France Travail v. Cnil : une sanction de 5 millions
Le 22 janvier 2026, la formation restreinte de la Commission nationale de l'informatique et des libertés a prononcé une amende administrative de 5 millions d'euros à l'encontre de France Travail.
La délibération SAN-2026-003, publiée sur Légifrance, sanctionne l'établissement public pour manquement à l'obligation de sécurité prévue à l'article 32 du Règlement général sur la protection des données.
À l'origine de cette décision, la cyberattaque massive du premier trimestre 2024, qui a permis l'exfiltration des données personnelles de 36 820 828 personnes, soit l'une des plus importantes violations de données jamais constatées en France.
La gravité retenue par France Travail CNIL ne tient pas seulement à l'ampleur quantitative de la fuite. Elle découle surtout d'une architecture de sécurité défaillante, dont la plupart des vulnérabilités avaient été identifiées en amont par France Travail lui-même, sans qu'aucune mesure corrective n'ait été déployée.
C'est cette dissociation entre conscience du risque et inaction opérationnelle que la formation restreinte sanctionne avec une particulière sévérité.
France Travail CNIL : retour sur la cyberattaque par ingénierie sociale
Au premier trimestre 2024, un ou plusieurs attaquants sont parvenus à s'introduire dans le système d'information de l'opérateur public en utilisant des techniques d'ingénierie sociale, méthode reposant sur l'exploitation de la confiance ou de la crédulité des agents.
Cette stratégie leur a permis d'usurper les comptes de conseillers de CAP EMPLOI, structure partenaire chargée de l'accompagnement professionnel des personnes en situation de handicap.
Les investigations ont établi que 25 gigaoctets de données à caractère personnel ont été exfiltrés. Le périmètre des personnes concernées couvre l'ensemble des inscrits, actuels ou passés sur les vingt dernières années, ainsi que les titulaires d'un simple espace candidat sur francetravail.fr.
Les numéros de Sécurité sociale, adresses électroniques, adresses postales et numéros de téléphone figurent parmi les informations compromises. Les mots de passe et coordonnées bancaires n'ont en revanche pas été affectés.
Une attaque révélatrice de failles structurelles
L'arrêt Natsionalna agentsia za prihodite rendu par la CJUE le 14 décembre 2023 (C-340/21) sert ici de boussole jurisprudentielle.
La Cour avait posé que l'absence de violation ne démontre pas l'absence de manquement, et qu'inversement, la survenance d'une violation ne caractérise pas en elle-même un manquement à l'article 32.
La CNIL applique scrupuleusement ce raisonnement : ce ne sont pas les conséquences de l'attaque qui sont punies, mais bien les défaillances techniques et organisationnelles préexistantes.
France Travail CNIL : trois manquements caractérisés à l'article 32 du RGPD
L'article 32 du RGPD impose au responsable de traitement de mettre en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque.
Il s'agit d'une obligation de moyens renforcée, dont la CNIL apprécie l'exécution au regard de l'état de l'art, de la nature des données traitées et du contexte du traitement.
Une authentification structurellement insuffisante
Le premier manquement retenu par France Travail CNIL porte sur l'authentification des comptes des conseillers CAP EMPLOI.
La formation restreinte a notamment relevé que le seuil de blocage des comptes était fixé à 50 tentatives infructueuses, un niveau jugé manifestement disproportionné par rapport à l'état de l'art, qui préconise un blocage à compter de 10 tentatives.
L'absence d'authentification multifacteur (MFA) sur des comptes donnant accès à plus de 36 millions de dossiers individuels constitue un manquement particulièrement caractérisé compte tenu de la sensibilité du traitement.
Une journalisation passive incapable de détecter l'anormalité
Le deuxième manquement concerne la journalisation des accès et la détection des comportements anormaux. La CNIL relève un passage édifiant dans la délibération : le mardi 6 février 2024, 9 gigaoctets de données ont été extraites en une seule journée par un unique compte conseiller, ce qui correspondrait à plus de 13 millions de fiches consultées par une seule personne en une journée.
