CNIL | SAN-2026-003 | 22 janvier 2026 | Affaire FRANCE TRAVAIL | CONSEILS

Par sa délibération SAN-2026-003 du 22 janvier 2026, la formation restreinte de la CNIL a sanctionné l’établissement public administratif FRANCE TRAVAIL pour manquement à l’obligation de sécurité prévue à l’article 32 du RGPD, en retenant trois sous-composantes distinctes d’un manquement unique mais pluridimensionnel : l’insuffisance des mécanismes d’authentification (seuil de blocage à 50 tentatives, absence d’authentification multifacteur pour les accès des 2 300 conseillers CAP EMPLOI), le défaut de journalisation active et de détection des comportements anormaux — un attaquant ayant exfiltré 25 gigaoctets de données sur 27 jours sans déclencher la moindre alerte —, et la gestion insuffisante des habilitations permettant un accès sans limitation géographique à la base de données complète des demandeurs d’emploi. La violation de données consécutive à une attaque par ingénierie sociale, menée du 6 février au 5 mars 2024 par usurpation de comptes de conseillers CAP EMPLOI, a compromis les données personnelles — dont le NIR et le statut de demandeur d’emploi — de 36 820 828 personnes, soit la plus grande violation de données personnelles jamais notifiée à la CNIL dans le secteur public français.

---

 

CONSEILS AUX RESPONSABLES DE TRAITEMENT

---

A. AUDIT DE SÉCURITÉ IMMÉDIAT : LES QUATRE VULNÉRABILITÉS CRITIQUES IDENTIFIÉES PAR LA DÉLIBÉRATION

 

La délibération SAN-2026-003 dessine, par sa motivation, un référentiel opérationnel de conformité que tout responsable de traitement gérant des données sensibles au sens de l’article 9 du RGPD, ou traitant des données à grande échelle, doit immédiatement vérifier. L’urgence de cet audit est d’autant plus grande que la formation restreinte a prononcé une injonction de mise en conformité assortie d’une astreinte à l’encontre de FRANCE TRAVAIL, signifiant que les manquements retenus sont jugés persistants et susceptibles de récidive. Les quatre axes de vérification prioritaires sont les suivants.

1. L’authentification multifacteur (AMF)

La délibération confirme que l’AMF constitue désormais une exigence quasi-prescriptive pour tout accès distant à un système d’information traitant des données sensibles au sens de l’article 9 du RGPD ou des données à risque élevé. La recommandation CNIL n° 2025-019 du 20 mars 2025 formalise cette exigence, en continuité avec les recommandations de l’ANSSI (2021) et la délibération CNIL n° 2022-100.

Chaque responsable de traitement doit :
—-Identifier tous les accès distants à des systèmes traitant des données sensibles (accès par VPN, navigateur web, application dédiée, portail fournisseur ou partenaire) ;
—-Vérifier le déploiement effectif d’une AMF pour chacun de ces accès — la seule inscription d’une AMF à l’AIPD sans déploiement effectif est un facteur aggravant majeur (FRANCE TRAVAIL l’avait prévue pour 2023 et ne l’avait pas déployée) ;
—-Établir un plan d’action sous 3 mois si l’AMF n’est pas encore déployée, en privilégiant les solutions robustes : applications mobiles dédiées, calculettes OTP (type TOTP — Time-based One-Time Password), plutôt que le SMS (vulnérable aux attaques par interception de type SIM swapping) ;
—-Ne pas déléguer unilatéralement le financement du second facteur à des partenaires ou co-responsables sans en assurer le suivi effectif : la formation restreinte a jugé que « la difficulté du recours à un téléphone comme second facteur aurait pu être surmontée par d’autres mesures, par exemple par la distribution de calculettes OTP aux employés des CAP EMPLOI » — la responsabilité de trouver une solution alternative reste au responsable hébergeur du système.

2. La politique de mots de passe et les mécanismes de restriction d’accès

La délibération SAN-2026-003, en retenant le manquement relatif au seuil de 50 tentatives de connexion infructueuses, précise le droit positif applicable en termes d’entropie et de blocage :
—-Vérifier que les mots de passe respectent les standards de la délibération CNIL n° 2022-100 du 21 juillet 2022 : 12 caractères minimum avec majuscules, minuscules, chiffres et caractères spéciaux, ou 14 caractères sans caractère spécial obligatoire (cas n° 1) ; ou 8 caractères avec 3 catégories de caractères — mais alors obligatoirement couplé à un blocage à 10 tentatives maximum (cas n° 2) ;
—-Vérifier que le seuil de blocage n’excède pas 10 tentatives pour le cas n° 2 — un seuil de 50, même conjugué à des mesures anti-password spraying, a été jugé insuffisant ;
—-Mettre en place, en complément du blocage de compte, des mécanismes de temporisation progressive ou un captcha pour les accès depuis l’extérieur du réseau ;
—-S’assurer que la politique de mots de passe est identique pour les utilisateurs internes et pour les utilisateurs externes ou partenaires (conseillers CAP EMPLOI, prestataires, sous-traitants disposant d’un accès au SI).

