Fuite de données : France Travail écope d'une amende de 5 millions d'euros

Génération NT / Actualités / Fuite de données : France Travail écope d'une amende de 5 millions d'euros

Publié le 29 janvier 2026 à 15:20 par Jérôme G.

La Cnil inflige une très lourde amende à France Travail pour une fuite de données survenue début 2024. Une sanction jugée trop sévère par l'opérateur public, alors que les informations personnelles de près de 37 millions d'utilisateurs ont potentiellement été exposées lors de la cyberattaque.

La Commission nationale de l’informatique et des libertés (Cnil) frappe fort en prononçant une sanction financière à l'encontre de France Travail. D'un montant de 5 millions d'euros, elle fait suite à une cyberattaque qui a permis d'accéder aux données de personnes inscrites au cours des 20 dernières années

La cyberattaque visant le système d’information de France Travail a eu lieu au premier trimestre 2024. Les informations compromises comprennent noms, prénoms, numéros de sociale, adresses e-mail et postales, ainsi que les numéros de téléphone. Ce sont potentiellement 36,8 millions de personnes qui sont concernées.

Quelles failles ont conduit à cette fuite massive ?

L'attaque a été rendue possible par de l'ingénierie sociale. Les attaquants ont réussi à usurper des comptes de conseillers du réseau Cap Emploi pour l'accompagnement des personnes en situation de handicap. Ces comptes leur ont ouvert un accès direct au système d’information de France Travail.

Le contrôle de la Cnil a révélé que les modalités d’authentification pour les conseillers Cap Emploi n'étaient pas suffisamment robustes. Par exemple, le fait de permettre aux attaquants de tester 50 mots de passe différents avant de bloquer le compte.

De plus, les habilitations d'accès étaient définies de manière trop large, donnant aux attaquants une vue sur des données bien au-delà de ce qui était nécessaire.

Sur quels manquements la Cnil a-t-elle fondé sa sanction ?

La Cnil a conclu à un manquement au Règlement général sur la protection des données en matière de sécurité des données. La décision ne repose pas seulement sur l'existence de la faille. France Travail n'avait pas mis en place les mesures techniques et organisationnelles adéquates pour prévenir une telle attaque.

Pire encore, la Cnil a relevé que la plupart des mesures de sécurité adéquates avaient été identifiées par France Travail en amont, dans ses propres analyses d’impact, sans pour autant avoir été effectivement mises en œuvre. L'organisme avait donc conscience des risques.

L'insuffisance des mesures de journalisation, qui auraient permis de détecter des comportements anormaux, a également été pointée du doigt.

La France Travail ne conteste pas, mais regrette la sévérité

Dans un communiqué, France Travail déclare prendre acte de la sanction, tout en regrettant sa sévérité. L'établissement public assure avoir " pleinement conscience de la gravité des faits survenus " et de sa responsabilité pour la protection des données.

France Travail ne contestera pas la décision devant le Conseil d'État. " Nous concentrerons nos efforts sur la protection de notre système et des données personnelles de nos usagers. "

Des mesures correctrices ont déjà été prises, dont certaines avant la décision de la CNIL, comme la double authentification depuis près de deux ans. France Travail indique que ses équipes déjouent près de 10 000 actes cybermalveillance chaque année.

Rappelons que dans un autre registre, la Cnil a récemment sanctionné Free et Free Mobile d'une amende de 42 millions d'euros pour la fuite de données d'octobre 2024. Free a déposé un recours devant le Conseil d'État.

Jérôme G.

Journaliste GNT spécialisé en nouvelles technologies

Cette page peut contenir des liens affiliés. Si vous achetez un produit depuis ces liens, le site marchand nous reversera une commission sans que cela n'impacte en rien le montant de votre achat. En savoir plus.

Poster un commentaire