CNIL | SAN-2026-003 | 22 JANVIER 2026 | AFFAIRE FRANCE TRAVAIL |
ANALYSE CRITIQUE MANQUEMENTS FAQ CONSEILS
Par sa délibération SAN-2026-003 du 22 janvier 2026, la formation restreinte de la CNIL a sanctionné l’établissement public administratif FRANCE TRAVAIL pour manquement à l’obligation de sécurité prévue à l’article 32 du RGPD, en retenant trois sous-composantes distinctes d’un manquement unique mais pluridimensionnel : l’insuffisance des mécanismes d’authentification (seuil de blocage à 50 tentatives, absence d’authentification multifacteur pour les accès des 2 300 conseillers CAP EMPLOI), le défaut de journalisation active et de détection des comportements anormaux — un attaquant ayant exfiltré 25 gigaoctets de données sur 27 jours sans déclencher la moindre alerte —, et la gestion insuffisante des habilitations permettant un accès sans limitation géographique à la base de données complète des demandeurs d’emploi. La violation de données consécutive à une attaque par ingénierie sociale, menée du 6 février au 5 mars 2024 par usurpation de comptes de conseillers CAP EMPLOI, a compromis les données personnelles — dont le NIR et le statut de demandeur d’emploi — de 36 820 828 personnes, soit la plus grande violation de données personnelles jamais notifiée à la CNIL dans le secteur public français.
PRÉAMBULE
Les questions et réponses qui suivent procèdent des enseignements pratiques de la délibération SAN-2026-003 du 22 janvier 2026 par laquelle la formation restreinte de la CNIL a sanctionné FRANCE TRAVAIL d’une amende de 5 millions d’euros pour manquement à l’article 32 du RGPD. Elles s’adressent indistinctement aux responsables de traitement qui entendent tirer les leçons de cette décision pour leur gouvernance des données personnelles, et aux personnes concernées par des traitements similaires. Les questions retenues ne visent pas à deviner l’intention des parties mais à extraire les enseignements pratiques et les bonnes pratiques que la décision commande de mettre en œuvre.
PARTIE I — QUESTIONS À L’ATTENTION DES RESPONSABLES DE TRAITEMENT
1. L’ARTICLE 32 DU RGPD IMPOSE-T-IL UNE LISTE FERMÉE DE MESURES DE SÉCURITÉ ?
Non. L’article 32 du RGPD est une obligation de moyens renforcée dont la teneur est contextuelle. Il n’impose pas une liste fermée de mesures, mais requiert la mise en œuvre de « mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ». L’évaluation de l’adéquation des mesures doit se faire en deux temps, conformément à la méthode posée par la CJUE dans l’arrêt Natsionalna agentsia za prihodite (14 décembre 2023, C-340/21) : d’abord, identifier les risques propres au traitement compte tenu de la nature des données, de leur volume, de leur sensibilité et des modalités d’accès ; ensuite, vérifier que les mesures mises en œuvre sont adéquates à ces risques identifiés.
En pratique, ce cadre signifie que deux responsables de traitement peuvent respecter l’article 32 par des mesures différentes, si chacun démontre que ses mesures sont adaptées à son profil de risque. En revanche, les recommandations de la CNIL (délibération n° 2022-100 sur les mots de passe, délibération n° 2025-019 sur la MFA, recommandation n° 2021-122 sur la journalisation) et les référentiels de l’ANSSI cristallisent l’état des connaissances au sens de l’article 32 et constituent un référentiel de conformité de facto : leur non-respect exige une justification documentée, et à défaut, crée une forte présomption de manquement.
2. UN SEUIL DE BLOCAGE DE 50 TENTATIVES D’AUTHENTIFICATION EST-IL CONFORME AUX EXIGENCES DE L’ARTICLE 32 DU RGPD ?
Non. La délibération SAN-2026-003 a retenu, de manière explicite, que le seuil de 50 tentatives infructueuses avant blocage de compte, appliqué par FRANCE TRAVAIL, était « bien trop élevé pour pouvoir constituer une mesure de protection efficace ». La recommandation CNIL n° 2022-100 du 21 juillet 2022 préconise un seuil maximal de 10 tentatives, l’ANSSI soulignant que « l’efficience [du mécanisme de blocage] dépend du nombre de tentatives infructueuses de connexion retenu déclenchant le blocage, un seuil trop élevé pouvant le priver de tout effet utile ».