3. La journalisation active et la détection automatisée des comportements anormaux

La délibération démontre que conserver des logs sans les analyser activement ne satisfait pas à l’obligation de l’article 32 du RGPD. La recommandation CNIL n° 2021-122 du 14 octobre 2021 impose un « système de traitement et d’analyse des données collectées » avec « génération d’alertes en cas de suspicion de comportement anormal ». L’ANSSI rappelle que « l’analyse continue des journaux d’événements permet de repérer des activités inhabituelles ».

Concrètement, chaque responsable de traitement doit vérifier et mettre en place :
—-La collecte exhaustive des logs portant a minima sur : les connexions (réussies et échouées), les opérations de consultation, modification, extraction et suppression de données, les requêtes de recherche (nature, volume, périmètre géographique) ;
—-Un système d’analyse automatisée (SIEM ou équivalent) avec des règles de corrélation calibrées au regard des usages habituels des différents profils d’utilisateurs — la formation restreinte a identifié comme anormaux : 9 Go extraits en une journée par un conseiller, un taux d’erreur de 69 %, des connexions à des horaires incompatibles avec le travail des agents ;
—-Des seuils d’alerte documentés et régulièrement réévalués, en tenant compte du volume normal d’opérations par profil utilisateur et par région géographique ;
—-Une procédure de traitement rapide des alertes, avec une astreinte disponible pour les traitements à risque élevé, afin d’éviter qu’une alerte détectée un jeudi après-midi ne soit traitée que le lundi suivant — délai qui a coûté à FRANCE TRAVAIL la non-détection d’une exfiltration de plusieurs giga-octets.

4. La politique d’habilitations : le principe de minimisation appliqué aux accès

La délibération confirme que des habilitations trop larges constituent un manquement autonome à l’article 32 du RGPD (SAN-2021-019, 29 octobre 2021). Les accès doivent être limités aux « seules données dont un utilisateur a besoin pour l’accomplissement de ses missions ».

Le responsable de traitement doit :
—-Cartographier l’ensemble des habilitations accordées à chaque profil d’utilisateur (interne, partenaire, prestataire, co-responsable) en distinguant la nature des données accessibles, le périmètre géographique d’accès, et les fonctionnalités disponibles (consultation, modification, extraction, suppression) ;
—-Comparer ces habilitations aux besoins métiers documentés : un conseiller CAP EMPLOI accompagnant des demandeurs d’emploi dans une région donnée n’a pas besoin d’accéder aux données de toutes les régions de France sans limitation géographique ;
—-Réduire les périmètres d’accès au strict nécessaire, en définissant des procédures d’accès ponctuel dérogatoire pour les situations exceptionnelles justifiées ;
—-Réaliser des révisions périodiques (au minimum annuelles) des habilitations pour vérifier leur adéquation aux fonctions effectivement exercées, notamment lors de tout changement de poste ou de mission.

---

---

B. GOUVERNANCE DE LA CONFORMITÉ : DES AIPD QUI ENGAGENT

 

La délibération SAN-2026-003 pose une règle d’or que tout responsable de traitement doit intégrer : une AIPD identifiant un risque de sécurité constitue un document d’engagement. FRANCE TRAVAIL avait lui-même documenté dans ses AIPD le risque lié à l’absence d’AMF :

« La connexion sur la machine virtuelle pour les conseillers Cap emploi se fait par authentification simple (identifiant et mot de passe unique) : si un attaquant externe pirate le poste d’un conseiller Cap emploi il lui sera facile d’accéder aux données contenues dans la machine virtuelle (et donc sur le SI de Pôle emploi). »

Le non-déploiement de l’AMF dans les délais prévus par ces mêmes AIPD a été retenu comme élément aggravant par la formation restreinte. Il en découle que toute mesure de sécurité inscrite dans une AIPD et non déployée dans le délai prévu crée un risque juridique autonome, indépendamment de toute violation.

