Accueil » France Travail sanctionné 5 millions d’euros par la CNIL : un rappel sévère sur la sécurité des données

France Travail sanctionné 5 millions d’euros par la CNIL : un rappel sévère sur la sécurité des données

Cecile Vicini

Temps de lecture estimé : 4 minutes

Disque dur vu de près, avec un éclairage rougeoyant.
©MaxKolmeto / Getty Images / Illustration.
À l’heure où les menaces numériques se multiplient, chaque organisation doit considérer la protection des données comme un investissement stratégique, au-delà de sa dimension réglementaire.

Le 22 janvier 2026, la Commission nationale de l’informatique et des libertés (CNIL) a prononcé une amende administrative de 5 millions d’euros à l’encontre de France Travail, pour manquement à ses obligations de sécurité des données personnelles.

Cette sanction fait suite à une cyberattaque survenue au premier trimestre 2024, au cours de laquelle des acteurs malveillants ont exploité des failles dans les systèmes d’information de France Travail et de structures partenaires comme Cap Emploi.

Les attaquants ont réussi à s’introduire dans les systèmes en usurpant des comptes professionnels, ce qui leur a permis d’accéder à des données d’une très large population : toutes les personnes inscrites ou ayant été inscrites sur le portail depuis vingt ans, ainsi que celles disposant d’un espace candidat sur francetravail.fr.

Parmi les informations exposées figuraient notamment des numéros de sécurité sociale, adresses e-mail, adresses postales et numéros de téléphone. Bien que la CNIL précise que les dossiers complets – qui peuvent inclure des données de santé – n’ont pas été intégralement accessibles, l’ampleur du périmètre affecté a fortement pesé dans la décision de sanction.

Pourquoi cette amende ?

L’autorité a estimé que France Travail n’avait pas mis en œuvre des mesures techniques et organisationnelles appropriées pour sécuriser efficacement les données personnelles qu’elle traite.

Concrètement :

  • Les mécanismes d’authentification permettant l’accès au système n’étaient pas suffisamment robustes.
  • Les capacités de journalisation et de détection d’anomalies faisaient défaut, rendant plus difficile la détection d’activités suspectes.
  • Les droits d’accès des utilisateurs étaient trop larges, augmentant ainsi la surface d’exposition des données.

La formation restreinte de la CNIL qui prononce les sanctions a d’ailleurs souligné une méconnaissance des principes fondamentaux de sécurité, malgré l’identification préalable de plusieurs mesures pertinentes lors des analyses d’impact.

La CNIL alerte sur le traitement des données personnelles de France Travail

Une tendance lourde de sanction

Cette sanction s’inscrit dans un contexte où l’autorité française augmente significativement ses contrôles et amendes liées à la sécurité des données. D’autres décisions récentes montrent que la CNIL n’hésite plus à frapper fort en cas de manquement :

  • Début janvier 2026, Free et Free Mobile ont été sanctionnés de 42 millions d’euros pour des violations liées à une fuite massive de données personnelles, les amendes étant justifiées notamment par l’insuffisance des mesures de sécurité en place.
  • En décembre 2025, un acteur du logiciel a reçu 1,7 million d’euros d’amende pour des lacunes de sécurité ayant conduit à une violation de données sensibles.

Ces décisions illustrent une politique affirmée de la CNIL visant à responsabiliser les organisations, publiques comme privées, sur la protection des données de leurs utilisateurs.

Pourquoi la sécurité des données est-elle si importante ?

Les données personnelles, qu’il s’agisse de simples coordonnées ou d’informations sensibles, sont aujourd’hui au cœur de nombreux services numériques. Leur exposition ou leur fuite peut avoir des conséquences graves :

  • Risques de usurpation d’identité ou d’attaques ciblées ;
  • Atteintes à la vie privée des personnes concernées ;
  • Perte de confiance des usagers envers les services publics ou privés ;
  • Préjudice juridique et financier pour les organisations qui ne respectent pas leurs obligations légales.

En vertu du Règlement général sur la protection des données (RGPD), les responsables de traitement sont tenus de mettre en œuvre des mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté aux risques.

L’article 32 du RGPD impose une approche de sécurité proportionnée à la sensibilité des données traitées, impliquant par exemple des mécanismes d’authentification fortes, des outils de surveillance des accès, ou encore une gestion fine des habilitations.

Ce que cela signifie pour les organisations collectant des données

La sanction infligée à France Travail rappelle que la responsabilité ne se limite pas à déclarer des traitements ou à analyser des risques sur le papier. Il s’agit aussi de :

  • Intégrer la sécurité dans tous les processus de collecte et de traitement ;
  • Former les équipes aux bonnes pratiques et aux risques d’ingénierie sociale ;
  • Auditer régulièrement les dispositifs de sécurité mis en place ;
  • Surveiller et réagir activement face à des comportements anormaux.

À l’heure où les menaces numériques se multiplient, chaque organisation doit considérer la protection des données comme un investissement stratégique, au-delà de sa dimension réglementaire.

Cybersécurité : les failles des prestataires non certifiés, un risque pour les petites entreprises

Agenda Appel à candidature Apprentissage Arrêt maladie Artisanat CMA France Cour de cassation Cybersécurité Dares Entreprises du BTP Formation France Travail Gestion d'entreprise IA Influence politique Législation Micro entreprise Métiers d'art Numérique Organisations professionnelles Salaires Santé Santé mentale Tendances économiques Urssaf

En savoir plus sur TPE ACTU

Abonnez-vous pour poursuivre la lecture et avoir accès à l’ensemble des archives.

Poursuivre la lecture

Recevez directement nos articles dans votre boîte mail !

Poursuivre la lecture