France Travail (anciennement Pôle emploi) a été victime d’une cyberattaque entraînant une fuite de données susceptible d’affecter 43 millions de personnes.
Le 8 mars, France Travail a informé la CNIL qu’une intrusion avait eu lieu dans ses systèmes d’information, pouvant potentiellement permettre l’extraction de données de 43 millions d’usagers. Ce chiffre, à confirmer, concerne les personnes actuellement inscrites sur la liste des demandeurs d’emploi ou ayant été inscrites au cours des 20 dernières années, ainsi que celles ayant un espace candidat sur francetravail.fr. Les données personnelles exposées incluent les noms, prénoms, numéros de sécurité sociale, identifiants France Travail, adresses mail et postales, ainsi que les numéros de téléphone.
Face à l’ampleur de la violation, la CNIL (Commission nationale de l’informatique et des libertés) a décidé de mener rapidement des investigations pour déterminer si les mesures de sécurité mises en place avant et après l’incident étaient conformes aux obligations du RGPD. Des éléments ont particulièrement retenu l’attention de la CNIL :
▪️Le nombre de personnes touchées : est-il légitime que France Travail conserve les données de tant de personnes (43 millions) sur ses serveurs ?
▪️La durée de conservation des données : a-t-elle été respectée, étant donné que la fuite de données révèle des informations conservées depuis 20 ans ?
La réactivité de France Travail face à l’attaque a également été questionnée, car il existe une confusion quant au moment où l’attaque a commencé et elle a été détectée quelques semaines après son début, certains évoquant une période de 7 semaines. Ce manque de réactivité pourrait indiquer une possible faute de la part de France Travail.
En conséquence, outre les conséquences financières et médiatiques, il est possible que l’orgaisme France Travail soit sanctionné par la CNIL dans les mois à venir. Affaire à suivre…