Pour y remédier, chaque responsable de traitement doit instituer :
—-Un registre de suivi des mesures de sécurité issues des AIPD, avec pour chaque mesure : le responsable désigné, la date prévue de déploiement, le budget alloué, les jalons intermédiaires et les indicateurs de vérification de l’effectivité du déploiement ;
—-Un mécanisme d’alerte formalisé à destination du DPO et de la direction générale lorsque des mesures critiques sont en retard — le DPO doit disposer d’un accès direct aux indicateurs de sécurité et d’un pouvoir d’alerte documenté ;
—-Une procédure de révision des AIPD lors de tout changement substantiel du traitement (nouveau co-responsable, extension du périmètre d’accès, nouveaux types de données), avec mise à jour du plan d’action correspondant.

---

---

C. CO-RESPONSABILITÉ DE TRAITEMENT : CLARIFIER CONTRACTUELLEMENT LES OBLIGATIONS DE SÉCURITÉ

 

La délibération SAN-2026-003 précise que dans un schéma de co-responsabilité (art. 26 RGPD), le responsable hébergeur du système d’information supporte la responsabilité principale du déploiement des mesures de sécurité — même si des obligations incombent également aux co-responsables accédants. La convention de co-responsabilité doit donc impérativement :

—-Attribuer explicitement à chaque co-responsable la charge des mesures relevant de son périmètre, sans laisser de « zones grises » — le risque d’un vide contractuel est supporté par le responsable hébergeur qui ne peut pas se retrancher derrière l’absence d’accord pour justifier l’absence de déploiement ;
—-Prévoir des mécanismes de vérification de l’effectivité des mesures déléguées aux co-responsables : droit d’audit, obligation de reporting des incidents, capacité de déconnexion en cas de non-conformité persistante ;
—-Inclure une clause de substitution permettant au responsable hébergeur d’imposer des solutions alternatives si les co-responsables ne peuvent pas déployer la mesure initialement prévue dans les délais ;
—-Documenter et tracer tout retard ou refus de déploiement d’une mesure de sécurité par un co-responsable, pour constituer la preuve de la bonne foi du responsable hébergeur — cette documentation n’est toutefois pas exonératoire : il appartient au responsable hébergeur de trouver une alternative.

---

---

D. ORGANISMES PUBLICS : INTÉGRER PLEINEMENT LE RISQUE DE SANCTION CNIL

 

La délibération SAN-2026-003 tranche définitivement la question de la sanctionnabilité des établissements publics administratifs dotés de la personnalité morale et de l’autonomie financière : ils peuvent faire l’objet d’amendes administratives prononcées par la CNIL. Les responsables de traitement publics doivent donc :
—-Budgéter les investissements en matière de cybersécurité à la hauteur des risques et de l’ampleur des traitements mis en œuvre, sans invoquer les contraintes budgétaires propres au secteur public comme facteur atténuant ;
—-Intégrer dans leurs documents budgétaires pluriannuels (PAP, RAP, DGEMP) les lignes dédiées à la sécurité des systèmes d’information traitant des données personnelles sensibles, en justifiant leur niveau au regard du profil de risque documenté dans les AIPD ;
—-Mettre en place des indicateurs de performance relatifs à la conformité RGPD — notamment en matière de sécurité — au même titre que les indicateurs de performance opérationnelle.

---

CONSEILS AUX PERSONNES CONCERNÉES

---

A. COMPRENDRE L’ÉTENDUE ET LA GRAVITÉ DE LA VIOLATION DE DONNÉES

 

La violation de données de mars 2024 a compromis les informations personnelles de 36 820 828 personnes — une ampleur sans précédent dans l’histoire des violations notifiées à la CNIL. Les personnes concernées comprennent l’ensemble des personnes inscrites auprès de FRANCE TRAVAIL au cours des vingt dernières années, ainsi que « celles non inscrites sur la liste des demandeurs d’emploi mais possédant un espace candidat sur le site web francetravail.fr », incluant les personnes y ayant simplement consulté des offres d’emploi.

Les données exfiltrées comprennent : le nom d’usage, le nom de naissance, le prénom, le sexe, la date de naissance, le NIR (numéro d’inscription au répertoire national d’identification des personnes physiques), l’adresse postale, le code postal, le numéro de téléphone, l’adresse électronique, la région d’appartenance, la référence individuelle, le statut de demandeur d’emploi (inscrit, radié ou identifié) et les dates de début et de fin d’inscription.

La présence du NIR dans les données exfiltrées est particulièrement préoccupante. La formation restreinte rappelle que le NIR est une donnée « faisant l’objet d’une protection particulière compte tenu des risques d’usurpation ou d’interconnexion qu’il présente en raison de sa nature signifiante, unique et pérenne ». Ce numéro, associé aux autres données d’identification personnelle exfiltrées, expose les victimes à des risques élevés d’usurpation d’identité dans de multiples domaines (accès aux droits sociaux, démarches administratives, services de santé, démarches fiscales).

