La sanction est lourde et marque un précédent pour une administration de cette taille. La Commission nationale de l’informatique et des libertés a infligé une amende de cinq millions d’euros à France Travail pour des manquements graves dans la gestion d’une cyberattaque survenue en mars 2024. L’attaque avait conduit à l’exfiltration de données personnelles concernant jusqu’à 36 millions de personnes, faisant de cet incident l’un des plus importants jamais recensés dans le secteur public français.
Les faits remontent au printemps 2024, lorsqu’un accès frauduleux aux systèmes de France Travail a permis à des attaquants de consulter et de copier des volumes considérables de données. Les informations potentiellement compromises incluaient notamment les noms, prénoms, identifiants, numéros de sécurité sociale, adresses, coordonnées téléphoniques et statuts administratifs de millions d’usagers. Les mots de passe et les données bancaires n’étaient en revanche pas concernés. Face à l’ampleur de l’incident, la Cnil avait ouvert une procédure de sanction à l’été 2025, aboutissant à la décision rendue fin janvier 2026.
Dans sa délibération, l’autorité de contrôle estime que les dispositifs de sécurité alors en place n’étaient pas proportionnés au niveau de sensibilité des données traitées. Elle considère que l’établissement public n’a pas suffisamment anticipé les risques liés aux accès professionnels, en particulier ceux des conseillers relevant du réseau Cap Emploi, dont certains comptes ont été usurpés.
Une attaque fondée sur l’ingénierie sociale
L’enquête menée par la Cnil met en lumière une attaque reposant sur des techniques dites d’ingénierie sociale. Les attaquants auraient exploité la confiance et les failles organisationnelles pour obtenir les éléments nécessaires à la réinitialisation de mots de passe de comptes professionnels. Se faisant passer pour des agents légitimes, ils ont contacté le support informatique afin d’obtenir de nouveaux identifiants, puis ont repris contact avec les conseillers concernés en se présentant comme le service technique, leur communiquant ces mots de passe frauduleusement générés.
Ce procédé a permis aux cybercriminels d’accéder à des bases de données très étendues, bien au-delà de ce qui aurait dû être nécessaire à l’activité quotidienne des agents concernés. La Cnil relève notamment l’absence de mécanismes suffisamment robustes de détection des comportements anormaux, comme des consultations massives ou des extractions de données inhabituelles.
L’autorité administrative indépendante ordonne donc à France Travail de renforcer durablement ses mesures de sécurité. Parmi les exigences figurent l’obligation de mots de passe renforcés, la généralisation de la double authentification pour les accès professionnels, un contrôle accru des activités informatiques et une limitation plus stricte des périmètres d’accès aux données. La réduction du volume d’informations consultables par les agents Cap Emploi constitue également un axe central des injonctions formulées.
Une responsabilité reconnue, sans recours engagé
France Travail a indiqué prendre acte de la décision et ne pas envisager de recours. L’établissement reconnaît la gravité des faits et sa responsabilité dans les défaillances constatées, tout en estimant la sanction financière particulièrement sévère au regard des efforts engagés depuis l’incident. Selon l’opérateur public, une grande partie des mesures exigées par la Cnil auraient déjà été mises en œuvre au cours des deux dernières années.
Parmi les actions déployées figurent la restriction des accès aux seuls dossiers relevant de la zone géographique d’intervention des agents, la mise en place de systèmes de surveillance renforcée capables de détecter des comportements atypiques, ainsi que le recours à des outils d’analyse reposant sur l’intelligence artificielle. France Travail affirme également avoir renforcé la sensibilisation de ses agents et de ses partenaires aux risques cyber, dans un contexte de multiplication des attaques visant les administrations publiques.
Une formation obligatoire à la cybersécurité, renouvelée tous les six mois, a notamment été instaurée. L’objectif affiché est de réduire la vulnérabilité humaine, identifiée comme un maillon faible majeur lors de l’attaque de 2024. Pour la Cnil, ces mesures correctives vont dans le bon sens mais n’effacent pas les manquements initiaux, justifiant une sanction financière dissuasive.
Au-delà du cas de France Travail, cette décision envoie un signal clair à l’ensemble des acteurs publics. La protection des données personnelles, en particulier lorsqu’elles concernent des millions de citoyens, est considérée comme une obligation stratégique, dont la défaillance peut désormais entraîner des conséquences financières majeures, y compris pour les établissements de l’État.
