Violation de données : sanction de 5 millions d’euros à l’encontre de FRANCE TRAVAIL
29 janvier 2026
Le 22 janvier 2026, la CNIL a sanctionné FRANCE TRAVAIL (anciennement Pôle Emploi) d’une amende de 5 millions d’euros pour ne pas avoir assuré la sécurité des données des personnes en recherche d’emploi.
Le contexte
Au premier trimestre 2024, un ou plusieurs attaquants sont parvenus à s’introduire dans le système d’information de FRANCE TRAVAIL. A cette occasion, ils ont utilisé des techniques dites « d’ingénierie sociale », consistant à exploiter la confiance, l’ignorance ou la crédulité des personnes. Cette méthode leur a permis d’usurper des comptes de conseillers de CAP EMPLOI, c’est-à-dire les structures chargées de l’accompagnement, du suivi et du maintien dans l'emploi des personnes en situation de handicap.
Les investigations ont permis d’établir que les attaquants ont accédé aux données de l’ensemble des personnes inscrites, ou qui l’ont été au cours des 20 dernières années, ainsi que des personnes ayant un espace candidat sur francetravail.fr (dont les numéros de sécurité sociale, les adresses mail et postales ainsi que les numéros de téléphone). Toutefois, les attaquants n’ont pas accédé aux dossiers complets des demandeurs d’emploi, qui peuvent notamment comprendre des données de santé.
Le contrôle réalisé par la CNIL a révélé l’insuffisance des mesures techniques et organisationnelles mises en œuvre afin d’assurer la sécurité des données personnelles traitées.
En conséquence, la – organe de la CNIL chargé de prononcer les sanctions – a prononcé une amende de 5 millions d’euros à l’encontre de FRANCE TRAVAIL, tenant compte de la méconnaissance des principes essentiels en matière de sécurité, du nombre de personnes concernées, du volume et de la sensibilité des données traitées.
En outre, la formation restreinte a enjoint à FRANCE TRAVAIL de justifier des mesures correctrices apportées, selon un calendrier de mise en œuvre précis.
À défaut, l’organisme devra payer une astreinte de 5 000 euros par jour de retard.
À noter :
France Travail est un établissement public national à caractère administratif dont le budget est déterminé par la loi et repose principalement sur les cotisations sociales (employeurs/salariés). À cet égard, la détermination du montant de l’amende ne s’effectue pas en fonction d’un chiffre d’affaires, mais d’une fourchette dont le plafond ne peut dépasser 10 millions d’euros pour un manquement à la sécurité des données (article 32 du RGPD).
Toutes les amendes prononcées par la CNIL, qu’elles concernent les acteurs privés ou publics, sont recouvrées par le Trésor public et sont versées au budget de l’Etat.
Un manquement à l’obligation d’assurer la sécurité des données à caractère personnel traitées (article 32 du RGPD)
La formation restreinte a relevé que FRANCE TRAVAIL n’a pas mis en place les mesures techniques et organisationnelles qui auraient pu rendre l’attaque plus difficile. Pour rappel, la mise en œuvre de mesures de sécurité adaptées aux risques est une obligation de moyens prévue par l’article 32 du RGPD.
Elle a notamment relevé que les modalités d’authentification permettant aux conseillers CAP EMPLOI d’accéder au système d’information de FRANCE TRAVAIL n’étaient pas suffisamment robustes.
De plus, la formation restreinte a souligné l’insuffisance de mesures de journalisation permettant de détecter les comportements anormaux sur son système d’information.
Enfin, la formation restreinte a relevé que les habilitations d’accès des comptes des conseillers CAP EMPLOI avaient été définies de manière trop large, permettant aux conseillers CAP EMPLOI d’accéder aux données de personnes qu’ils n’accompagnaient pas, ce qui a accru le volume de données accessibles par les attaquants.
Pour déterminer la , la formation restreinte a tenu compte du fait que la plupart des mesures de sécurité adéquates avaient été identifiées par FRANCE TRAVAIL, en amont de la mise en œuvre du traitement, dans les analyses d’impact, sans pour autant avoir été effectivement mises en œuvre.
Le rôle de la CNIL vis-à-vis des plaignants
La CNIL est le régulateur des données personnelles. Elle répond aux demandes des particuliers et des professionnels.
Toute personne peut adresser une plainte à la CNIL lorsqu’elle rencontre une difficulté dans l’exercice de ses droits ou pour signaler une atteinte aux règles de protection des données personnelles. La CNIL peut contrôler les organismes et, en cas de manquements, elle peut décider de les sanctionner.
La CNIL n’est toutefois pas compétente pour indemniser les personnes qui lui ont adressé une plainte. Celles-ci peuvent déposer une plainte auprès des services de police ou de gendarmerie.
La délibération
Textes de référence
Les ressources pour accompagner la mise en conformité des professionnels :
- Tous les contenus de la CNIL sur la cybersécurité
- Le Guide de la sécurité des données personnelles
- Mots de passe : les recommandations pour maîtriser sa sécurité
- La CNIL publie une recommandation relative aux mesures de journalisation
- Authentification multifacteur : les recommandations de la CNIL pour mieux protéger les données
