Après le vol des données de 37 millions d’utilisateurs en mars 2024: France Travail est condamné à 5 millions d’euros d’amende par la Cnil, et "regrette la sévérité" de la décision, sans la contester

France Travail a été condamné par la Commission nationale informatique et libertés (Cnil) à une amende de cinq millions d'euros après une fuite de données de 36,8 millions d'utilisateurs en mars 2024, a annoncé la Cnil jeudi.

L'opérateur avait alors révélé avoir été la cible de pirates informatiques qui avaient extrait d'une base de données personnelles des informations d'identification des demandeurs d'emploi alors inscrits à France Travail mais aussi "des personnes précédemment inscrites au cours des 20 dernières années", soit "potentiellement" 43 millions de personnes.

Après vérifications et élimination de doublons, ce nombre a été ramené à 36,8 millions, a indiqué France Travail à l'AFP.

Une sanction qui tient compte de la sensibilité et de la quantité des données

La sanction tient "compte de la méconnaissance des principes essentiels en matière de sécurité, du nombre de personnes concernées, du volume et de la sensibilité des données traitées", selon la Cnil.

La commission explique que les pirates "ont utilisé des techniques dites 'd’ingénierie sociale', consistant à exploiter la confiance, l’ignorance ou la crédulité des personnes. Cette méthode leur a permis d’usurper des comptes de conseillers de Cap Emploi, c’est-à-dire les structures chargées de l’accompagnement, du suivi et du maintien dans l'emploi des personnes en situation de handicap".

Ces conseillers de Cap Emploi ont accès aux bases de données de France Travail dans le cadre d'un partenariat entre les deux organismes.

Dans sa délibération publiée sur le site Légifrance, la Cnil relève notamment que "le fait de permettre aux attaquants de tester 50 mots de passe différents avant de bloquer le compte accroit d’autant le risque qu’une de ses tentatives lui donne accès au compte".

"S’agissant de la robustesse des mots de passe", la Cnil demande à France Travail "de justifier de la mise en conformité par la mise en œuvre d’une politique de mots de passe prévoyant des mécanismes de restriction d’accès au compte".

France Travail ne conteste pas mais "regrette la sévérité" de la Cnil

Dans un communiqué, l'opérateur dit avoir "pleinement conscience de la gravité des faits survenus et de la responsabilité qui est la nôtre en matière de protection des données."

"Sans contester la décision de la CNIL, nous en regrettons néanmoins la sévérité", ajoute France Travail.

"Sans attendre la décision de la CNIL, nous avons d’ores et déjà mis en place les mesures correctives demandées avec notamment la double-authentification depuis près de deux ans", assure l'opérateur.

La Cnil a demandé des restrictions d'accès pour les conseillers de Cap Emploi, assortissant cette injonction d'une astreinte de 5.000 euros par jour de retard à l'issue d'un délai d'un mois après le 22 janvier, date de la notification de l'amende.