Ce constat impose aux responsables de traitement d’auditer immédiatement les politiques de mots de passe de leurs applications, en veillant à ce que le seuil de blocage n’excède pas 10 tentatives infructueuses, à ce que la longueur minimale des mots de passe respecte les critères de la recommandation CNIL (12 caractères avec 4 catégories ou 14 caractères avec 3 catégories), et à ce que les mécanismes de blocage soient documentés et testés régulièrement. Un tableau de bord de conformité des politiques d’authentification devrait être intégré dans les outils de suivi du DPO.
3. L’AUTHENTIFICATION MULTIFACTEUR (MFA) EST-ELLE DÉSORMAIS OBLIGATOIRE POUR TOUS LES TRAITEMENTS ?
Non, mais son périmètre d’application obligatoire est très large et ne cesse de s’étendre. La délibération n° 2025-019 du 20 mars 2025 de la CNIL préconise « de recourir à l’authentification multifacteur pour les traitements de données sensibles au sens de l’article 9 du RGPD, et les traitements ou les opérations à risque pour les personnes concernées ». La délibération SAN-2026-003 lui confère une valeur quasi-normative pour ces traitements, en établissant un lien de causalité direct entre l’absence de MFA et la violation de données : « c’est précisément l’exploitation de cette vulnérabilité qui a pu conduire — ou du moins n’a pas empêché — la violation de données par usurpation des comptes des conseillers CAP EMPLOI ».
Concrètement, la MFA est aujourd’hui regardée comme impérative pour : (i) tout accès à un traitement de données de santé ou de catégories particulières au sens de l’article 9 du RGPD ; (ii) tout accès distant (VPN, télétravail, accès prestataires) à un système d’information contenant des données personnelles à grande échelle ; (iii) tout accès à un système d’information partagé entre plusieurs entités dans le cadre d’une co-responsabilité ; (iv) tout accès à un traitement pour lequel une AIPD a identifié un risque résiduel élevé d’accès non autorisé. La CNIL a par ailleurs démontré dans la délibération SAN-2026-003 que les contraintes logistiques de déploiement de la MFA (co-responsabilité, absence de téléphones chez certains utilisateurs) ne constituent pas une cause d’exonération mais un problème d’ingénierie à résoudre, par exemple par la distribution de calculettes OTP ou d’autres moyens de second facteur non dépendants d’un téléphone mobile.
4. QUE SIGNIFIE CONCRÈTEMENT L’EXIGENCE DE « JOURNALISATION ACTIVE » ? EST-IL SUFFISANT DE COLLECTER DES LOGS ?
Non. La simple collecte de journaux d’accès est insuffisante au regard de l’article 32 du RGPD. La formation restreinte pose une distinction fondamentale entre la journalisation passive — collecte d’événements sans exploitation systématique — et la journalisation active, qui implique un traitement opérationnel des informations enregistrées permettant de détecter rapidement tout comportement suspect. Elle énonce que « le dispositif de journalisation est efficace uniquement si une entité est en mesure de traiter les informations enregistrées dans les journaux afin d’être capable, le cas échéant, de détecter rapidement un comportement suspect ».
En pratique, un dispositif de journalisation conforme à l’article 32 doit comporter : (i) la définition de lignes de base comportementales permettant de distinguer les usages normaux des anomalies ; (ii) la mise en place de règles de corrélation et d’alertes automatiques (volumes de requêtes anormaux, extractions massives, connexions à des horaires atypiques, taux d’erreur inhabituels) ; (iii) l’identification de personnels ou d’équipes destinataires des alertes avec des délais de traitement précis ; (iv) l’existence d’un processus documenté de réponse aux incidents déclenchés par les alertes. Les lignes directrices 09/2022 du CEPD indiquent que « la capacité de détecter une violation, d’y remédier et de la communiquer dans les meilleurs délais devrait être considérée comme un élément essentiel » de l’obligation de sécurité. La délibération SAN-2026-003 illustre dramatiquement le coût d’une journalisation inefficace : une exfiltration de 25 Go de données pendant 28 jours, dont 9 Go extraits en une seule journée par un seul compte, n’a été ni détectée ni interrompue.
