43 millions de personnes « potentiellement » concernées par l’attaque de France Travail début 2024, 10 millions de personnes touchées par le vol de données de Majorel, le prestataire privé de pôle emploi en août 2023, 10 000 allocataires concernées par l’exposition des données de la CAF de Gironde en janvier 2023…
« Dire que cela commence à faire – vraiment – beaucoup est un euphémisme », s’indigne le collectif Changer de Cap, qui qualifie l’attitude des administrations en matière de cybersécurité de « désinvolte ».
Le collectif rappelle que la loi Informatique et Libertés comme le RGPD impose à ces acteurs de « prévenir toute violation des données personnelles », et s’étonne que des entités comme France Travail, opérateur de service essentiel, n’aient pas été plus diligentes dans la protection de leurs systèmes et des informations que ceux-ci hébergent.
Il regrette, enfin, le manque d’information des victimes (c’est-à-dire des demandeurs d’emploi), ainsi que l’absence de mentions de la responsabilité de France Travail dans la récente fuite.
Commentaires (10)
#1
Comme le disent les syndicats qui pointent aujourd'hui les lacunes de cette mise en réseau en termes de cybersécurité. « En raison de la loi Plein Emploi, des partenaires ont désormais des habilitations d'accès aux données de Pôle Emploi, alors que leur compartimentation n'a pas pu être effectuée en amont de ces ouvertures à des partenaires. Sous la pression des résultats, la DSI de Pôle Emploi s'est fait imposer la mise en place d'habilitations d'accès au système d'information, d'abord pour Cap Emploi. Une ouverture qui doit être étendue demain aux Missions locales et à des opérateurs privés de placement. L'exfiltration de données révélée le 13 mars résulte donc d'abord d'un problème de gouvernance de données. »
Historique des modifications :
Posté le 19/04/2024 à 07h56
Bah tout simple, vu que les accès illégitimes ne relèvent pas du détournement de comptes d'utilisateurs de Pôle Emploi, mais bien de ceux d'un partenaire. Autrement dit, des utilisateurs externes à l'organisation avaient accès à un ensemble de données personnelles concernant l'ensemble des demandeurs ou inscrits depuis 20 ans ! Une énormité qui trouve son origine dans la loi Plein Emploi, du 18 décembre 2023, instituant la naissance du réseau France Travail, impliquant un travail plus collégial de l'ex-Pôle Emploi et d'un certain nombre de partenaires externes.
Comme le disent les syndicats qui pointent aujourd'hui les lacunes de cette mise en réseau en termes de cybersécurité. « En raison de la loi Plein Emploi, des partenaires ont désormais des habilitations d'accès aux données de Pôle Emploi, alors que leur compartimentation n'a pas pu être effectuée en amont de ces ouvertures à des partenaires. Sous la pression des résultats, la DSI de Pôle Emploi s'est fait imposer la mise en place d'habilitations d'accès au système d'information, d'abord pour Cap Emploi. Une ouverture qui doit être étendue demain aux Missions locales et à des opérateurs privés de placement. L'exfiltration de données révélée le 13 mars résulte donc d'abord d'un problème de gouvernance de données. »
#2
Je n'ai jamais réussi à savoir si c'était un vrai ou un phishing très bien fait, et pourtant je ne pense pas non-plus être né de la dernière pluie.
Si c'est un vrai, c'est n'importe quoi.
#2.1
#2.5
#2.2
Il venait très probablement bien de Pôle Emploi mais j'avais remarqué la même chose que toi au niveau du tracking, on finit par tomber sur des sites fiables. Et comme toi, c'était directement dans les spams de gmail.
Cette brève me rappelle qu'il faut que je demande des comptes au dpo de France Travail.
Leur formulaire pour le faire est structuré de telle façon que ça va être compliqué parce que je veux aborder plusieurs sujets et qu'il ne faut cocher qu'un motif. Et comme leur réponse ne me satisfera pas (sur le fait que les gens de Cap Emploi avaient accès à mes données alors que je ne suis pas en recherche d'emploi et que je ne suis pas en situation de handicap), j'enchaînerai sur la CNIL pour punir France Emploi pour non respect du RGPD (minimisation des personnes ayant accès au données).
Si quelqu'un a une adresse mail du dpo de l'IdF (leur formulaire est régional) ou d'un dpo national, qu'il nous la donne ici.
#2.3
Tout simplement, parce que c'est la loi, le code du travail indique : « Les données à caractère personnel et les informations enregistrées dans le système d'information sont conservées pendant une durée maximum de vingt années à compter de la cessation d'inscription sur la liste des demandeurs d'emploi. »
https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000032625875
#2.4
Mais mon reproche majeur n'est pas là. C'est que des "partenaires" (Cap Emploi) aient accès à mes données personnelles alors qu'elle ne le devraient pas pour les raison que je viens d'indiquer.
Le 2 de l'article 25 du RGPD est pourtant très clair :
Et d'après ce que tu as dit dans ton premier commentaire, cela a été violé délibérément. D'ailleurs, merci de me donner la source de ta citation, j'ai bien envie de l'utiliser.
#2.6
#3
J'ai reçu un mail générique de France Travail à ce sujet samedi dernier.
#4