S3 1 To
S3 1 To
Connexion Premium
Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société
Déontologie Règles de modération Mentions légales et contact
Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS GitHub Discord

France Travail écope de 5 millions d’euros d’amende pour sa gigantesque fuite de données

Environ 14 centimes par personne

France Travail écope de 5 millions d’euros d’amende pour sa gigantesque fuite de données

Flock

5 millions d’euros, soit la moitié du maximum encouru : la CNIL tape fort contre France Travail, mais c’est à la hauteur des manquements et de la fuite de données (25 Go), portant sur près de 37 millions de Français. La délibération permet de voir les arguments de France Travail… se faire démonter les uns après les autres par la Commission.

Le 29 janvier à 12h28

Mise à jour le 29 janvier à 15h55. Ajout du communiqué de France Travail qui « prend acte de la sanction de la CNIL », regrette la sévérité, mais ne contestera pas devant le Conseil d’État.

Article original du 29 janvier à 12h28. Au début de l’année 2024, France Travail était victime d’une cyberattaque avec l’exfiltration de données personnelles de plus 36,8 millions de personnes. Deux ans plus tard, la CNIL condamne l'organisme à 5 millions d’euros d’amende et une astreinte de 5 000 euros par jour.

La CNIL est « on fire » sur les sanctions depuis quelque temps, il faut dire que ce ne sont pas les fuites qui manquent, il y en a toutes les semaines, voire plusieurs par semaines… et même parfois par jour. Le temps que la CNIL instruise les dossiers et procède aux contradictoires, les procédures prennent du temps mais l’accélération est notable.

Rien que depuis le début de l’année, elle a prononcé des sanctions contre France Travail, Intersport (oups, la Société X) et Free (Mobile). En décembre 2025, c'était contre Nexpublica (Inetum), Mobius (Deezer), American Express.

Dans les mois précédents, c'était Conde Nast, la Samaritaine, Orange, Shein, Google, Caloga et Solocal (nous sommes alors en mai 2025). C’est sans compter sur la trentaine de sanctions en procédures simplifiées en 2025.

36,8 millions de personnes, 25 Go de données exfiltrées

Il reste 80% de l'article à découvrir.

Déjà abonné ? Se connecter

Cadenas en colère - Contenu premium

Soutenez un journalisme indépendant,
libre de ton, sans pub et sans reproche.

Accédez en illimité aux articles

Profitez d'un média expert et unique

Intégrez la communauté et prenez part aux débats

Partagez des articles premium à vos contacts

Commentaires (39)

votre avatar
Pour une fois que la CNIL tape ... (pas assez fort à mon goût)
votre avatar
(pas assez fort à mon goût)
Ouais, enfin, France Travail, c'est financé par les cotisations sociales.
votre avatar
L'amende retourne à l'état, tout va bien rassure-toi. Alors que la Nième fuite de France Travail en 1 an, ça méritait clairement un coup de massue.
votre avatar
C'est surtout l'état qui transvase de la poche gauche à la poche droite.
Pratique pour financer la CNIL.
votre avatar
L'état tape encore dans la caisse de l'unédic puis l'accuse d'être endetté.
votre avatar
et voulait faire pareil avec les retraites complémentaires qui se sont défendues.
votre avatar
La CNIL prononce donc « une astreinte d’un montant de cinq mille euros (5 000 €) par jour de retard et liquidable à l’issue d’un délai d’un (1) mois suivant la notification de la présente délibération »… et ajoute que cela concerne des « mesures que France Travail indique avoir déjà mises en œuvre ». Une manière de dire que cela ne devrait pas poser problème.
Quatre points sont soulevés pour la mise en conformité
Si je comprends bien, cela veut aussi dire que France Travaille devra les justifier pour éviter de payer l'injonction.
La CNIL est retorse, elle n'exige pas de justificatifs:
la Commission indique que France Travail affirme « avoir apporté des correctifs sur l’ensemble des vulnérabilités identifiées », mais ajoute « qu’aucun document justificatif n’a été transmis ».
enfin pas tout de suite...
votre avatar
Je le comprends justement comme quoi la CNIL demande les justificatifs (et pas seulement une parole d'honneur, ça ils l'ont déjà) sous peine de payer les astreintes.
votre avatar
c'est moi ou VS les 42M de Free c'est quand même pas grand chose ?
votre avatar
Free, il y avait quand même les IBAN…
votre avatar
Ce qu'il manque amha :
- indemnisation des victimes (que diriez vous d'un euro symbolique par donnée par personne, genre ton nom prénom date naissance ont fuité, tu gagnes 3€)
- licenciement pour faute grave des équipe sécurité qui n'ont pas fait leur taf