---

---

B. MESURES DE VIGILANCE ET DE PROTECTION IMMÉDIATES

 

Toute personne ayant créé un espace candidat sur francetravail.fr, consulté des offres d’emploi, ou été inscrite comme demandeur d’emploi au cours des vingt dernières années doit considérer ses données comme potentiellement compromises et adopter les mesures de protection suivantes :

S’agissant du risque d’usurpation d’identité administrative :
—-Surveiller régulièrement les courriers officiels émanant des organismes sociaux (CAF, CPAM, URSSAF, Pôle emploi reconverti en FRANCE TRAVAIL) pour détecter toute ouverture de droit frauduleuse, toute modification d’adresse ou de coordonnées bancaires non sollicitée ;
—-En cas de suspicion d’usurpation, déposer une plainte auprès des services de police ou de gendarmerie et contacter immédiatement l’organisme concerné pour signaler la fraude et bloquer tout accès frauduleux au compte.

S’agissant du risque de phishing ciblé :
—-Les données exfiltrées permettent aux attaquants de construire des messages de hameçonnage hautement personnalisés (usurpant l’identité de FRANCE TRAVAIL, des CAF, de l’URSSAF, des mutuelles) en utilisant le nom, prénom, adresse et statut de demandeur d’emploi de la victime ;
—-Ne jamais cliquer sur un lien dans un courriel ou SMS se réclamant de FRANCE TRAVAIL ou d’un organisme social sans vérifier l’adresse d’expédition et se rendre directement sur le site officiel par ses propres moyens ;
—-Ne jamais communiquer le NIR ou un mot de passe à la suite d’une sollicitation par courriel, SMS ou appel téléphonique — aucun organisme officiel ne sollicite ces informations par ces voies.

S’agissant de la protection des comptes en ligne :
—-Changer le mot de passe du compte francetravail.fr et de tout autre compte utilisant le même mot de passe ou la même adresse électronique (principe de non-réutilisation des mots de passe) ;
—-Activer l’authentification multifacteur sur tous les comptes sensibles (messagerie, impots.gouv.fr, ameli.fr, compte retraite, services bancaires en ligne) pour réduire le risque d’accès frauduleux même en cas de compromission du mot de passe.

---

---

C. EXERCICE DES DROITS AUPRÈS DE FRANCE TRAVAIL

 

Les personnes concernées par la violation disposent de l’intégralité des droits prévus par le RGPD à l’égard de FRANCE TRAVAIL :

Le droit d’accès (article 15 du RGPD) permet d’obtenir la confirmation que des données vous concernant ont été traitées par FRANCE TRAVAIL, d’obtenir une copie de ces données et d’obtenir des informations sur leur utilisation, la durée de conservation et les destinataires. Cette demande peut être adressée par voie électronique ou postale au DPO de FRANCE TRAVAIL.

Le droit de rectification (article 16 du RGPD) permet d’exiger la correction de données inexactes ou incomplètes vous concernant.

Le droit à l’effacement (article 17 du RGPD) peut être exercé lorsque les données ne sont plus nécessaires à la finalité pour laquelle elles ont été collectées — notamment si vous n’avez plus de relation active avec FRANCE TRAVAIL et que la durée de conservation légale est expirée.

---

---

D. VOIES DE RECOURS EN CAS D’ATTEINTE AUX DROITS

 

En cas de préjudice (usurpation d’identité, fraude, préjudice moral lié à la divulgation de données sensibles relatives à un handicap), les victimes disposent de deux voies de recours complémentaires :

La plainte auprès de la CNIL (article 77 du RGPD) : toute personne estimant que ses droits ont été violés peut déposer une plainte auprès de la CNIL, qui dispose du pouvoir de contrôle et de sanction sur FRANCE TRAVAIL. Cette voie est gratuite et ne requiert pas l’assistance d’un avocat. La CNIL peut prononcer des injonctions supplémentaires et des astreintes à l’encontre de FRANCE TRAVAIL en cas de non-respect de ses obligations.

Le recours judiciaire (article 82 du RGPD) : toute personne ayant subi un dommage matériel ou moral du fait d’un manquement au RGPD peut engager la responsabilité civile de FRANCE TRAVAIL devant les juridictions compétentes. La charge de la preuve incombe au responsable de traitement de démontrer qu’il n’est pas responsable du dommage (art. 82, §3 du RGPD). En cas de violations touchant un grand nombre de personnes, une action de groupe ou une action collective peut constituer un mode de recours pertinent, permettant de mutualiser les coûts et de renforcer le poids des demandeurs.