A agência nacional de emprego da França, France Travail, foi multada em €5 milhões pela Commission Nationale de l’Informatique et des Libertés (CNIL), a autoridade francesa de privacidade e proteção de dados, após uma violação expor dados pessoais pertencentes a milhões de candidatos. A multa foi imposta em 22 de janeiro de 2026 por não implementar salvaguardas técnicas e organizacionais adequadas para proteger as informações pessoais processadas pela agência, em violação ao Artigo 32 do Regulamento Geral de Proteção de Dados (GDPR).
A violação ocorreu no início de 2024, quando um ou mais atacantes obtiveram acesso não autorizado aos sistemas de informação da France Travail usando técnicas de engenharia social que direcionavam contas da Cap Emploi, uma divisão de agência que apoia candidatos com deficiência. Os atacantes acessaram registros de indivíduos registrados na France Travail ao longo de aproximadamente 20 anos, incluindo nomes, números de seguridade social, endereços de e-mail e postais, e números de telefone. A violação não deu aos atacantes acesso a arquivos completos de candidatos a emprego, como dados de saúde, e não houve indicação de que informações financeiras ou credenciais de login foram obtidas.
A CNIL constatou que várias medidas de segurança importantes estavam ausentes no France Travail na época do incidente. Métodos de autenticação para contas de funcionários do Cap Emploi permitiam senhas curtas e não exigiam autenticação multifator, e as tentativas de login não eram suficientemente limitadas antes que as contas fossem bloqueadas. A exposição de direitos de acesso amplo aumentou ainda mais o volume de dados que podiam ser acessados por partes não autorizadas. Com base nessas conclusões, a CNIL concluiu que a France Travail não cumpriu sua obrigação prevista pelo GDPR de aplicar medidas de segurança adequadas em relação aos riscos apresentados pelo processamento de grandes volumes de dados pessoais.
A decisão da CNIL exige que a France Travail forneça evidências de medidas corretivas dentro de um prazo definido e impõe uma multa diária condicional de €5.000 por atrasos no tratamento das deficiências. A multa reflete o número de pessoas afetadas, a sensibilidade dos dados expostos e a ausência de controles adequados de cibersegurança na agência.
France Travail, anteriormente conhecido como Pôle Emploi, é o serviço público de emprego responsável pela administração dos benefícios de desemprego e pela manutenção dos registros dos candidatos a emprego. A violação destacou questões sistêmicas na abordagem da agência em relação à segurança de dados e motivou ações regulatórias para melhorar a proteção das informações pessoais de candidatos e beneficiários.
A sanção da CNIL ocorre após outras multas de grande destaque sob o GDPR por falhas na segurança de dados cometidas tanto por organizações públicas quanto privadas. A decisão enfatiza as expectativas regulatórias para a implementação de medidas robustas de segurança ao processar grandes conjuntos de dados contendo identificadores pessoais e informações de contato.
Indivíduos afetados pela violação podem ser contatados pela France Travail como parte das obrigações contínuas de notificação sob o GDPR. Agências de aplicação da lei têm participado da investigação da invasão de 2024, e as autoridades continuam monitorando o cumprimento do plano corretivo exigido pela CNIL.