Aucune alerte n'a été remontée, ni par le système de journalisation, ni par le Security Operations Center. Cette absence totale de détection d'un comportement statistiquement aberrant constitue selon la CNIL un défaut structurel majeur de la chaîne de surveillance.
Des habilitations d'accès anormalement étendues
Le troisième manquement porte sur le périmètre des habilitations. Les conseillers CAP EMPLOI disposaient de droits d'accès leur permettant de consulter les données de personnes qu'ils n'accompagnaient pas, en violation du principe de minimisation et du besoin d'en connaître.
Cette extension excessive du périmètre d'habilitation a mécaniquement multiplié le volume de données exposées au moment de la compromission.
La CNIL souligne que cette configuration accroît directement les risques d'usurpation d'identité pour les personnes concernées.
France Travail CNIL : la responsabilité de l'opérateur public confirmée
L'un des apports majeurs de la délibération réside dans le rejet explicite des moyens de défense soulevés par France Travail.
L'opérateur invoquait notamment la complexité technique de son système d'information, partagé avec environ 2 300 agents de structures partenaires, ainsi que la responsabilité conjointe avec CAP EMPLOI au sens de l'article 26 du RGPD.
La formation restreinte s'appuie sur l'arrêt IAB Europe de la CJUE du 7 mars 2024 (C-604/22) ainsi que sur les lignes directrices 07/2020 du Comité européen de la protection des données adoptées le 7 juillet 2021.
Ces textes rappellent que la responsabilité conjointe n'implique pas une responsabilité équivalente entre les acteurs : chaque opérateur peut être impliqué à des stades différents du traitement, selon des degrés de responsabilité distincts.
En l'espèce, France Travail demeurait le pilote du système d'information, responsable de la définition, du déploiement et du contrôle des règles de sécurité applicables.
La CNIL en déduit que la complexité organisationnelle ne saurait être opposée comme cause exonératoire. Cette position a vocation à s'appliquer à l'ensemble des architectures de service public mutualisées, où la fragmentation opérationnelle ne dilue jamais la responsabilité juridique du responsable principal du traitement.
Un calcul d'amende spécifique aux établissements publics
S'agissant d'un établissement public à caractère administratif, le calcul de l'amende ne repose pas sur le chiffre d'affaires. L'article 83 du RGPD prévoit pour un manquement à l'article 32 un plafond pouvant atteindre 10 millions d'euros.
La sanction de 5 millions représente donc 50 % du plafond légal applicable, montant retenu au regard de la gravité du manquement, du nombre exceptionnel de personnes concernées et de la sensibilité des données exposées.
À cette sanction s'ajoute une injonction de mise en conformité assortie d'une astreinte de 5 000 euros par jour de retard, portant notamment sur la politique de mots de passe, l'authentification renforcée des comptes CAP EMPLOI, la journalisation effective et le périmètre des habilitations.
France Travail CNIL : une décision aux conséquences contentieuses potentielles
Au-delà du quantum, la décision rendue par France Travail CNIL pourrait constituer un levier contentieux significatif pour les personnes concernées.
La caractérisation expresse du manquement à l'article 32 par l'autorité administrative ne lie certes pas le juge civil saisi d'une action en réparation, mais elle constitue un élément de preuve substantiel susceptible de faciliter la démonstration de la faute au sens de l'article 1240 du Code civil.
L'ampleur exceptionnelle de la violation, combinée à la sensibilité de certaines données, notamment celles concernant les travailleurs en situation de handicap, pourrait également favoriser l'émergence d'actions de groupe sur le fondement des articles 37 et suivants de la loi Informatique et Libertés.
France Travail a annoncé qu'il ne contesterait pas la décision et qu'aucun recours ne serait introduit devant le Conseil d'État, tout en regrettant la sévérité de la sanction au regard de son engagement déclaré en matière de cybersécurité.
