La CNIL sanctionne la société France travail pour manquement à l'obligation de sécurité prévue à l'article 32 du RGPD

Le 22 janvier 2026, la CNIL a rendu une délibération à l'encontre de France Travail ¹ (« l'opérateur »), lui infligeant une amende administrative de 5 millions d'euros pour manquement à l'obligation de sécurité des données prévue à l'article 32 du Règlement général sur la protection des données (RGPD).

En l'espèce, France Travail a été informé, au début de l'année 2024, d'une intrusion sur son système d'information. L'attaque reposait sur des « techniques « d'ingénierie sociale », c'est-à-dire selon des techniques consistant à obtenir un bien ou une information, en exploitant la confiance, l'ignorance ou la crédulité de tierces personnes (définition de l'Agence nationale de la sécurité des systèmes d'information (ANSSI)) », permettant aux attaquants d'accéder à des données personnelles relatives à environ 37 millions de personnes, comprenant notamment l'identité, les coordonnées et la situation administrative de demandeurs d'emploi actuels ou passés. Cette violation de données a été notifiée à la CNIL en mai 2024.

À la suite de cette notification, la CNIL a procédé à un contrôle du dispositif de sécurité mis en œuvre par l'opérateur. À l'issue de ses investigations, elle a considéré que les mesures techniques et organisationnelles déployées n'étaient pas adaptées au niveau de risque présenté par les traitements en cause.

La formation restreinte a ainsi relevé un manquement à l'obligation d'assurer la sécurité des données personnelles en application de l'article 32 du RGPD ².

Elle a notamment constaté des insuffisances significatives dans les mécanismes d'authentification et dans les mesures de journalisation destinés à la détection des comportements anormaux sur le système d'information, ainsi qu'un périmètre d'habilitations d'accès excessivement étendu, permettant aux conseillers d'accéder aux données de personnes qu'ils n'accompagnaient pas.

Pour déterminer le montant de la sanction, la CNIL a tenu compte de la gravité du manquement, du nombre particulièrement élevé de personnes concernées, ainsi que du caractère sensible de certaines données exposées. Elle a également pris en considération que des mesures de sécurité avaient été identifié lors d'analyses d'impact sans pour autant avoir été mises en œuvre.

Outre la sanction pécuniaire, la CNIL a assorti sa décision d'une injonction de mise en conformité, visant à renforcer durablement les mesures de sécurité des systèmes d'information concernés, sous peine d'astreinte.

Footnotes

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.