Vincent Gautrais

Rami Haddad est étudiant dans le cadre du cours DRT6929 (Vie privée + Numérique) (Hiver 2026)

FRANCE TRAVAIL a fait l’objet d’une sanction administrative de 5 millions (€) et d’une injonction par la Commission Nationale de l’Informatique et des Libertés (« CNIL ») en date du 22 janvier 2026 visant à assurer la mise en œuvre effective des mesures correctives découlant de son manquement à l’obligation d’assurer la sécurité du traitement des données personnelles qu’il détient en vertu du règlement qui encadre la protection des données personnels au sein de l’Union Européenne (« Règlement Général sur la Protection des Données » ou « RGPD »).  Pour des fins de précisions, la CNIL est l’autorité administrative indépendante créé par la loi en France pour veiller à la protection des données personnelles et jouit d’un pouvoir d’investigation, de contrôle et de sanctions en cas de violations aux dispositions des lois et règlements en matière de protection de la vie privée.

1.                          Contexte :

FRANCE TRAVAIL est un établissement public administratif sous la tutelle du Ministère du Travail en France dont ses fonctions sont définies par l’article L. 5214-3-1 du code du travail de la France. Ces fonctions incluent notamment, l’accompagnement des demandeurs dans leur demande d’emploi et la gestion de l’offre d’emploi dans le cadre du processus de recrutement et d’embauche. FRANCE TRAVAIL a également comme fonction d’assurer l’accompagnement adapté aux besoins de personnes qui ont été qualifié de travailleur handicapé et qui sont bénéficiaires de l’obligation d’emploi.  Elle collabore aussi étroitement avec CAP EMPLOI, un organisme de placements spécialisés, qui est structuré de façon autonome et indépendante de FRANCE TRAVAIL. CAP EMPLOI accompagne autour de 20 % des personnes qualifiées de travailleur handicapé inscrites auprès de FRANCE TRAVAIL. Pour éviter la segmentation de cet accompagnement, une offre de service unifié entre FRANCE TRAVAIL et CAP EMPLOI permet depuis 2018 que cet accompagnement soit fait au sein de FRANCE TRAVAIL peu importe que le conseiller référent soit un employé de l’une ou l’autre de ces deux entités. Les 2300 employés de CAP EMPLOI pouvaient donc accéder à distance au système d’information de FRANCE TRAVAIL pour accompagner ces demandeurs.

2.                          L’intrusion externe et l’exfiltration de données personnelles

En date du 29 février 2024, des activités qualifiées d’anormales ont été détecté sur le système de mesures de performance du système d’information de FRANCE TRAVAIL. Cependant, ce n’est que quelques jours plus tard (5 mars) que l’alerte a été observé par les employés de FRANCE TRAVAIL menant par la suite à une investigation interne. C’est à la suite de celle-ci que FRANCE TRAVAIL a constaté qu’une intrusion externe avait eu lieu par l’utilisation de techniques qualifiés d’« ingénierie sociale » par des acteurs externes et s’est étendu du 6 février au 5 mars 2024. L’investigation fait aussi constat que ce sont les comptes de conseillers de CAP EMPLOI qui ont été usurpé par ces techniques d’ingénierie sociale pour ensuite accéder à l’environnement informatique de FRANCE TRAVAIL. Les acteurs externes ont par la suite eu accès à plusieurs types de données personnelles incluant des données considérées comme « sensibles » tel que le numéro d’inscription au répertoire (NIR) (équivalent au Numéro d’Assurance Sociale (NAS) du Québec) et ont réussi à extirper plus de 25 giga octets (Go) de données personnelles concernant plus de 36 millions de personnes dans la base de données de FRANCE TRAVAIL. À la suite de ces constations, FRANCE TRAVAIL a informé la CNIL le 8 mars 2024 de cette exfiltration de données personnelles massive lors de l’intrusion externe par les acteurs externes.

