La CNIL a infligé à France Travail une amende de 5 000 000 € après une fuite de données en mars 2024, révélant des faiblesses importantes en matière de sécurité. Selon la CNIL et France Travail, 36,8 millions de personnes ont été touchées après vérifications et élimination des doublons. L’attaque a été menée par des techniques d’ingénierie sociale visant des comptes de conseillers Cap Emploi et l’accès à des bases de données sensibles. France Travail affirme avoir renforcé ses systèmes de surveillance et de détection des comportements anormaux.
Fuite de données de mars 2024: 36,8 millions de personnes concernées
La CNIL précise que l’attaque a conduit à l’exfiltration d’informations d’identification et que le nombre de personnes concernées a été révisé à 36,8 millions, après vérifications et élimination de doublons. Le chiffre initial était évoqué à 36 millions. La CNIL souligne que les pirates « ont utilisé des techniques dites d’ingénierie sociale, consistant à exploiter la confiance, l’ignorance ou la crédulité des personnes. Cette méthode leur a permis d’usurper des comptes de conseillers de Cap Emploi, c’est-à-dire les structures chargées de l’accompagnement, du suivi et du maintien dans l’emploi des personnes en situation de handicap ».
Selon la délibération publiée sur Legifrance, « le fait de permettre aux attaquants de tester 50 mots de passe différents avant de bloquer le compte accroit d’autant le risque qu’une de ses tentatives lui donne accès au compte ». Ces conseillers ont accès aux bases de données dans le cadre d’un partenariat entre les deux organismes.
Montant et mesures imposées par la CNIL
Le montant de l’amende prononcé par la CNIL est de 5 000 000 €, et l’institution a demandé des mesures de sécurité renforcées, notamment des mécanismes de restriction d’accès. L’injonction est assortie d’une astreinte de 5 000 € par jour de retard à l’issue d’un délai d’un mois après la notification de l’amende, selon la CNIL. France Travail a déclaré qu’il ne conteste pas la décision mais qu’il « regrette » la sévérité de la sanction et qu’il a déjà mis en place les mesures demandées, dont la double authentification depuis près de deux ans.
Dans son communiqué, France Travail précise qu’il « pleinement conscience de la gravité des faits survenus et de la responsabilité qui est la nôtre en matière de protection des données », et que « sans contester la décision de la CNIL, nous en regrettons néanmoins la sévérité ». L’organisation ajoute qu’elle a agi « sans attendre la décision de la CNIL » et renforcé les contrôles et les protections.
Réactions et mesures de France Travail
France Travail a aussi mis en avant des actions proactives et une meilleure sensibilisation pour l’ensemble de ses agents et partenaires. « Sans contester la décision de la CNIL, nous en regrettons néanmoins la sévérité », a déclaré l’opérateur. « Sans attendre la décision de la CNIL, nous avons d’ores et déjà mis en place les mesures correctives demandées avec notamment la double-authentification depuis près de deux ans », a précisé France Travail.
Selon l’opérateur, des systèmes de surveillance et de détection des comportements anormaux ont été renforcés et des campagnes de sensibilisation ont été lancées afin d’améliorer la sécurité des données et des accès, et de limiter les risques futurs pour les partenaires et les demandeurs.