premier trimestre 2024, repose sur des techniques d’ingénierie sociale. Les attaquants sont parvenus à usurper des comptes de conseillers Cap emploi, partenaires de France Travail dans l’accompagnement des personnes en situation de handicap, en exploitant des procédures de réinitialisation de mots de passe.
Selon les éléments établis lors de l’instruction, les accès ont concerné les données des personnes inscrites, ou l’ayant été au cours des vingt dernières années, ainsi que celles disposant d’un espace candidat sur le site francetravail.fr. Les informations concernées incluent notamment le numéro de sécurité sociale, des coordonnées postales et électroniques, ainsi que des numéros de téléphone. France Travail indique que les dossiers complets des demandeurs d’emploi, susceptibles de contenir des données de santé, n’ont pas été consultés.
Des faiblesses connues, mais non corrigées à temps
Dans sa décision, la CNIL retient une insuffisance des mesures techniques et organisationnelles mises en œuvre. L’autorité pointe notamment des modalités d’authentification jugées trop peu robustes pour les accès des conseillers Cap emploi, un dispositif de journalisation ne permettant pas de détecter efficacement des comportements anormaux, ainsi qu’une gestion des habilitations trop large, donnant accès à des données au-delà des stricts besoins opérationnels.
La formation restreinte souligne également que ces faiblesses avaient été identifiées en amont par France Travail dans ses analyses d’impact, sans que l’ensemble des mesures prévues n’ait été déployé avant l’incident. C’est cet écart entre les risques connus et les dispositifs effectivement mis en œuvre qui fonde le manquement à l’article 32 du RGPD.
Une réaction mesurée de France Travail
À la suite de la décision, France Travail a indiqué « prendre acte » de la sanction, affirmant avoir pleinement conscience « de la gravité des faits survenus » et de sa responsabilité en matière de protection des données. L’établissement précise ne pas contester la décision, tout en regrettant « sa sévérité » au regard des actions engagées depuis l’incident.
France Travail met en avant le renforcement de sa politique de sécurité, citant notamment l’évolution des règles d’authentification, des habilitations et des dispositifs de surveillance des activités anormales. « Sans attendre la décision de la CNIL, nous avons d’ores et déjà mis en place les mesures correctives demandées », indique l’opérateur, qui précise avoir engagé les développements nécessaires pour répondre à l’ensemble des injonctions.
L’organisme rappelle par ailleurs le contexte de pression croissante sur les systèmes d’information publics, indiquant déjouer chaque année plusieurs milliers de tentatives de malveillance, et insiste sur ses actions de sensibilisation et de formation de ses collaborateurs et partenaires. France Travail précise enfin qu’il ne formera pas de recours devant le Conseil d’État et concentrera ses efforts sur la sécurisation de son système d’information.
