La Commission nationale de l’informatique et des libertés (CNIL) a condamné jeudi 29 janvier France Travail à une amende de 5 millions d’euros après une fuite de données personnelles massive, ayant pu concerner jusqu’à 36,8 millions d’utilisateurs français en mars 2024.

France Travail, opérateur public consacré à la recherche d’emploi (anciennement Pôle emploi), avait alors révélé avoir été la cible de pirates informatiques ayant réussi à extraire des données personnelles de demandeurs d’emploi, et avait averti la CNIL en conséquence. L’autorité avait expliqué que les données subtilisées recouvraient « les noms et prénoms, les numéros de Sécurité sociale, les identifiants France Travail, les adresses mail et postales ainsi que les numéros de téléphone ».

Etaient concernés les chômeurs inscrits à France Travail au moment des faits, mais aussi les « personnes précédemment inscrites au cours des vingt dernières années », soit « potentiellement » 43 millions de personnes. Après vérifications et élimination de doublons, ce nombre a été ramené à 36,8 millions, a précisé France Travail à l’Agence France-Presse.

Toutes ces informations étaient contenues dans une base de données opérée par France Travail. Dans sa décision, la CNIL donne des précisions sur le mode opératoire des pirates, qui « ont utilisé des techniques dites d’ingénierie sociale (…). Cette méthode leur a permis d’usurper des comptes de conseillers de Cap Emploi, c’est-à-dire les structures chargées de l’accompagnement, du suivi et du maintien dans l’emploi des personnes en situation de handicap ».

Ces conseillers de Cap Emploi ont accès aux bases de données de France Travail dans le cadre d’un partenariat entre les deux organismes. Selon la CNIL, « les modalités d’authentification permettant aux conseillers Cap Emploi d’accéder au système d’information de France Travail n’étaient pas suffisamment robustes », avec des « habilitations d’accès définies de manière trop large ». Ceci alors que « la plupart des mesures de sécurité adéquates avaient été identifiées par France Travail en amont de la mise en œuvre du traitement », dans un contexte où les « mesures de sécurité adaptées aux risques sont une obligation de moyens prévue par l’article 32 du RGPD ».

La sanction tient donc « compte de la méconnaissance des principes essentiels en matière de sécurité, du nombre de personnes concernées, du volume et de la sensibilité des données traitées », selon la CNIL. Dans sa délibération publiée sur le site Légifrance, l’autorité relève par exemple que « le fait de permettre aux attaquants de tester 50 mots de passe différents avant de bloquer le compte » avait facilité le vol de données réalisé par les attaquants.

« S’agissant de la robustesse des mots de passe », la CNIL dit avoir demandé à France Travail « de justifier de la mise en conformité par la mise en œuvre d’une politique de mots de passe prévoyant des mécanismes de restriction d’accès au compte ». La CNIL a aussi requis des restrictions d’accès pour les conseillers de Cap Emploi aux bases de données de France Travail, assortissant cette injonction d’une astreinte de 5 000 euros par jour de retard à l’issue d’un délai d’un mois après le 22 janvier, date où France Travail a été averti de l’amende.

Dans un communiqué transmis à l’AFP, France Travail dit avoir « pleinement conscience de la gravité des faits survenus et de la responsabilité qui est la [leur] en matière de protection des données. (…) Sans contester la décision de la CNIL, [ils] en regrett[ent] néanmoins la sévérité », ajoute l’agence, qui assure avoir « déjà mis en place les mesures correctives demandées avec notamment la double authentification depuis près de deux ans ».