Fransa’nın ulusal istihdam ajansı France Travail, bir ihlal nedeniyle milyonlarca iş arayana ait kişisel verilerin ortaya çıkması nedeniyle Fransız gizlilik ve veri koruma kurumu Commission Nationale de l’Informatique et des Libertés (CNIL) tarafından 5 milyon € para cezası aldı. Ceza, ajans tarafından işlenen kişisel bilgileri korumak için yeterli teknik ve organizasyonel önlemlerin uygulanmaması nedeniyle 22 Ocak 2026’da uygulandı; bu, Genel Veri Koruma Yönetmeliği (GDPR) 32. maddesini ihlal ederdi.
İhlal, 2024 başında, bir veya daha fazla saldırganın, engelli iş arayanları destekleyen Cap Emploi adlı ajans birimindeki hesapları hedef alan sosyal mühendislik teknikleriyle France Travail’in bilgi sistemlerine yetkisiz erişim sağlamasıyla gerçekleşti. Saldırganlar, yaklaşık 20 yıl boyunca France Travail’de kayıtlı kişilerin kayıtlarına erişti; isimler, sosyal güvenlik numaraları, e-posta ve posta adresleri ile telefon numaraları dahil. İhlal, saldırganlara sağlık verileri gibi tam iş arama dosyalarına erişim sağlamadı ve finansal hesap bilgileri veya giriş bilgilerinin alındığına dair hiçbir belirti yoktu.
CNIL, olay sırasında France Travail’de birkaç önemli güvenlik önleminin eksik olduğunu tespit etti. Cap Emploi personel hesapları için kimlik doğrulama yöntemleri kısa şifrelere izin veriyor ve çok faktörlü kimlik doğrulama gerektirmiyordu; ayrıca hesaplar kilitlenmeden önce giriş girişleri yeterince sınırlı değildi. Geniş erişim haklarının ortaya çıkması, yetkisiz tarafların erişebileceği veri hacmini daha da artırdı. Bu bulgulara dayanarak, CNIL, France Travail’in GDPR kapsamında büyük miktarda kişisel veri işlemenin getirdiği risklere karşı uygun güvenlik önlemlerini uygulama yükümlülüğünü yerine getirmediği sonucuna vardı.
CNIL’in kararı, France Travail’in belirli bir zaman diliminde düzeltici önlemler kanıtı sunmasını ve eksikliklerin giderilmesinde gecikmeler için günlük 5.000 € koşullu bir ceza uygulamasını zorunlu kılmaktadır. Ceza, etkilenen kişi sayısını, açığa çıkan verilerin hassasiyetini ve kurumda yeterli siber güvenlik kontrollerinin eksikliğini yansıtıyor.
France Travail, eski adıyla Pôle Emploi, işsizlik yardımlarının yönetiminden ve iş arayanların kayıtlarını tutmaktan sorumlu kamu istihdam hizmetidir. İhlal, ajansın veri güvenliği yaklaşımındaki sistematik sorunları ortaya koydu ve iş başvuru sahiplerinin ve yararlanıcılarının kişisel bilgileriyle ilgili korumaları iyileştirmek için düzenleyici adımlar atıldı.
CNIL’in yaptırımı, hem kamu hem de özel kuruluşların veri güvenliği başarısızlıkları nedeniyle GDPR kapsamında diğer yüksek profilli para cezalarının ardından geliyor. Karar, kişisel tanımlayıcılar ve iletişim bilgileri içeren büyük veri setleri işlenirken sağlam güvenlik önlemlerinin uygulanmasına yönelik düzenleyici beklentileri vurguluyor.
İhlalden etkilenen kişiler, GDPR kapsamında devam eden bildirim yükümlülükleri kapsamında France Travail tarafından iletişime geçilebilir. Kolluk kuvvetleri 2024 müdahalesini soruşturmaya dahil oldu ve yetkililer, CNIL tarafından zorunlu kılılan düzeltici plana uyumu izlemeye devam ediyor.