La décision s'inscrit dans une séquence de sanctions répressives marquée. Quelques semaines auparavant, début janvier 2026, la CNIL avait infligé une amende de 22 millions d'euros à Free pour un dossier comparable.
Cette intensification du contentieux RGPD à l'encontre des grandes structures, publiques comme privées, traduit une évolution doctrinale assumée de l'autorité : sanctionner non plus seulement le manquement constaté, mais bien l'absence de culture du risque chez les responsables de traitement gérant des volumétries massives de données personnelles.
Cette intensification du contentieux RGPD n'est pas isolée : l'injonction publique prononcée à l'encontre d'Orange témoigne déjà de la volonté de la CNIL de sanctionner les défauts de sécurité chez les opérateurs gérant de grandes bases de données personnelles.
Pourquoi France Travail CNIL aboutit-il à 5 millions d'amende ?
La CNIL a sanctionné France Travail pour manquement à l'article 32 du RGPD qui impose une obligation de sécurité des données personnelles. L'amende de 5 millions d'euros, prononcée le 22 janvier 2026, sanctionne trois défaillances structurelles : authentification insuffisante des conseillers CAP EMPLOI, journalisation incapable de détecter les comportements anormaux et habilitations d'accès trop étendues. Le montant correspond à 50 % du plafond légal applicable de 10 millions d'euros pour un établissement public.
Quelles données ont été exposées dans la cyberattaque France Travail CNIL ?
L'attaque par ingénierie sociale a permis l'exfiltration de 25 gigaoctets de données concernant 36 820 828 personnes. Les informations compromises incluent les noms, prénoms, identifiants, numéros de Sécurité sociale, adresses électroniques et postales, et numéros de téléphone. Le périmètre couvre l'ensemble des personnes inscrites à France Travail sur les vingt dernières années, ainsi que les simples titulaires d'un espace candidat sur francetravail.fr. Les mots de passe et coordonnées bancaires n'ont pas été affectés.
Comment l'attaque sur France Travail CNIL a-t-elle été menée ?
Au premier trimestre 2024, des attaquants ont utilisé des techniques d'ingénierie sociale pour usurper les comptes de conseillers de CAP EMPLOI, structure partenaire de France Travail dédiée à l'accompagnement des personnes en situation de handicap. Une fois ces accès obtenus, ils ont pu exfiltrer massivement des données, notamment 9 gigaoctets en une seule journée le 6 février 2024, soit l'équivalent de 13 millions de fiches consultées par un seul compte, sans déclencher la moindre alerte automatique côté France Travail.
Quelles mesures correctives France Travail CNIL impose-t-il ?
La CNIL a assorti son amende d'une injonction de mise en conformité portant sur quatre axes : renforcement de la politique de mots de passe avec mécanismes de restriction d'accès, mise en place d'une authentification multifacteur pour les comptes CAP EMPLOI, journalisation effective permettant la détection en temps réel des comportements anormaux, et restriction du périmètre des habilitations au strict besoin d'en connaître. France Travail s'expose à une astreinte de 5 000 euros par jour de retard en cas de non-mise en œuvre selon le calendrier fixé.
France Travail CNIL ouvre-t-il la voie à des actions individuelles ?
La caractérisation expresse du manquement à l'article 32 du RGPD par la CNIL ne lie pas le juge civil mais constitue un élément de preuve substantiel pour engager une action en réparation sur le fondement de l'article 1240 du Code civil. Compte tenu du nombre exceptionnel de personnes concernées et de la sensibilité de certaines données, notamment celles relatives aux travailleurs handicapés, la délibération SAN-2026-003 pourrait également servir de socle à des actions de groupe sur le fondement de la loi Informatique et Libertés.
Quelle différence entre France Travail CNIL et la sanction Free de janvier 2026 ?