3.            Motifs de la délibération de la formation restreinte n° SAN–2026-003 du 22 janvier 2026

Les mesures techniques et organisationnelles appropriées qui doivent être mise en œuvre par le responsable du traitement doivent tenir compte « […] de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques […]» selon l’article 24 (1) du RGPD. L’article 32 (1) du RGPD impose l’obligation au responsable du traitement de garantir un niveau de sécurité adapté au risque selon des mesures techniques et organisationnelles que celui-ci doit mettre en place. L’article 32 (2) du RGPD nous informe sur les critères d’évaluation du niveau de sécurité approprié qui doit être mis en place par le responsable du traitement. L’enquête de la CNIL a révélé que FRANCE TRAVAIL a contrevenu à ses obligations en vertu de l’article 32 (1) du RGPD en tant que responsable du traitement sécuritaire des données personnelles qu’elle détient en vertu de l’article 4, alinéa 7 du RGPD. Bien que FRANCE TRAVAIL argumentât que CAP EMPLOI avait sa part de responsabilité dans la mise en application des règles de sécurité, la CNIL a déterminé que selon les faits, c’est FRANCE TRAVAIL qui avait la responsabilité principale de mettre en œuvre des mesures applicables pour assurer la sécurité de son système d’information et dont son accès était ouvert à CAP EMPLOI pour l’accompagnement des demandeurs qualifié de travailleur handicapé.

3.1.                Au regard de la sécurité du traitement des données et la gestion des habilitations et limitation d’accès

La commission restreinte de la CNIL a jugé que les mesures de sécurité organisationnelle mise en place par FRANCE TRAVAIL pour le traitement des données n’étaient pas suffisamment élevées compte tenu de la nature, la portée, le contexte et les finalités du traitement des données à caractère personnel (article 9 RGPD) traitées par FRANCE TRAVAIL, notamment le NIR ainsi que les données de santé requis par CAP EMPLOI en lien avec demandeurs qui sont qualifiés de travailleurs handicapé, malgré que ces données de santé n’ont pas fait l’objet de la violation. La CNIL fait donc état du volume et la nature sensible des données personnelles qui sont confiées et dont FRANCE TRAVAIL doit traiter lorsqu’il évalue les mesures techniques et organisationnelle qui sont mise en place pour leur traitement.

De plus, bien que les comptes des conseillers de CAP EMPLOI étaient paramétrés selon des profils d’habilitation et le principe du moindre privilège par FRANCE TRAVAIL, l’enquête de la CNIL a dévoilé que ces conseillers pouvaient quand même accéder aux données personnelles de toutes les personnes qui se retrouvaient dans la base de données de cette dernière et que cet accès n’était pas limité sur la base de la nécessité de connaitre l’information par les conseillers voulant y accéder.  À cet effet, la CNIL cite le principe de « défense en profondeur appliquée aux systèmes d’information » dans le Mémento sur le concept de la défense en profondeur appliqué aux SI rédigé par le bureau conseil de la Direction centrale de la sécurité des systèmes d’information (DCSSI) version 1.1 du 19 juillet 2004 et qui est repris par l’Agence nationale de la sécurité des systèmes d’information (« ANSSI »):

« La défense en profondeur consiste donc à opposer aux menaces des lignes défense coordonnées et indépendantes. Sur le plan des technologies cela peut signifier par exemple que la compromission d’un service réseau ne doit pas permettre d’obtenir les droits les plus élevé sur l’ensemble du système. Dans ce contexte, donner des droits d’administration à tous les utilisateurs d’un système est contraire à la défense en profondeur. En matière de protection de l’information cela peut aussi signifier que le chiffrement au niveau applicatif n’est en soi pas suffisant et qu’il pourrait être nécessaire de protéger également la couche IP. La défense en profondeur a donc pour conséquence de ne pas faire reposer la sécurité sur un élément mais sur un ensemble cohérent. Cela signifie donc qu’il ne doit en théorie pas exister de point sur lequel tout l’édifice repose […] »

FRANCE TRAVAIL a donc manqué à son obligation de l’article 32 du RGPD en ne s’assurant pas que les comptes des conseillers de CAP EMPLOI étaient adéquatement restreints pour éviter que les personnes n’ayant pas le besoin de connaitre l’information puissent y accéder de façon illicite. Ces mesures de sécurité auraient pu prévenir l’exfiltration des données personnelles à travers un accès illicite des comptes des conseillers CAP EMPLOI lors de l’intrusion par les acteurs externes.

