La CNIL a sanctionné France Travail d’une amende de 5 millions d’euros pour ne pas avoir assuré la sécurité des données des personnes en recherche d’emploi. La décision, adoptée le 22 janvier 2026, intervient après une intrusion survenue au premier trimestre 2024 et une violation portant sur des données d’identification et de contact, à grande échelle.
Une intrusion via l’usurpation de comptes Cap emploi
Au premier trimestre 2024, des attaquants sont parvenus à s’introduire dans le système d’information de France Travail en recourant à des techniques d’ingénierie sociale, exploitant la confiance et la crédulité. Cette méthode leur a permis d’usurper des comptes de conseillers Cap emploi, structures chargées de l’accompagnement et du maintien dans l’emploi des personnes en situation de handicap.
Les investigations ont établi un accès aux données de l’ensemble des personnes inscrites, ou l’ayant été au cours des vingt dernières années, ainsi qu’à celles disposant d’un espace candidat sur francetravail.fr. Sont notamment concernés des numéros de sécurité sociale, des adresses mail et postales, ainsi que des numéros de téléphone. France Travail précise que les attaquants n’ont pas accédé aux dossiers complets des demandeurs d’emploi, susceptibles de contenir des données de santé.
Sécurité : des mesures jugées insuffisantes
Le contrôle mené par la CNIL conclut à une insuffisance des mesures techniques et organisationnelles mises en œuvre. La formation restreinte relève que France Travail n’a pas déployé des dispositifs qui auraient pu rendre l’attaque plus difficile.
La CNIL met en avant trois fragilités : des modalités d’authentification jugées insuffisamment robustes pour l’accès des conseillers Cap emploi, une journalisation trop faible pour détecter des comportements anormaux, et des habilitations d’accès définies trop largement, permettant à des conseillers d’accéder à des données de personnes qu’ils n’accompagnaient pas, augmentant mécaniquement le volume de données accessibles en cas de compromission.
La décision souligne enfin que la plupart des mesures de sécurité adéquates avaient été identifiées en amont par France Travail dans ses analyses d’impact, sans avoir été effectivement mises en œuvre.
Amende, injonction et astreinte : une mise en conformité sous calendrier
Au regard de la méconnaissance de principes essentiels de sécurité, du nombre de personnes concernées, ainsi que du volume et de la sensibilité des données traitées, la formation restreinte prononce une amende de 5 millions d’euros. Elle assortit la sanction d’une injonction : France Travail doit justifier des mesures correctrices apportées, selon un calendrier précis. À défaut, l’organisme s’expose à une astreinte de 5 000 euros par jour de retard.
La CNIL rappelle qu’en tant qu’établissement public national à caractère administratif, France Travail n’est pas sanctionné sur la base d’un chiffre d’affaires, mais dans une fourchette dont le plafond ne peut dépasser 10 millions d’euros pour un manquement à la sécurité des données (article 32 du RGPD). Les amendes, qu’elles visent des acteurs publics ou privés, sont recouvrées par le Trésor public et versées au budget de l’État.