5. LE TRAITEMENT CONJOINT DILUE-T-IL LA RESPONSABILITÉ EN MATIÈRE DE SÉCURITÉ DU SYSTÈME D’INFORMATION ?
Non. La formation restreinte pose un principe clair : dans un traitement conjoint, le responsable du système d’information reste le principal débiteur des obligations de sécurité pesant sur ce système, indépendamment du partage des responsabilités convenu avec ses co-responsables. En l’espèce, FRANCE TRAVAIL ne pouvait s’exonérer de son obligation de déployer la MFA en invoquant le refus des CAP EMPLOI d’acquérir les équipements nécessaires : il lui « incombait d’apprécier la faisabilité de mise en œuvre de la solution choisie, et de l’adapter en fonction des contraintes respectives », par exemple par la distribution de calculettes OTP.
La convention de responsabilité conjointe, qui formalise le partage des obligations entre co-responsables au sens de l’article 26 du RGPD, doit donc prévoir des clauses précises sur les mesures techniques de sécurité que chaque partie s’engage à déployer dans son périmètre, les procédures d’audit, et les conséquences en cas de non-conformité d’un co-responsable. L’arrêt CJUE du 7 mars 2024, IAB Europe c. Gegevensbeschermingsautoriteit, C-604/22, point 58 confirme que « le niveau de responsabilité de chacun des co-responsables doit être évalué en tenant compte de toutes les circonstances pertinentes du cas d’espèce » — ce qui signifie qu’un co-responsable ayant la maîtrise technique du système d’information ne peut transférer contractuellement sa responsabilité technique sur l’autre.
6. UNE AIPD RÉALISÉE EST-ELLE SUFFISANTE POUR DÉMONTRER LA CONFORMITÉ À L’ARTICLE 32 DU RGPD ?
Non. La délibération SAN-2026-003 illustre le paradoxe d’une AIPD constituant à la fois un instrument de conformité et une preuve de manquement. En l’espèce, les AIPD réalisées en 2022 avaient identifié les risques d’accès non autorisé via les comptes des conseillers CAP EMPLOI et préconisé la mise en œuvre d’une authentification à deux facteurs pour 2023. Or, à la date de la violation (février-mars 2024), cette mesure n’avait pas été déployée. Les AIPD ont ainsi fourni à la formation restreinte la preuve documentée que FRANCE TRAVAIL connaissait les risques et n’avait pas pris les mesures nécessaires dans les délais fixés.
L’AIPD doit donc être comprise comme un instrument d’engagement dont les conclusions lient le responsable de traitement dans sa mise en œuvre : les mesures préconisées pour réduire les risques résiduels doivent être déployées dans les délais prévus, et tout retard doit être documenté et justifié. Un AIPD « dormant », dont les mesures correctives n’ont pas été mises en œuvre, est plus dommageable qu’une absence d’AIPD : il constitue la preuve irréfutable que le responsable de traitement avait connaissance du risque et a choisi de ne pas y remédier.
7. LA POLITIQUE D’HABILITATIONS PEUT-ELLE ÊTRE CALIBRÉE LIBREMENT PAR LE RESPONSABLE DE TRAITEMENT ?
Non. Le principe de moindre privilège — qui impose de limiter les accès à chaque utilisateur aux seules données dont il a besoin pour l’accomplissement de ses missions — constitue une exigence de l’article 32 du RGPD depuis la jurisprudence SAN-2021-019 du 29 octobre 2021. La délibération SAN-2026-003 enrichit cette doctrine en démontrant que la politique d’habilitations peut avoir une incidence directe sur la gravité d’une violation : si les accès des conseillers CAP EMPLOI avaient été limités aux dossiers des personnes qu’ils accompagnent effectivement, l’exfiltration des données de 36,8 millions de personnes aurait été matériellement impossible.
En pratique, tout responsable de traitement doit documenter, pour chaque catégorie d’utilisateurs, les justifications fonctionnelles des accès accordés, et procéder à une revue périodique des habilitations permettant de détecter les accès excessifs, les comptes inactifs et les accès géographiquement ou fonctionnellement disproportionnés. La revue des habilitations doit être consignée dans un registre permettant de démontrer, en cas de contrôle, que le principe de moindre privilège est effectivement appliqué.