3.2.      Au regard des mesures de sécurité : qualité du mot de passe, mécanisme de restrictions au compte et authentification à double facteur

Dans sa Délibération n° 2022-100 du 21 juillet 2022, la CNIL a émis des recommandations sur les mesures de sécurité appropriées pour les mots de passe et les restrictions d’accès au comptes, entres autres : (i) la robustesse du mot de passe; (ii) le seuil de tentatives de connexions infructueuses établi à 10 et dans un délai recommandé; (iii) la mise en place de «captcha», un mécanisme qui permet de bloquer les tentatives hostiles de connexions automatisées et intensives et; (iv) l’utilisation de l’authentification à double facteur ou le certificat électronique. Or, la CNIL note que le choix de mot de passe (minimum de 8 caractères dont un minimum de 3 caractères spéciaux) exigé par FRANCE TRAVAIL était assez robuste.  Cependant, le mécanisme de restriction au compte prévoyait un verrouillage du compte seulement après 50 tentatives de connexions infructueuses et aucun autre mécanisme de restriction n’était mise en place. La CNIL juge donc que la vulnérabilité du mécanisme de restriction mise en place et l’absence d’autres mécanismes de restrictions pour accéder au compte de FRANCE TRAVAIL et CAP EMPLOI ne respectaient pas les mesures de sécurité recommandées par la CNIL dans la Délibération n° 2022-100 du 21 juillet 2022 citée plus haut résultant à un manquement à l’obligation de sécurité même si cette vulnérabilité n’a pas été exploité par les acteurs externes lors de l’intrusion des systèmes d’information de FRANCE TRAVAIL.

3.3.      Au regard de la mise en place d’un processus efficace de journalisation

Dans sa Délibération n° 2021-122 du 14 octobre 2021, la CNIL recommande

« […] que les opérations de création, consultation, modification et suppression des données à caractère personnel et des informations contenues dans les traitements auxquels la journalisation est appliquée fassent l’objet d’un enregistrement comprenant l’auteur individuellement identifié, l’horodatage, la nature de l’opération réalisée ainsi que la référence des données concernées par l’opération[…] » et la mise en œuvre d’« […] un système de traitement et d’analyse des données collectées et de formaliser un processus permettant de générer des alertes et de les traiter en cas de suspicion de comportement anormal […] ».

De plus, l’ANSSI dans son guide intitulé « Recommandations de sécurité pour l’architecture d’un système de journalisation réitère l’importance de continuellement analyser les journaux d’évènements afin de repérer toute activité suspicieuse ou inhabituelle et de garder un archivage des journaux pour permettre de soulever des doutes après coup. La journalisation est donc une mesure technique vitale qui permet de détecter, d’analyser et de répondre aux incidents de sécurité. La CNIL fait valoir que FRANCE TRAVAIL avait un processus de journalisation en place (avec identifiant interne technique et horodatage des actions effectuées par les conseillers) lors de la survenance de l’intrusion externe mais que l’échec de la détection des activités suspicieuses et l’absence de déclenchement des alertes démontrent que le processus de journalisation mis en place par FRANCE TRAVAIL n’était pas adéquat face au risque auquel elle faisait face. De plus, la CNIL avait déjà dans le passé (délibération n° 2022-050 du 21 avril 2022) averti FRANCE TRAVAIL de l’importance de se doter d’un bon système de journalisation afin de prévenir les incidents de sécurité.

4. La sévérité des sanctions en fonctions de la nature de la violation en vertu du RGPD

Le 13 janvier 2026, la CNIL a imposé une sanction administrative de €42 millions aux entreprises française FREE et FREE MOBILE en raison d’un manquement à une obligation de l’article 5 du RGPD relié au consentement, précisément d’avoir conservé des données d’anciens clients au-delà de la période nécessaire. Dans notre cas ici, l’imposition de la sanction administrative de €5 millions à FRANCE TRAVAIL était reliée à un manquement à l’article 32 du RGPD en lien avec le traitement sécuritaire des données personnelles. Selon l’article 83 du RGPD, la sévérité des sanctions pécuniaires imposée varie selon la nature de la violation en vertu des dispositions du RGPD, où la sanction est plus sévère pour une violation de l’article 5 du RGPD relié au consentement (83 (4) RGDP – 4 % du chiffre d’affaires) versus une sanction moins sévère pour une violation de l’article 32 du RGPD en lien avec le traitement sécuritaire des données (83 (5) RGPD – 2 % du chiffres d’affaires). Pourtant, nous avons constaté que le piratage des systèmes informatiques, qui a sans doute été facilité par les différents manquements aux dispositions de la RGPD, a résulté dans les deux cas mentionnés plus haut à l’exfiltration massive de données (incluant des données sensibles) concernant plusieurs millions de personnes physiques. La sévérité de la sanction pécuniaire imposé par le RGPD n’est pas particulièrement corrélative avec le préjudice qui peut découler des manquements aux dispositions du RGPD. Le RGPD impose donc des sanctions plus sévères en fonction de la nature du manquement plutôt qu’au préjudice résultant du manquement invoqué.  

Ce contenu a été mis à jour le 26 février 2026 à 16 h 25 min.