Violation de données : sanction de 5 millions d’euros à l’encontre de FRANCE TRAVAIL

29 janvier 2026

Le 22 janvier 2026, la CNIL a sanctionné FRANCE TRAVAIL (anciennement Pôle Emploi) d’une amende de 5 millions d’euros pour ne pas avoir assuré la sécurité des données des personnes en recherche d’emploi.

Le contexte

Au premier trimestre 2024, un ou plusieurs attaquants sont parvenus à s’introduire dans le système d’information de FRANCE TRAVAIL. A cette occasion, ils ont utilisé des techniques dites « d’ingénierie sociale », consistant à exploiter la confiance, l’ignorance ou la crédulité des personnes. Cette méthode leur a permis d’usurper des comptes de conseillers de CAP EMPLOI, c’est-à-dire les structures chargées de l’accompagnement, du suivi et du maintien dans l'emploi des personnes en situation de handicap.

Les investigations ont permis d’établir que les attaquants ont accédé aux données de l’ensemble des personnes inscrites, ou qui l’ont été au cours des 20 dernières années, ainsi que des personnes ayant un espace candidat sur francetravail.fr (dont les numéros de sécurité sociale, les adresses mail et postales ainsi que les numéros de téléphone). Toutefois, les attaquants n’ont pas accédé aux dossiers complets des demandeurs d’emploi, qui peuvent notamment comprendre des données de santé.

Le contrôle réalisé par la CNIL a révélé l’insuffisance des mesures techniques et organisationnelles mises en œuvre afin d’assurer la sécurité des données personnelles traitées.

En conséquence, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a prononcé une amende de 5 millions d’euros à l’encontre de FRANCE TRAVAIL, tenant compte de la méconnaissance des principes essentiels en matière de sécurité, du nombre de personnes concernées, du volume et de la sensibilité des données traitées.

En outre, la formation restreinte a enjoint à FRANCE TRAVAIL de justifier des mesures correctrices apportées, selon un calendrier de mise en œuvre précis.

À défaut, l’organisme devra payer une astreinte de 5 000 euros par jour de retard.

À noter : France Travail est un établissement public national à caractère administratif dont le budget est déterminé par la loi et repose principalement sur les cotisations sociales (employeurs/salariés). À cet égard, la détermination du montant de l’amende ne s’effectue pas en fonction d’un chiffre d’affaires, mais d’une fourchette dont le plafond ne peut dépasser 10 millions d’euros pour un manquement à la sécurité des données (article 32 du RGPD). Toutes les amendes prononcées par la CNIL, qu’elles concernent les acteurs privés ou publics, sont recouvrées par le Trésor public et sont versées au budget de l’Etat.

Un manquement à l’obligation d’assurer la sécurité des données à caractère personnel traitées (article 32 du RGPD)

La formation restreinte a relevé que FRANCE TRAVAIL n’a pas mis en place les mesures techniques et organisationnelles qui auraient pu rendre l’attaque plus difficile. Pour rappel, la mise en œuvre de mesures de sécurité adaptées aux risques est une obligation de moyens prévue par l’article 32 du RGPD.

Elle a notamment relevé que les modalités d’authentification permettant aux conseillers CAP EMPLOI d’accéder au système d’information de FRANCE TRAVAIL n’étaient pas suffisamment robustes.

De plus, la formation restreinte a souligné l’insuffisance de mesures de journalisation permettant de détecter les comportements anormaux sur son système d’information.

Enfin, la formation restreinte a relevé que les habilitations d’accès des comptes des conseillers CAP EMPLOI avaient été définies de manière trop large, permettant aux conseillers CAP EMPLOI d’accéder aux données de personnes qu’ils n’accompagnaient pas, ce qui a accru le volume de données accessibles par les attaquants.

Pour déterminer la sanction , la formation restreinte a tenu compte du fait que la plupart des mesures de sécurité adéquates avaient été identifiées par FRANCE TRAVAIL, en amont de la mise en œuvre du traitement, dans les analyses d’impact, sans pour autant avoir été effectivement mises en œuvre.