Cyberattaque : France Travail condamné à une amende de 5 millions d'euros

Le gendarme des données personnelles a rendu son verdict près de deux ans après les faits. La sanction est tombée ce 22 janvier 2026. La formation restreinte de la Cnil a infligé une amende de 5 millions d'euros à France Travail. L'institution reproche à l'établissement public de ne pas avoir suffisamment protégé les données personnelles hébergées sur ses serveurs, facilitant ainsi la tâche des pirates lors de la cyberattaque survenue au premier trimestre 2024.

L'ampleur de l'incident a pesé lourd dans la balance. Selon le régulateur, la fuite massive de données mars 2024 a potentiellement exposé les informations de 36 millions de personnes. Ce volume colossal inclut les demandeurs d'emploi actuellement inscrits, ceux l'ayant été au cours des vingt dernières années, ainsi que toute personne disposant d'un espace candidat sur le site francetravail.fr.

Des barrières numériques trop fragiles

L'enquête de la Cnil a mis en lumière des vulnérabilités techniques exploitées par les attaquants. Ces derniers ont utilisé une technique d'« ingénierie sociale » pour réaliser une usurpation de comptes de conseillers. Une fois connectés, ils ont pu accéder à une mine d'informations : numéros de sécurité sociale, noms, prénoms, adresses postales et électroniques, ainsi que les numéros de téléphone. Il est à noter que les données bancaires et médicales n'ont pas été compromises.

"Après avoir réussi à récupérer les données nécessaires à la réinitialisation du mot de passe d’un compte de conseiller CAP EMPLOI, les attaquants ont fait une demande de réinitialisation auprès du prestataire du support informatique en se faisant passer pour des employés CAP EMPLOI et ont ainsi pu usurper les comptes. Les attaquants ont ensuite contacté les conseillers CAP EMPLOI dont ils avaient usurpé le compte en se faisant passer pour le support informatique afin de leur communiquer leur nouveau mot de passe. […]. Les investigations menées ont révélé que les attaquants ont accédé aux données de […] (nom d’usage, nom de naissance, prénom, sexe, date de naissance, NIR, adresse, code postal, numéro de téléphone, adresse électronique, adresse géographique (région d’appartenance), référence individuelle, statut de demandeur d’emploi (inscrit, radié ou identifié), date de début et de fin d’inscription) […]", précise la Cnil, rapporte Franceinfo.

Le régulateur pointe une violation de la sécurité des données personnelles article 32 RGPD. Plusieurs négligences ont été identifiées :

• Des mesures d'authentification jugées « pas suffisamment robustes » : le système permettait par exemple de tester jusqu'à 50 mots de passe différents avant le blocage d'un compte, offrant une marge de manœuvre considérable aux pirates.
• Une absence de journalisation adéquate pour repérer les activités suspectes.
• Des droits d'accès excessifs : les comptes compromis permettaient de consulter les dossiers de personnes non accompagnées par les conseillers concernés, aggravant le volume de données exfiltrées.

La réaction de l'opérateur et le sort des victimes

Face à cette décision, France Travail sanctionné pour failles de sécurité a réagi immédiatement. Dans un communiqué, l'établissement indique qu'il « prend acte de la décision de la Cnil » et ne conteste pas la responsabilité qui lui incombe, reconnaissant la « gravité des faits ». L'organisme « regrette toutefois la sévérité de cette sanction » au regard des efforts fournis.

France Travail assure avoir déjà déployé des correctifs. La double authentification a été généralisée, les accès des agents restreints et un programme de formation obligatoire à la cybersécurité a été lancé. La Cnil maintient toutefois la pression : elle enjoint l'opérateur de justifier la conformité totale de ses systèmes, sous peine d'une astreinte de 5 000 euros par jour de retard.