à adapter à la situation mais si quand un organisme d'état fait de la merde la seule conséquence c'est que sur le prochain budget faut prévoir 5M d'argent public dans le budget d'une agence de l'état pour verser une amende au même état alors seul le contribuable se retrouve à assumer ces erreurs....
votre avatar
Et pour recevoir tes 3 euros, il faudra donner... tes coordonnées bancaires :transpi: Merci mais non merci.
votre avatar
Comment peut on licencier des gens qui n'existent pas cher FT?
votre avatar
La CNIL fait uniquement dans les sanctions administratives, ils ne peuvent faire d'indemnisation des victimes (qui reste l'apanage des tribunaux).
votre avatar
Un peu "yakafokon" ce second point. Quid des objectifs et du budget assignés aux équipes de sécurité ? Quid des freins internes au sein de France Travail ? La cyber, la RSSI, c'est très souvent vu comme "les emmerdeurs". Que ce soit à France Travail ou ailleurs, beaucoup de salariés de la cyber sont dépités par leurs conditions de travail qui ne leur permettent pas de mettre en oeuvre ce qu'ils voudraient/devraient mettre en place.

Avant de blâmer les lampistes, je commencerai par regarder du côté du management, puis des décisionnaires...
votre avatar
Du coup la DSI va être renommée en France Balek ?
votre avatar
L’organisme a aussi tenté une approche différente : « plutôt que de prononcer une amende administrative, de lui enjoindre d’allouer une certaine somme à la sécurisation de son système d’information ».
Ça, ça ressemble tellement à une phrase écrite par le RSSI qui souhaiterai avoir ENFIN les budgets pour ses besoins ! ^^

Je ne suis pas certain que les fautifs, ici, soient tant à la DSI qu'à la tête de France Travail.


Et sinon :
France Travail a depuis changé ses règles : mot de passe de 12 caractères avec au minimum 3 types de caractères différents (contre 8 auparavant) et surtout un « abaissement à 10 du seuil de tentatives de connexion infructueuses en 5 minutes avant blocage du compte ».
8 caractères... Bon, là, OK, la DSI s'est loupée.

Par contre, 10 tentatives en moins de 5 minutes pour bloquer le compte, c'est pas hyper dangereux vu que tous les identifiants sont dans la nature ?
Je veux dire : imaginons qu'un Etat souhaiterait mettre le bazar en France en pleine période électorale, ne pourrait-il pas mettre cette mesure de sécurité à profit pour bloquer les comptes des 36M d'utilisateurs de France Travail en essayant plus de 10 tentatives par adresse issue de la fuite ? C'est compliqué de rétablir l'accès à ces comptes ?
votre avatar
Ça, ça ressemble tellement à une phrase écrite par le RSSI qui souhaiterai avoir ENFIN les budgets pour ses besoins ! ^^
Heureusement que la CNIL a refusé, sinon cela aurait valorisé les comportements fautifs ne mettant rien en place et attendant de se faire prendre pour dégager une ligne de budget pour répondre à leurs obligations.
votre avatar
D'un côté je suis d'accord, de l'autre je crains que ça aurait pu être efficace malgré tout, car rien ne dit que les dirigeants de FT vont flécher plus de budget sur la sécurité...
votre avatar
Si rien n'est fait et que la CNIL resanctionne, il faut que le gouvernement vire le directeur (ou les députés/sénateurs questionne le gouvernement à ce sujet).
votre avatar
En même temps, on peut se poser la question de pourquoi il n'a pas DÉJÀ été sanctionné...
votre avatar
Propose ton avis à un députés ou à sénateur.
votre avatar
C'est dans leur travail de gérer ce genre de choses ?
votre avatar
Le rôle des députés et des sénateurs (en dehors de voter des lois) est de contrôler l'Exécutif (et donc de voir si leurs lois sont appliqués), doù les commissions, les enquêtes, les questions orales ou écrites au Gouvernement. Ainsi ils ont le droit de demander à visiter les prisons, de consulter certaines informations du Ministère des Finances, de consulter certains documents top-secrets (Commission de la Défense).
Et pour éviter certaines pressions, ils ont une certaines immunité judiciaires.
votre avatar
OK, mais de là à pouvoir influer sur la gestion d'une entité administrative indépendante, j'ai un doute.
votre avatar
Indépendant, ne veut pas dire au-dessus des lois. Je suppose que le directeur a quelques obligations vis à vis de quelqu'un (ministère, parlement, ???).
votre avatar
Justement, c'est la question... Peut-être que l'administration de cette entité ne répond au gouvernement/parlement que sur la mission qui lui est confiée, et que ce piratage reste du "sujet interne"...
votre avatar
Pour moi le conseil d'administration de France Travail en est responsable devant l'État.

