France Travail condamné à une amende de 5 millions d’euros après une fuite massive de données
La CNIL a infligé une amende de 5 millions d’euros à France Travail pour ne pas avoir sécurisé les informations sensibles qu’elle détenait sur toutes les personnes inscrites au cours des 20 dernières années.
La sanction vise France Travail pour une fuite de données survenue en 2024 qui a exposé les numéros de sécurité sociale, les numéros de téléphone, les adresses e-mail et les adresses personnelles des utilisateurs inscrits. Lorsque la fuite avait été découverte, France Travail avait déclaré que 43 millions de personnes pourraient être concernées, avant de réduire cette estimation à 36,8 millions.
La CNIL, l’autorité nationale chargée de la protection de la vie privée, a constaté que France Travail n’avait pas mis en place les mesures de sécurité nécessaires pour protéger les données, comme l’exige pourtant le règlement général sur la protection des données (RGPD) de l’Union européenne. Si des mesures de sécurité appropriées avaient été mises en place, il aurait été plus difficile pour les hackers d’accéder aux données, a indiqué l’autorité de contrôle.
Les hackers ont utilisé des techniques d’« ingénierie sociale » pour compromettre les systèmes de France Travail, incitant les employés à leur donner accès à leurs comptes.
Dans un communiqué de presse, la CNIL a souligné que le montant de l’amende reflète le fait que l’organisme est financé par des fonds publics, principalement par le biais d’un régime de sécurité sociale.
Elle a également déclaré avoir pris en compte les mesures prises par France Travail depuis l’incident pour renforcer la sécurité.
Un porte-parole de la CNIL a déclaré à Euractiv que les décisions relatives au montant de l’amende visent à garantir que le montant fixé soit proportionné, mais qu’il puisse également avoir un effet dissuasif.
En vertu du RGPD, la sanction maximale possible pour un organisme public, dont la mission est de fournir un service et non de générer des revenus, pourrait être de 10 millions d’euros.
La CNIL a également donné à France Travail un délai pour mettre en œuvre des mesures de sécurité supplémentaires. Si elle ne le fait pas, elle pourrait se voir infliger une sanction supplémentaire sous la forme d’une amende journalière de 5 000 euros jusqu’à ce qu’elle se conforme au RGPD.