Les deux sanctions reposent sur le même fondement juridique de l'article 32 du RGPD mais relèvent de régimes de plafond distincts. Free, opérateur privé, a été sanctionné à hauteur de 22 millions d'euros, montant calculé en pourcentage du chiffre d'affaires mondial. France Travail, en tant qu'établissement public, est soumis à un plafond fixe de 10 millions d'euros pour ce type de manquement. Au-delà du quantum, les deux décisions traduisent une évolution doctrinale de la CNIL qui sanctionne désormais l'absence de culture du risque chez les responsables de traitement de grandes volumétries de données.
Pourquoi France Travail CNIL aboutit-il à 5 millions d'amende ?
La CNIL a sanctionné France Travail pour manquement à l'article 32 du RGPD qui impose une obligation de sécurité des données personnelles. L'amende de 5 millions d'euros, prononcée le 22 janvier 2026, sanctionne trois défaillances structurelles : authentification insuffisante des conseillers CAP EMPLOI, journalisation incapable de détecter les comportements anormaux et habilitations d'accès trop étendues. Le montant correspond à 50 % du plafond légal applicable de 10 millions d'euros pour un établissement public.
Quelles données ont été exposées dans la cyberattaque France Travail CNIL ?
L'attaque par ingénierie sociale a permis l'exfiltration de 25 gigaoctets de données concernant 36 820 828 personnes. Les informations compromises incluent les noms, prénoms, identifiants, numéros de Sécurité sociale, adresses électroniques et postales, et numéros de téléphone. Le périmètre couvre l'ensemble des personnes inscrites à France Travail sur les vingt dernières années, ainsi que les simples titulaires d'un espace candidat sur francetravail.fr. Les mots de passe et coordonnées bancaires n'ont pas été affectés.
Comment l'attaque sur France Travail CNIL a-t-elle été menée ?
Au premier trimestre 2024, des attaquants ont utilisé des techniques d'ingénierie sociale pour usurper les comptes de conseillers de CAP EMPLOI, structure partenaire de France Travail dédiée à l'accompagnement des personnes en situation de handicap. Une fois ces accès obtenus, ils ont pu exfiltrer massivement des données, notamment 9 gigaoctets en une seule journée le 6 février 2024, soit l'équivalent de 13 millions de fiches consultées par un seul compte, sans déclencher la moindre alerte automatique côté France Travail.
Quelles mesures correctives France Travail CNIL impose-t-il ?
La CNIL a assorti son amende d'une injonction de mise en conformité portant sur quatre axes : renforcement de la politique de mots de passe avec mécanismes de restriction d'accès, mise en place d'une authentification multifacteur pour les comptes CAP EMPLOI, journalisation effective permettant la détection en temps réel des comportements anormaux, et restriction du périmètre des habilitations au strict besoin d'en connaître. France Travail s'expose à une astreinte de 5 000 euros par jour de retard en cas de non-mise en œuvre selon le calendrier fixé.
France Travail CNIL ouvre-t-il la voie à des actions individuelles ?
La caractérisation expresse du manquement à l'article 32 du RGPD par la CNIL ne lie pas le juge civil mais constitue un élément de preuve substantiel pour engager une action en réparation sur le fondement de l'article 1240 du Code civil. Compte tenu du nombre exceptionnel de personnes concernées et de la sensibilité de certaines données, notamment celles relatives aux travailleurs handicapés, la délibération SAN-2026-003 pourrait également servir de socle à des actions de groupe sur le fondement de la loi Informatique et Libertés.
Quelle différence entre France Travail CNIL et la sanction Free de janvier 2026 ?
Les deux sanctions reposent sur le même fondement juridique de l'article 32 du RGPD mais relèvent de régimes de plafond distincts. Free, opérateur privé, a été sanctionné à hauteur de 22 millions d'euros, montant calculé en pourcentage du chiffre d'affaires mondial. France Travail, en tant qu'établissement public, est soumis à un plafond fixe de 10 millions d'euros pour ce type de manquement. Au-delà du quantum, les deux décisions traduisent une évolution doctrinale de la CNIL qui sanctionne désormais l'absence de culture du risque chez les responsables de traitement de grandes volumétries de données.
