https://www.zdnet.fr/actualites/lourdement-sanctionne-par-la-cnil-france-travail-prend-acte-mais-regrette-489023.htm?utm_source=Facebook_Nonli&utm_medium=Social&utm_campaign=Nonli
France Travail représente une cible pour les cyberattaquants. En 2024, l’opérateur public était d’ailleurs visé, exposant potentiellement les données de 43 millions de personnes. Tout récemment, en décembre dernier, il était de nouveau attaqué.
Toutefois, c’est pour les faits de 2024 que France Travail est aujourd’hui sanctionné par le gendarme français des données personnelles, la Cnil. Suite à l’intrusion réussie grâce à des techniques d’ingénierie sociale, l’autorité procédait à un contrôle.
Par le biais de l’usurpation de comptes de conseillers de CAP EMPLOI, les pirates ont pu avoir accès aux données de l’ensemble des personnes inscrites, ou qui l’ont été au cours des 20 dernières années, ainsi que des personnes ayant un espace candidat sur francetravail.fr.
Seule note de réconfort, n’ont pas été lus les dossiers complets des demandeurs d’emploi, qui peuvent notamment comprendre des données de santé. Le contrôle a surtout mis en évidence des failles dans la sécurité de France Travail.
Dans la note accompagnant la sanction publique de l’opérateur, la Cnil souligne “l’insuffisance des mesures techniques et organisationnelles mises en œuvre afin d’assurer la sécurité des données personnelles traitées.”
Violation de données : sanction de 5 millions d’euros à l’encontre de FRANCE TRAVAIL
Ces faiblesses structurelles, qui résultent de “la méconnaissance des principes essentiels en matière de sécurité”, combinées au volume de données exposées et à leur sensibilité valent à France Travail une lourde sanction. Il écope en effet de 5 millions d’euros d’amende.
Outre cette peine financière, la Cnil impose à l’opérateur de prendre des mesures correctives selon un calendrier précis. France Travail devra agir dans les temps et justifier ses actions pour renforcer sa sécurité.
En cas de manquement, “l’organisme devra payer une astreinte de 5 000 euros par jour de retard”, prévient l’autorité. Le peine est déjà lourde cependant, comme le signale la Cnil. Rappelant les modalités du RGPD, elle indique que la sanction ne pouvait dépasser 10 millions d’euros.
Contrairement à un acteur privé, France Travail n’est pas sanctionné en fonction du chiffre d’affaires. L’article 32 du RGPD prévoit pour un établissement public une fourchette dont le plafond ne peut dépasser 10 millions d’euros pour un manquement à la sécurité des données.
La condamnation n’en demeure pas moins sévère, juge France Travail. Si l’organisme “prend acte”, il regrette malgré tout “la sévérité au regard de notre très fort engagement en matière de cybersécurité et de protection des données de nos usagers depuis la survenance de cet incident.”
“Sans attendre la décision de la CNIL, nous avons d’ores et déjà mis en place les mesures correctives demandées avec notamment la double-authentification depuis près de deux ans et avons engagé depuis plusieurs mois les développements nécessaires pour répondre à l’ensemble des injonctions de la CNIL”, poursuit-il.
France Travail dispose encore d’une marge de progression néanmoins. Dans son récent rapport consacré au déploiement de l’IA, la Cour des comptes pointait ainsi du doigt les lacunes de l’établissement à l’égard du RGPD et de l’AI Act.
France Travail et l'intelligence artificielle