L’agence nationale de l’emploi française, France Travail, a été condamnée à une amende de 5 millions d’euros par la Commission Nationale de l’Informatique et des Libertés (CNIL), l’autorité française de protection de la vie privée et des données, après qu’une violation ait révélé des données personnelles appartenant à des millions de chercheurs d’emploi. La sanction a été infligée le 22 janvier 2026 pour ne pas avoir mis en place des garanties techniques et organisationnelles adéquates pour protéger les informations personnelles traitées par l’agence, en violation de l’article 32 du Règlement général sur la protection des données (RGPD).
La faille s’est produite début 2024 lorsqu’un ou plusieurs attaquants ont obtenu un accès non autorisé aux systèmes d’information de France Travail en utilisant des techniques d’ingénierie sociale ciblant les comptes de Cap Emploi, une division d’agence soutenant les demandeurs d’emploi en situation de handicap. Les assaillants ont accédé aux dossiers des personnes enregistrées auprès de France Travail sur environ 20 ans, y compris des noms, numéros de sécurité sociale, adresses e-mail et postales, ainsi que numéros de téléphone. La violation n’a pas donné aux attaquants accès à des fichiers complets des chercheurs d’emploi tels que les données de santé, et rien n’a indiqué que des informations de compte financier ou des identifiants de connexion avaient été obtenus.
La CNIL a constaté que plusieurs mesures de sécurité clés faisaient défaut à France Travail au moment de l’incident. Les méthodes d’authentification pour les comptes du personnel de Cap Emploi permettaient des mots de passe courts et ne nécessitaient pas d’authentification multi-facteurs, et les tentatives de connexion n’étaient pas suffisamment limitées avant que les comptes ne soient verrouillés. L’exposition de droits d’accès larges a encore augmenté le volume de données pouvant être consultées par des parties non autorisées. Sur la base de ces constats, la CNIL a conclu que France Travail n’avait pas respecté son obligation prévue par le RGPD d’appliquer des mesures de sécurité appropriées concernant les risques liés au traitement de volumes importants de données personnelles.
La décision de la CNIL exige que France Travail fournisse des preuves de mesures correctives dans un délai défini et impose une pénalité conditionnelle quotidienne de 5 000 € en cas de retard dans la résolution des lacunes. L’amende reflète le nombre de personnes concernées, la sensibilité des données exposées et l’absence de contrôles de cybersécurité adéquats au sein de l’agence.
France Travail, anciennement connu sous le nom de Pôle Emploi, est le service public chargé de l’administration des allocations chômage et de la tenue des dossiers des chercheurs d’emploi. La violation a mis en lumière des problèmes systémiques dans l’approche de l’agence en matière de sécurité des données et a incité à des mesures réglementaires visant à améliorer la protection des informations personnelles des candidats et bénéficiaires.
La sanction de la CNIL fait suite à d’autres amendes très médiatisées en vertu du RGPD pour des défaillances à la sécurité des données commises par des organisations publiques et privées. La décision met l’accent sur les attentes réglementaires concernant la mise en œuvre de mesures de sécurité robustes lors du traitement de grands ensembles de données contenant des identifiants personnels et des informations de contact.
Les personnes concernées par la violation peuvent être contactées par France Travail dans le cadre des obligations de notification en cours prévues par le RGPD. Les forces de l’ordre ont participé à l’enquête sur l’intrusion de 2024, et les autorités continuent de surveiller le respect du plan correctif imposé par la CNIL.