Rédaction CTRLZed
Le 22 janvier 2026, la formation restreinte de la Commission nationale de l'informatique et des libertés a prononcé une amende administrative de 5 millions d'euros à l'encontre de France Travail.
La délibération SAN-2026-003, publiée sur Légifrance, sanctionne l'établissement public pour manquement à l'obligation de sécurité prévue à l'article 32 du Règlement général sur la protection des données.
À l'origine de cette décision, la cyberattaque massive du premier trimestre 2024, qui a permis l'exfiltration des données personnelles de 36 820 828 personnes, soit l'une des plus importantes violations de données jamais constatées en France.
La gravité retenue par France Travail CNIL ne tient pas seulement à l'ampleur quantitative de la fuite. Elle découle surtout d'une architecture de sécurité défaillante, dont la plupart des vulnérabilités avaient été identifiées en amont par France Travail lui-même, sans qu'aucune mesure corrective n'ait été déployée.
C'est cette dissociation entre conscience du risque et inaction opérationnelle que la formation restreinte sanctionne avec une particulière sévérité.
France Travail CNIL : retour sur la cyberattaque par ingénierie sociale
Au premier trimestre 2024, un ou plusieurs attaquants sont parvenus à s'introduire dans le système d'information de l'opérateur public en utilisant des techniques d'ingénierie sociale, méthode reposant sur l'exploitation de la confiance ou de la crédulité des agents.
Cette stratégie leur a permis d'usurper les comptes de conseillers de CAP EMPLOI, structure partenaire chargée de l'accompagnement professionnel des personnes en situation de handicap.
Les investigations ont établi que 25 gigaoctets de données à caractère personnel ont été exfiltrés. Le périmètre des personnes concernées couvre l'ensemble des inscrits, actuels ou passés sur les vingt dernières années, ainsi que les titulaires d'un simple espace candidat sur francetravail.fr.
Les numéros de Sécurité sociale, adresses électroniques, adresses postales et numéros de téléphone figurent parmi les informations compromises. Les mots de passe et coordonnées bancaires n'ont en revanche pas été affectés.
Une attaque révélatrice de failles structurelles
L'arrêt Natsionalna agentsia za prihodite rendu par la CJUE le 14 décembre 2023 (C-340/21) sert ici de boussole jurisprudentielle.
La Cour avait posé que l'absence de violation ne démontre pas l'absence de manquement, et qu'inversement, la survenance d'une violation ne caractérise pas en elle-même un manquement à l'article 32.
La CNIL applique scrupuleusement ce raisonnement : ce ne sont pas les conséquences de l'attaque qui sont punies, mais bien les défaillances techniques et organisationnelles préexistantes.
France Travail CNIL : trois manquements caractérisés à l'article 32 du RGPD
L'article 32 du RGPD impose au responsable de traitement de mettre en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque.
Il s'agit d'une obligation de moyens renforcée, dont la CNIL apprécie l'exécution au regard de l'état de l'art, de la nature des données traitées et du contexte du traitement.
Une authentification structurellement insuffisante
Le premier manquement retenu par France Travail CNIL porte sur l'authentification des comptes des conseillers CAP EMPLOI.
La formation restreinte a notamment relevé que le seuil de blocage des comptes était fixé à 50 tentatives infructueuses, un niveau jugé manifestement disproportionné par rapport à l'état de l'art, qui préconise un blocage à compter de 10 tentatives.
L'absence d'authentification multifacteur (MFA) sur des comptes donnant accès à plus de 36 millions de dossiers individuels constitue un manquement particulièrement caractérisé compte tenu de la sensibilité du traitement.
Une journalisation passive incapable de détecter l'anormalité
Le deuxième manquement concerne la journalisation des accès et la détection des comportements anormaux. La CNIL relève un passage édifiant dans la délibération : le mardi 6 février 2024, 9 gigaoctets de données ont été extraites en une seule journée par un unique compte conseiller, ce qui correspondrait à plus de 13 millions de fiches consultées par une seule personne en une journée.
