La CNIL a infligé à France Travail une amende de 5 millions d’euros pour manquements à la sécurité des données personnelles, après la cyberattaque de mars 2024 ayant exposé les informations de 36,8 millions de demandeurs d’emploi. Dans sa décision du 22 janvier 2026, l’autorité estime que l’organisme public n’a pas mis en place des mesures techniques et organisationnelles suffisantes pour protéger les données des usagers.
Selon la Commission nationale de l’informatique et des libertés, les pirates ont notamment profité d’un accès insuffisamment sécurisé aux comptes de conseillers Cap Emploi, partenaires de France Travail dans l’accompagnement des personnes en situation de handicap. Les modalités d’authentification étaient jugées trop faibles, avec notamment la possibilité de tester un grand nombre de mots de passe avant blocage, ce qui a facilité les intrusions et l’exfiltration des données.
Des injonctions et une astreinte en plus de l’amende
L’autorité de contrôle souligne que la sanction prend en compte l’ampleur de l’incident, le volume de données concernées et leur sensibilité. Elle a également imposé à France Travail de renforcer l’accès au système d’information, avec une astreinte de 5 000 euros par jour en cas de retard dans l’application des mesures exigées. Parmi les corrections attendues figurent notamment des restrictions d’accès plus strictes et une politique de mots de passe plus robuste.
France Travail dit avoir « pleinement conscience de la gravité » des faits et affirme avoir engagé des actions correctives, dont la mise en place de la double authentification. L’opérateur public ne conteste pas la décision, tout en regrettant la « sévérité » de la sanction au regard des efforts engagés depuis l’incident.
