L’agenzia nazionale francese per l’impiego, France Travail, è stata multata di 5 milioni di euro dalla Commission Nationale de l’Informatique et des Libertés (CNIL), l’autorità francese per la privacy e la protezione dei dati, dopo che una violazione ha messo in luce dati personali appartenenti a milioni di candidati. La sanzione è stata inflitta il 22 gennaio 2026 per non aver implementato adeguate garanzie tecniche e organizzative per proteggere le informazioni personali trattate dall’agenzia, in violazione dell’articolo 32 del Regolamento Generale sulla Protezione dei Dati (GDPR).
La violazione si è verificata all’inizio del 2024, quando uno o più aggressori hanno ottenuto accesso non autorizzato ai sistemi informativi di France Travail utilizzando tecniche di ingegneria sociale che hanno preso di mira account presso Cap Emploi, una divisione di agenzie che supporta i candidati con disabilità. Gli aggressori hanno avuto accesso ai registri di individui registrati presso France Travail per circa 20 anni, inclusi nomi, numeri di previdenza sociale, indirizzi email e postali, e numeri di telefono. La violazione non ha dato agli aggressori accesso a file completi dei candidati in ricerca di lavoro, come i dati sanitari, e non c’erano indicazioni che siano state ottenute informazioni sui conti finanziari o credenziali di accesso.
La CNIL ha rilevato che al momento dell’incidente mancavano diverse misure di sicurezza chiave a France Travail. I metodi di autenticazione per gli account del personale di Cap Emploi permettevano password brevi e non richiedevano l’autenticazione multifattore, e i tentativi di accesso non erano sufficientemente limitati prima che gli account venissero bloccati. L’esposizione di diritti di accesso ampio ha ulteriormente aumentato il volume di dati accessibili da parti non autorizzate. Sulla base di questi risultati, la CNIL ha concluso che France Travail non aveva rispettato il suo obbligo previsto dal GDPR di applicare misure di sicurezza appropriate rispetto ai rischi posti dal trattamento di grandi volumi di dati personali.
La decisione della CNIL richiede a France Travail di fornire prove di misure correttive entro un termine definito e impone una sanzione giornaliera condizionata di 5.000 € per i ritardi nella risoluzione delle carenze. La multa riflette il numero di persone coinvolte, la sensibilità dei dati esposti e l’assenza di adeguati controlli di cybersecurity presso l’agenzia.
France Travail, precedentemente noto come Pôle Emploi, è il servizio pubblico di impiego responsabile dell’amministrazione dei sussidi di disoccupazione e della gestione dei registri dei candidati alla ricerca di lavoro. La violazione ha evidenziato problemi sistemici nell’approccio dell’agenzia alla sicurezza dei dati e ha spinto ad interventi regolatori per migliorare la protezione delle informazioni personali dei candidati e beneficiari.
La sanzione della CNIL segue altre multe di alto profilo ai sensi del GDPR per mancanze nella sicurezza dei dati da parte sia di organizzazioni pubbliche che private. La decisione sottolinea le aspettative normative per l’implementazione di misure di sicurezza robuste durante l’elaborazione di grandi dataset contenenti identificatori personali e informazioni di contatto.
Le persone coinvolte dalla violazione possono essere contattate da France Travail nell’ambito degli obblighi di notifica in corso ai sensi del GDPR. Le forze dell’ordine sono state coinvolte nell’indagine sull’intrusione del 2024 e le autorità continuano a monitorare il rispetto del piano correttivo imposto dalla CNIL.