Aucune alerte n'a été remontée, ni par le système de journalisation, ni par le Security Operations Center. Cette absence totale de détection d'un comportement statistiquement aberrant constitue selon la CNIL un défaut structurel majeur de la chaîne de surveillance.
Des habilitations d'accès anormalement étendues
Le troisième manquement porte sur le périmètre des habilitations. Les conseillers CAP EMPLOI disposaient de droits d'accès leur permettant de consulter les données de personnes qu'ils n'accompagnaient pas, en violation du principe de minimisation et du besoin d'en connaître.
Cette extension excessive du périmètre d'habilitation a mécaniquement multiplié le volume de données exposées au moment de la compromission.
La CNIL souligne que cette configuration accroît directement les risques d'usurpation d'identité pour les personnes concernées.
France Travail CNIL : la responsabilité de l'opérateur public confirmée
L'un des apports majeurs de la délibération réside dans le rejet explicite des moyens de défense soulevés par France Travail.
L'opérateur invoquait notamment la complexité technique de son système d'information, partagé avec environ 2 300 agents de structures partenaires, ainsi que la responsabilité conjointe avec CAP EMPLOI au sens de l'article 26 du RGPD.
La formation restreinte s'appuie sur l'arrêt IAB Europe de la CJUE du 7 mars 2024 (C-604/22) ainsi que sur les lignes directrices 07/2020 du Comité européen de la protection des données adoptées le 7 juillet 2021.
Ces textes rappellent que la responsabilité conjointe n'implique pas une responsabilité équivalente entre les acteurs : chaque opérateur peut être impliqué à des stades différents du traitement, selon des degrés de responsabilité distincts.
En l'espèce, France Travail demeurait le pilote du système d'information, responsable de la définition, du déploiement et du contrôle des règles de sécurité applicables.
La CNIL en déduit que la complexité organisationnelle ne saurait être opposée comme cause exonératoire. Cette position a vocation à s'appliquer à l'ensemble des architectures de service public mutualisées, où la fragmentation opérationnelle ne dilue jamais la responsabilité juridique du responsable principal du traitement.
Un calcul d'amende spécifique aux établissements publics
S'agissant d'un établissement public à caractère administratif, le calcul de l'amende ne repose pas sur le chiffre d'affaires. L'article 83 du RGPD prévoit pour un manquement à l'article 32 un plafond pouvant atteindre 10 millions d'euros.
La sanction de 5 millions représente donc 50 % du plafond légal applicable, montant retenu au regard de la gravité du manquement, du nombre exceptionnel de personnes concernées et de la sensibilité des données exposées.
À cette sanction s'ajoute une injonction de mise en conformité assortie d'une astreinte de 5 000 euros par jour de retard, portant notamment sur la politique de mots de passe, l'authentification renforcée des comptes CAP EMPLOI, la journalisation effective et le périmètre des habilitations.
France Travail CNIL : une décision aux conséquences contentieuses potentielles
Au-delà du quantum, la décision rendue par France Travail CNIL pourrait constituer un levier contentieux significatif pour les personnes concernées.
La caractérisation expresse du manquement à l'article 32 par l'autorité administrative ne lie certes pas le juge civil saisi d'une action en réparation, mais elle constitue un élément de preuve substantiel susceptible de faciliter la démonstration de la faute au sens de l'article 1240 du Code civil.
L'ampleur exceptionnelle de la violation, combinée à la sensibilité de certaines données, notamment celles concernant les travailleurs en situation de handicap, pourrait également favoriser l'émergence d'actions de groupe sur le fondement des articles 37 et suivants de la loi Informatique et Libertés.
France Travail a annoncé qu'il ne contesterait pas la décision et qu'aucun recours ne serait introduit devant le Conseil d'État, tout en regrettant la sévérité de la sanction au regard de son engagement déclaré en matière de cybersécurité.
