La Commission nationale de l’informatique et des libertés (Cnil) a infligé une amende de 5 millions d’euros à France Travail pour une cyberattaque de mars 2024 ayant touché les données de 36 millions de personnes.
La Cnil a condamné France Travail à une amende de cinq millions d’euros pour avoir mal géré une cyberattaque survenue en mars 2024, a rapporté Franceinfo.
Cette sanction « sévère » concerne la cyberattaque, qui avait débouché sur l'exfiltration des données de 36 millions de personnes (nom, prénom, identifiant, numéro de Sécurité sociale) via l'usurpation de comptes de conseillers Cap Emploi. Les mots de passe et les coordonnées bancaires n'avaient pas été concernés. La Cnil avait ouvert une procédure de sanctions en juillet 2025.
La Commission nationale de l’informatique et des libertés précise que l’attaque a été menée par des techniques dites « d’ingénierie sociale », consistant à exploiter la confiance ou la crédulité de tiers. Les auteurs ont récupéré les informations nécessaires à la réinitialisation des mots de passe de comptes de conseillers Cap Emploi, puis ont usurpé ces comptes pour accéder aux données personnelles et contacter les conseillers en se faisant passer pour le support informatique.
Les informations compromises comprenaient notamment le nom d’usage, le nom de naissance, le prénom, le sexe, la date de naissance, le numéro de Sécurité sociale, également appelé NIR (Numéro d'Inscription au Répertoire), l’adresse, le code postal, le numéro de téléphone, l’adresse électronique, l’adresse géographique, la référence individuelle et le statut de demandeur d’emploi (inscrit, radié ou identifié), précise la Commission nationale de l’informatique et des libertés.
France Travail a déclaré prendre acte de la décision de la Commission nationale de l’informatique et des libertés et reconnaître « la gravité des faits et sa responsabilité ». L’établissement public a précisé qu’il ne contesterait pas cette sanction et ne ferait pas de recours, tout en regrettant « la sévérité de cette amende – 5 millions d’euros est une somme importante – au regard de son engagement dans la cybersécurité ».
Lire plus: Accès frauduleux aux données de l'Urssaf: 12 millions de salariés potentiellement concernés
L’organisme a ajouté qu’il avait déjà mis en place des systèmes de surveillance et de détection des comportements anormaux, ainsi que des programmes de sensibilisation à la cybersécurité pour ses agents et partenaires, afin de prévenir toute future attaque.
