Délibération : CNIL, 22 janvier 2026, SAN–2026-003
Ce qu’il s’est passé
France Travail a subi une cyberattaque d’ampleur fondée sur l’ingénierie sociale, consistant à exploiter la confiance, l’ignorance et la crédulité des agents, leur permettant de s’introduire dans le système d’information en usurpant les comptes de conseillers de CAP EMPLOI, structure partenaire chargée de l’accompagnement, du suivi et du maintien de l’emploi pour les personnes en situation de handicap.
En tout, ce sont 25 gigaoctets (Go) de données à caractère personnel relatives à 36 820 828 personnes, dont des numéros de Sécurité sociale, des adresses électroniques et postales et des numéros de téléphone qui ont été exfiltrés. Les attaquants ont pu accéder aux données de l’ensemble des personnes inscrites actuellement et au cours des 20 dernières années, mais aucune donnée de santé n’a pu être compromise.
Ce que la CNIL reproche à France Travail
Par une délibération en date du 22 janvier 2026, la Commission nationale de l’informatique et des libertés a sanctionné France Travail d’une amende de 5 millions d’euros.
Le motif ? Le non-respect de l’article 32 du RGPD, obligeant le responsable de traitement à assurer la sécurité des données à caractère personnel.
En effet, la CNIL, pour retenir cette impressionnante sanction, a relevé après contrôle que France Travail avait mis en place des mesures techniques et organisationnelles insuffisantes pour assurer cette sécurité des données. Elle a notamment relevé que :
- La politique d’authentification par mot de passe prévue par France Travail au moment de la violation, plus précisément le seuil de 50 tentatives d’authentification infructueuses avant le verrouillage de l’accès aux machines virtuelles était insuffisamment robuste, compte tenu de la volumétrie du traitement et de la sensibilité des données traitées ;
- France Travail aurait dû prévoir la mise en œuvre d’une authentification multifacteur pour l’accès aux comptes ;
- Les mesures de journalisation permettant de détecter les comportements anormaux sur son système d’information étaient insuffisantes et n’ont pas généré d’alertes ;
- Les habilitations d’accès des comptes des conseillers CAP EMPLOI avaient été définies de manière trop large, leur permettant d’avoir accès à des données de personnes qu’ils n’accompagnaient pas, augmentant le volume de données accessibles par les attaquants.
France Travail doit respecter un calendrier afin de présenter des mesures correctrices, sous peine de payer une astreinte de 5 000 euros par jour en cas de non-respect, en plus de la sanction de 5 millions d’euros.
Conseils pour les collectivités
Renforcez votre authentification : mettez en place une authentification multifacteur ou au moins à double facteur pour l’accès à votre système d’information : priorisez des mots de passe robustes et un code à saisir via un authentificateur annexe dédié.
Sécurisez les accès et les habilitations aux données : un agent ne doit avoir accès qu’aux données nécessaires à l’exercice de sa mission, chose à vérifier s’il s’agit d’un partenaire externe à la structure.
Journalisation et détection des incidents : mettez en place une journalisation détaillée des activités réalisées sur le système d’information.
Sensibilisez vos agents aux risques cyber : l’attaque réalisée sur la base de l’ingénierie sociale peut vous coûter très cher. Ce type d’attaque le plus connu est l’arnaque au faux président, où l’attaquant usurpe l’identité d’une personne importante au sein de la structure afin de procéder à un virement d’une somme importante.
Le SICTIAM reste à votre disposition pour toute question et rappelle qu’il peut organiser des programmes de sensibilisation Cyber et RGPD pour former vos agents à ces types de risques.