L'article L5311-8 dispose que France Travail doit assurer l'interopérabilité des systèmes d'information des réseaux pour l'emploi. C'est donc une de ses missions sur laquelle l'organisme a failli puisqu'il y a eu manquements à celles imposées par le RGPD.
votre avatar
Honteux ce qu’on apprend de FT, ainsi que leur réaction minable, ce sont nos données, m* !
votre avatar
Des infos disponibles chez l'Unédic, le financement de Pôle Emploi s'élevait à 3.9 milliards d'euros en 2022 (11% des recettes de l'Unédic, fixé par la loi). Et ça parle de 4.8 milliards sur 2024.

Je suppose que cette amende administrative impacte ce budget de fonctionnement. Et là, j'aurais tendance à dire que 5 millions, ça fait une sacré claque dans la gueule.
votre avatar
Le problème, c'est que je ne suis pas certain que ça aura un quelconque impact : est-ce que les dirigeants vont être impactés ?
votre avatar
Des fusibles sauteront certainement.
votre avatar
Il y a déjà des têtes qui ont sauté.
votre avatar
Ah ?! Tu as des liens stp ?
votre avatar
Pas de lien url, des liens humains 😅…
votre avatar
Pas de lien url, des liens humains 😅…
Si les têtes ont sauté, ce soit être des informations partielles.
votre avatar
J'admire les arguments de France Travail pour échapper à l'amende. Si on suit leur logique, aucun organisme gouvernemental ne devrait être condamné et demander que les sommes soient attribuées à la sécurisations des données, cet arguments pourrait être repris par les entreprises qui ont des fuites de données.

Ce qui m'énerve c'est que les données des personnes concernées se retrouvent dans la nature mais cela n'a pas l'air d'émouvoir grand monde. Ensuite, on a le risque de recevoir des scams par mail, par téléphone, etc.

Et bon, le conseiller qui traite 13 millions de fiches dans la journée soit 9 Go, cela ne pose apparemment aucun soucis.
votre avatar
Les chougneries de FT sont tellement minables. :roll:

On est à deux doigts du patron qui menace "si je prends une amende, je mets des gens au chômage."
votre avatar
On est à deux doigts du patron qui menace "si je prends une amende, je mets des gens au chômage."
Ce qui serait cocasse pour France Travail, ça leur ferait plus de clients :D

France Travail écope de 5 millions d’euros d’amende pour sa gigantesque fuite de données

  • 36,8 millions de personnes, 25 Go de données exfiltrées

  • France Travail affirme avoir des « mesures de sécurité fortes »…

  • … sans authentification multifacteur

  • 9 Go de données extraites en un jour, aucune alerte déclenchée

  • France Travail demandait une tape sur les doigts

  • La CNIL ne croit pas France Travail sur parole et prononce une injonction

  • France Travail regrette la sévérité, mais ne conteste pas

Fermer