La décision s'inscrit dans une séquence de sanctions répressives marquée. Quelques semaines auparavant, début janvier 2026, la CNIL avait infligé une amende de 22 millions d'euros à Free pour un dossier comparable.
Cette intensification du contentieux RGPD à l'encontre des grandes structures, publiques comme privées, traduit une évolution doctrinale assumée de l'autorité : sanctionner non plus seulement le manquement constaté, mais bien l'absence de culture du risque chez les responsables de traitement gérant des volumétries massives de données personnelles.
Cette intensification du contentieux RGPD n'est pas isolée : l'injonction publique prononcée à l'encontre d'Orange témoigne déjà de la volonté de la CNIL de sanctionner les défauts de sécurité chez les opérateurs gérant de grandes bases de données personnelles.
Pourquoi France Travail CNIL aboutit-il à 5 millions d'amende ?
La CNIL a sanctionné France Travail pour manquement à l'article 32 du RGPD qui impose une obligation de sécurité des données personnelles. L'amende de 5 millions d'euros, prononcée le 22 janvier 2026, sanctionne trois défaillances structurelles : authentification insuffisante des conseillers CAP EMPLOI, journalisation incapable de détecter les comportements anormaux et habilitations d'accès trop étendues. Le montant correspond à 50 % du plafond légal applicable de 10 millions d'euros pour un établissement public.
Quelles données ont été exposées dans la cyberattaque France Travail CNIL ?
L'attaque par ingénierie sociale a permis l'exfiltration de 25 gigaoctets de données concernant 36 820 828 personnes. Les informations compromises incluent les noms, prénoms, identifiants, numéros de Sécurité sociale, adresses électroniques et postales, et numéros de téléphone. Le périmètre couvre l'ensemble des personnes inscrites à France Travail sur les vingt dernières années, ainsi que les simples titulaires d'un espace candidat sur francetravail.fr. Les mots de passe et coordonnées bancaires n'ont pas été affectés.
Comment l'attaque sur France Travail CNIL a-t-elle été menée ?
Au premier trimestre 2024, des attaquants ont utilisé des techniques d'ingénierie sociale pour usurper les comptes de conseillers de CAP EMPLOI, structure partenaire de France Travail dédiée à l'accompagnement des personnes en situation de handicap. Une fois ces accès obtenus, ils ont pu exfiltrer massivement des données, notamment 9 gigaoctets en une seule journée le 6 février 2024, soit l'équivalent de 13 millions de fiches consultées par un seul compte, sans déclencher la moindre alerte automatique côté France Travail.
Quelles mesures correctives France Travail CNIL impose-t-il ?
La CNIL a assorti son amende d'une injonction de mise en conformité portant sur quatre axes : renforcement de la politique de mots de passe avec mécanismes de restriction d'accès, mise en place d'une authentification multifacteur pour les comptes CAP EMPLOI, journalisation effective permettant la détection en temps réel des comportements anormaux, et restriction du périmètre des habilitations au strict besoin d'en connaître. France Travail s'expose à une astreinte de 5 000 euros par jour de retard en cas de non-mise en œuvre selon le calendrier fixé.
France Travail CNIL ouvre-t-il la voie à des actions individuelles ?
La caractérisation expresse du manquement à l'article 32 du RGPD par la CNIL ne lie pas le juge civil mais constitue un élément de preuve substantiel pour engager une action en réparation sur le fondement de l'article 1240 du Code civil. Compte tenu du nombre exceptionnel de personnes concernées et de la sensibilité de certaines données, notamment celles relatives aux travailleurs handicapés, la délibération SAN-2026-003 pourrait également servir de socle à des actions de groupe sur le fondement de la loi Informatique et Libertés.
Quelle différence entre France Travail CNIL et la sanction Free de janvier 2026 ?
