La Cnil a condamné France Travail à une amende de cinq millions d’euros, après une fuite de données ayant exposé les informations personnelles de près de 36,8 millions de personnes. La délibération du régulateur met en lumière des failles structurelles dans la gouvernance du système d’information de l’opérateur public.
Tout ce qu’il ne faut pas faire. C’est en creux le constat dressé par la Commission nationale de l’informatique et des libertés (Cnil) dans sa décision rendue le 22 janvier dernier dans laquelle elle condamne France Travail (ex-Pôle Emploi) à une amende de cinq millions d’euros pour avoir violé le Règlement général sur la protection des données (RGPD).
Outre l’amende, la Commission a assorti sa décision d’injonctions de mise en conformité portant notamment sur les mécanismes d’authentification, de contrôle des accès et de surveillance du système d’information.
Des standards insuffisants
Le constat est limpide : France Travail possède un système d’information tentaculaire, ouvert à de multiples acteurs, et piloté par des standards de sécurité jugés insuffisants au regard de sa criticité.
Les faits se sont déroulés en mars 2024. Une attaque informatique a été détectée après plusieurs semaines d’activité malveillante ayant permis à des hackers d’accéder aux données de 36,8 millions de personnes. Parmi ces informations, se trouvaient le numéro de sécurité sociale, le statut vis-à-vis de l’emploi, des informations liées au handicap, parfois assimilables à des données de santé.
Au total, ce sont 25 Go de données personnelles qui ont été exfiltrées du système d’information de l’organisme public de référence du marché de l’emploi.
« On parle quand même de plus de 36 millions de personnes concernées, avec des données extrêmement sensibles, allant des données de santé de travailleurs handicapés à des informations appartenant à des personnes qui n’étaient même pas en situation de chômage, juste titulaires d’un compte sur le site”, note Alessandro Fiorentino, expert privacy au sein d’Adequacy, une entreprise éditrice d’une solution de mise en conformité au RGPD, sollicité par L’Usine Digitale.
Dans sa décision, la Cnil insiste sur le fait que la combinaison de ces données accroît mécaniquement les risques pour les personnes concernées, notamment en matière d’usurpation d’identité.
La complexité du SI renforce l’exigence de sécurité
Face au régulateur, France Travail a tenté de se défendre en arguant que son système d’information était particulièrement complexe. Ce dernier est partagé avec près de 2300 agents des structures Cap emploi (service public accompagnant les personnes handicapées vers l’emploi) et repose sur une architecture lourde.
Cet argument n’a pas convaincu la Cnil. Bien au contraire. La délibération montre que la complexité du système n’est pas retenue comme un facteur atténuant, mais comme un élément renforçant l’exigence de sécurité. La délibération rappelle ainsi que France Travail reste le pilote des règles de sécurité, y compris lorsque le système est ouvert à des co-responsables de traitement.
Des défaillances sévères
« L’essentiel des manquements repose sur l’article 32 du RGPD, relatif à la sécurité des traitements”, détaille l’expert. La liste des défaillances est sévère : le seuil de 50 tentatives de connexion infructueuse avant le blocage des comptes, l’absence d’authentification multifacteur (MFA) et la journalisation passive incapable de détecter des comportements manifestement anormaux.
« Il y a un passage assez édifiant : une journée où 9 Go de données sont extraits et personne ne trouve ça anormal », s’étonne Alessandro Fiorentino. Cette masse de données correspondrait “à plus de 13 millions de fiches pour un seul conseiller en une seule journée”, note la Cnil.
Pour se défendre, France Travail met également en avant le caractère sophistiqué de l’attaque, reposant sur des techniques d’ingénierie sociale. Un argument que la Cnil rejette largement.
Des failles structurelles mises en évidence
Si la formation restreinte reconnaît qu’il n’est pas possible de se prémunir contre l’ensemble des attaques reposant sur l’ingénierie sociale, elle souligne que cette réalité n’exonère en rien le responsable de traitement de mettre en place des mesures techniques et organisationnelles adaptées à l’état de l’art.
Elle insiste notamment sur le fait que plusieurs failles identifiées existaient indépendamment du mode opératoire des attaquants. Autrement dit, même si l’attaque a exploité des faiblesses humaines, elle a surtout révélé des lacunes structurelles dans la conception et le pilotage de la sécurité du système d’information.
Par ailleurs, la Commission souligne que des mesures “complémentaires” promises dans les analyses d’impact n’ont jamais été mises en œuvre, plusieurs années après leur validation. “Dire qu’on a ‘reconsidéré’ ou ‘réfléchi’, en clair, ça veut dire qu’on n’a rien fait”, résume l’expert. “Une mesure de sécurité, ça se budgète, ça se planifie et ça se déploie.»
Quelle indemnisation pour les victimes ?
La question de l’indemnisation des victimes reste en suspens. En droit français, la possibilité existe depuis la loi pour une République numérique de 2016 de recourir à des actions de groupe en matière de protection des données personnelles.
En pratique, ces procédures demeurent rares et leurs effets encore limités. “Aujourd’hui, il y a eu très peu d’actions de groupe réellement menées à leur terme”, rappelle l’expert. “C’est une possibilité juridique, mais on ne sait pas encore très bien ce que cela peut donner concrètement”, ajoute-t-il.
Dans le cas de France Travail, l’ampleur de la fuite – près de 36,8 millions de personnes concernées – rendrait de toute façon une indemnisation individuelle nécessairement faible. “S’il y a une action de groupe, l’argent ne sera pas énorme puisqu’il sera réparti entre des dizaines de millions de personnes”, souligne-t-il.
France Travail revendique des efforts de mise en conformité
De son côté, France Travail a indiqué prendre acte de cette décision, tout en regrettant sa sévérité au regard des efforts engagés depuis la survenance de l’incident. L’opérateur public affirme avoir pleinement conscience de la gravité des faits et de sa responsabilité en matière de protection des données personnelles. Il met en avant le renforcement de ses dispositifs de cybersécurité.
France Travail assure avoir mis en œuvre certaines mesures correctives sans attendre la décision de la Commission et précise qu’il ne contestera pas la sanction, préférant concentrer ses efforts sur la sécurisation de son système et la protection des données de ses usagers.
