La agencia nacional de empleo de Francia, France Travail, fue multada con 5 millones de euros por la Comisión Nacional de Informática y Libertades (CNIL), la autoridad francesa de privacidad y protección de datos, tras una brecha que reveló datos personales de millones de personas en busca de empleo. La sanción se impuso el 22 de enero de 2026 por no implementar las salvaguardas técnicas y organizativas adecuadas para proteger la información personal procesada por la agencia, en violación del artículo 32 del Reglamento General de Protección de Datos (RGPD).
La brecha se produjo a principios de 2024 cuando uno o más atacantes obtuvieron acceso no autorizado a los sistemas de información de France Travail utilizando técnicas de ingeniería social que dirigían cuentas de Cap Emploi, una división de agencias que apoya a personas con discapacidad. Los atacantes accedieron a registros de personas registradas en France Travail durante aproximadamente 20 años, incluyendo nombres, números de la seguridad social, direcciones de correo electrónico y postal, y números de teléfono. La brecha no dio acceso a los atacantes a archivos completos de los buscadores de empleo, como datos de salud, y no hubo indicios de que se obtuvieran información de cuentas financieras o credenciales de acceso.
La CNIL constató que faltaban varias medidas clave de seguridad en France Travail en el momento del incidente. Los métodos de autenticación para las cuentas del personal de Cap Emploi permitían contraseñas cortas y no requerían autenticación multifactor, y los intentos de inicio de sesión no eran suficientemente limitados antes de que las cuentas fueran bloqueadas. La exposición de derechos de acceso amplio aumentó aún más el volumen de datos a los que podían acceder partes no autorizadas. A partir de estos hallazgos, la CNIL concluyó que France Travail no había cumplido con su obligación bajo el RGPD de aplicar medidas de seguridad adecuadas en relación con los riesgos que supone el procesamiento de grandes volúmenes de datos personales.
La decisión de la CNIL exige que France Travail aporte pruebas de medidas correctivas dentro de un plazo definido e impone una sanción diaria condicional de 5.000 € por retrasos en la resolución de las carencias. La multa refleja el número de personas afectadas, la sensibilidad de los datos expuestos y la ausencia de controles adecuados de ciberseguridad en la agencia.
France Travail, anteriormente conocido como Pôle Emploi, es el servicio público de empleo responsable de administrar las prestaciones por desempleo y de mantener los registros de los buscadores de empleo. La brecha puso de manifiesto problemas sistémicos en el enfoque de la agencia respecto a la seguridad de los datos y motivó la acción regulatoria para mejorar la protección de la información personal de los candidatos y beneficiarios.
La sanción de la CNIL sigue a otras multas de alto perfil bajo el RGPD por fallos en la seguridad de los datos tanto de organizaciones públicas como privadas. La decisión enfatiza las expectativas regulatorias para implementar medidas de seguridad robustas al procesar grandes conjuntos de datos que contienen identificadores personales e información de contacto.
Las personas afectadas por la brecha pueden ser contactadas por France Travail como parte de las obligaciones de notificación continuas bajo el RGPD. Las agencias de seguridad han participado en la investigación de la intrusión de 2024, y las autoridades continúan supervisando el cumplimiento del plan correctivo ordenado por la CNIL.