Het nationale arbeidsbureau van Frankrijk, France Travail, kreeg een boete van €5 miljoen door de Commission Nationale de l’Informatique et des Libertés (CNIL), de Franse privacy- en gegevensbeschermingsautoriteit, nadat een inbreuk persoonsgegevens van miljoenen werkzoekenden had blootgelegd. De boete werd opgelegd op 22 januari 2026 wegens het niet implementeren van adequate technische en organisatorische waarborgen om de door het agentschap verwerkte persoonsgegevens te beschermen, in strijd met artikel 32 van de Algemene Verordening Gegevensbescherming (AVG).
De inbreuk vond begin 2024 plaats toen een of meer aanvallers ongeautoriseerde toegang kregen tot de informatiesystemen van France Travail met behulp van social engineering-technieken die accounts richtten bij Cap Emploi, een agentschapsafdeling die werkzoekenden met een beperking ondersteunt. De aanvallers kregen toegang tot gegevens van personen die ongeveer 20 jaar bij France Travail geregistreerd waren, waaronder namen, sofinummers, e-mail- en postadressen en telefoonnummers. De inbreuk gaf aanvallers geen toegang tot volledige dossiers van werkzoekenden zoals gezondheidsgegevens, en er was geen aanwijzing dat financiële rekeninginformatie of inloggegevens waren verkregen.
CNIL stelde vast dat er ten tijde van het incident verschillende belangrijke beveiligingsmaatregelen ontbraken bij France Travail. Authenticatiemethoden voor Cap Emploi-personeelsaccounts stonden korte wachtwoorden toe en vereisten geen multi-factor authenticatie, en inlogpogingen waren niet voldoende beperkt voordat accounts werden vergrendeld. Het blootstellen van brede toegangsrechten verhoogde verder het volume van gegevens dat door ongeautoriseerde partijen toegankelijk kon worden. Op basis van deze bevindingen concludeerde CNIL dat France Travail niet aan haar verplichting onder de AVG had voldaan om passende beveiligingsmaatregelen te nemen met betrekking tot de risico’s die het verwerken van grote hoeveelheden persoonsgegevens met zich meebrengt.
Het besluit van CNIL vereist dat France Travail binnen een bepaalde termijn bewijs levert van corrigerende maatregelen en legt een voorwaardelijke dagelijkse boete van €5.000 op voor vertragingen bij het aanpakken van de tekortkomingen. De boete weerspiegelt het aantal getroffen personen, de gevoeligheid van de blootgestelde gegevens en het ontbreken van adequate cyberbeveiligingscontroles bij de instantie.
France Travail, voorheen bekend als Pôle Emploi, is de openbare arbeidsbureau die verantwoordelijk is voor het beheren van werkloosheidsuitkeringen en het bijhouden van werkzoekersregisters. De inbreuk bracht systemische problemen aan het licht in de benadering van de instantie op het gebied van gegevensbeveiliging en leidde tot regelgevende maatregelen om de bescherming rond de persoonlijke informatie van sollicitanten en begunstigden te verbeteren.
De sanctie van CNIL volgt op andere spraakmakende boetes onder de AVG voor gegevensbeveiligingsfouten door zowel publieke als private organisaties. De beslissing benadrukt de regelgevende verwachtingen voor het implementeren van robuuste beveiligingsmaatregelen bij het verwerken van grote datasets met persoonlijke identificatiegegevens en contactgegevens.
Personen die door het datalek zijn getroffen, kunnen door France Travail worden benaderd als onderdeel van de voortdurende meldingsverplichtingen onder de AVG. Wetshandhavingsinstanties zijn betrokken geweest bij het onderzoek naar de inbraak in 2024, en de autoriteiten blijven de naleving van het door CNIL verplichte corrigerende plan monitoren.