Les deux sanctions reposent sur le même fondement juridique de l'article 32 du RGPD mais relèvent de régimes de plafond distincts. Free, opérateur privé, a été sanctionné à hauteur de 22 millions d'euros, montant calculé en pourcentage du chiffre d'affaires mondial. France Travail, en tant qu'établissement public, est soumis à un plafond fixe de 10 millions d'euros pour ce type de manquement. Au-delà du quantum, les deux décisions traduisent une évolution doctrinale de la CNIL qui sanctionne désormais l'absence de culture du risque chez les responsables de traitement de grandes volumétries de données.
Pourquoi France Travail CNIL aboutit-il à 5 millions d'amende ?
La CNIL a sanctionné France Travail pour manquement à l'article 32 du RGPD qui impose une obligation de sécurité des données personnelles. L'amende de 5 millions d'euros, prononcée le 22 janvier 2026, sanctionne trois défaillances structurelles : authentification insuffisante des conseillers CAP EMPLOI, journalisation incapable de détecter les comportements anormaux et habilitations d'accès trop étendues. Le montant correspond à 50 % du plafond légal applicable de 10 millions d'euros pour un établissement public.
Quelles données ont été exposées dans la cyberattaque France Travail CNIL ?
L'attaque par ingénierie sociale a permis l'exfiltration de 25 gigaoctets de données concernant 36 820 828 personnes. Les informations compromises incluent les noms, prénoms, identifiants, numéros de Sécurité sociale, adresses électroniques et postales, et numéros de téléphone. Le périmètre couvre l'ensemble des personnes inscrites à France Travail sur les vingt dernières années, ainsi que les simples titulaires d'un espace candidat sur francetravail.fr. Les mots de passe et coordonnées bancaires n'ont pas été affectés.
Comment l'attaque sur France Travail CNIL a-t-elle été menée ?
Au premier trimestre 2024, des attaquants ont utilisé des techniques d'ingénierie sociale pour usurper les comptes de conseillers de CAP EMPLOI, structure partenaire de France Travail dédiée à l'accompagnement des personnes en situation de handicap. Une fois ces accès obtenus, ils ont pu exfiltrer massivement des données, notamment 9 gigaoctets en une seule journée le 6 février 2024, soit l'équivalent de 13 millions de fiches consultées par un seul compte, sans déclencher la moindre alerte automatique côté France Travail.
Quelles mesures correctives France Travail CNIL impose-t-il ?
La CNIL a assorti son amende d'une injonction de mise en conformité portant sur quatre axes : renforcement de la politique de mots de passe avec mécanismes de restriction d'accès, mise en place d'une authentification multifacteur pour les comptes CAP EMPLOI, journalisation effective permettant la détection en temps réel des comportements anormaux, et restriction du périmètre des habilitations au strict besoin d'en connaître. France Travail s'expose à une astreinte de 5 000 euros par jour de retard en cas de non-mise en œuvre selon le calendrier fixé.
France Travail CNIL ouvre-t-il la voie à des actions individuelles ?
La caractérisation expresse du manquement à l'article 32 du RGPD par la CNIL ne lie pas le juge civil mais constitue un élément de preuve substantiel pour engager une action en réparation sur le fondement de l'article 1240 du Code civil. Compte tenu du nombre exceptionnel de personnes concernées et de la sensibilité de certaines données, notamment celles relatives aux travailleurs handicapés, la délibération SAN-2026-003 pourrait également servir de socle à des actions de groupe sur le fondement de la loi Informatique et Libertés.
Quelle différence entre France Travail CNIL et la sanction Free de janvier 2026 ?
Les deux sanctions reposent sur le même fondement juridique de l'article 32 du RGPD mais relèvent de régimes de plafond distincts. Free, opérateur privé, a été sanctionné à hauteur de 22 millions d'euros, montant calculé en pourcentage du chiffre d'affaires mondial. France Travail, en tant qu'établissement public, est soumis à un plafond fixe de 10 millions d'euros pour ce type de manquement. Au-delà du quantum, les deux décisions traduisent une évolution doctrinale de la CNIL qui sanctionne désormais l'absence de culture du risque chez les responsables de traitement de grandes volumétries de données.