8. LA CONDITION DE PERSONNE PUBLIQUE PROTÈGE-T-ELLE FRANCE TRAVAIL D’UNE AMENDE ADMINISTRATIVE CNIL ?
Non, et la délibération SAN-2026-003 en apporte la démonstration définitive à la lumière de la décision n° 2025-1154 QPC du Conseil constitutionnel du 18 juin 2025. Le Conseil constitutionnel a jugé conforme à la Constitution la possibilité pour la CNIL de prononcer des amendes à l’encontre d’un établissement public à caractère administratif, en réponse à la QPC soulevée par FRANCE TRAVAIL dans le cadre de la présente procédure. Bien que la formation restreinte n’ait pas développé de motivation sur ce point — se contentant de constater que la QPC soulevée n’avait pas abouti —, la décision QPC clôt définitivement le débat jurisprudentiel sur cette question.
La délibération SAN-2026-003 constitue ainsi le premier précédent de condamnation d’un établissement public administratif à une amende CNIL dans le cadre du RGPD, précédent qui servira de référence pour les contrôles et procédures à venir impliquant des entités publiques.
9. LA NÉCESSITÉ DE CONTINUITÉ DU SERVICE PUBLIC PEUT-ELLE JUSTIFIER UN RETARD DANS LE DÉPLOIEMENT DE MESURES DE SÉCURITÉ ?
Non, dès lors que le risque lié à l’absence de la mesure de sécurité en cause a été identifié et documenté. La formation restreinte a explicitement écarté l’argument de continuité du service public avancé par FRANCE TRAVAIL pour justifier le report du déploiement de la MFA, en affirmant que « le risque lié à l’absence d’authentification multifacteur n’était pas seulement théorique » et que FRANCE TRAVAIL « aurait donc dû prendre davantage en considération ce risque réel lors de sa mise en balance avec la nécessité de continuité du service public ».
Cela ne signifie pas que la continuité du service public est un critère inopérant : il peut justifier une approche graduée et une mise en œuvre progressive. Mais il ne saurait couvrir un retard de plusieurs années sur des mesures de sécurité identifiées dans des AIPD. Le responsable de traitement qui ne peut pas déployer une mesure de sécurité immédiatement doit mettre en place des mesures compensatoires crédibles et documenter le calendrier prévisionnel de déploiement de la mesure définitive, en restant dans des délais raisonnables au regard de la criticité du risque identifié.
10. LA SURVENANCE D’UNE VIOLATION DE DONNÉES EST-ELLE NÉCESSAIRE POUR CARACTÉRISER UN MANQUEMENT À L’ARTICLE 32 DU RGPD ?
Non. La formation restreinte rappelle le principe posé par la CJUE dans l’arrêt Natsionalna agentsia za prihodite : « l’absence de violation de données à caractère personnel ne suffit pas à démontrer l’absence de manquement, pas plus que la survenance d’une violation de données ne suffit à caractériser en elle-même l’existence d’un manquement à l’article 32 du RGPD ». Elle illustre ce principe en citant les délibérations SAN-2018-009 (politique de mot de passe insuffisante), SAN-2022-018 (stockage de mots de passe en clair), SAN-2021-019 (absence de politique d’habilitation) et SANPS-2024-011 (protocole TLS obsolète), toutes prononcées en l’absence de violation de données avérée.
Cette règle a une implication capitale pour les responsables de traitement : l’absence d’incident de sécurité n’est pas un critère de conformité à l’article 32. L’obligation est une obligation de moyens renforcée, appréciée en fonction de l’adéquation des mesures aux risques identifiables ex ante, indépendamment du fait que ces risques se soient ou non matérialisés. Un responsable de traitement qui n’a jamais subi de violation peut néanmoins faire l’objet d’une sanction CNIL si son dispositif de sécurité est objectivement inadéquat au regard de son profil de risque.
PARTIE II — QUESTIONS À L’ATTENTION DES PERSONNES CONCERNÉES
11. SUIS-JE CONCERNÉ PAR LA VIOLATION DE DONNÉES DE FRANCE TRAVAIL ?
Vous êtes potentiellement concerné si vous avez été inscrit comme demandeur d’emploi auprès de FRANCE TRAVAIL (ou de Pôle Emploi) au cours des vingt dernières années, ou si vous avez créé un espace candidat sur le site francetravail.fr sans être formellement inscrit comme demandeur d’emploi. La violation a affecté 36 820 828 personnes, dont les données suivantes ont été exfiltrées : nom d’usage, nom de naissance, prénom, sexe, date de naissance, NIR (numéro de sécurité sociale), adresse postale, code postal, numéro de téléphone, adresse électronique, région d’appartenance, référence individuelle, statut de demandeur d’emploi (inscrit, radié ou identifié), et dates de début et de fin d’inscription.
La compromission du NIR est particulièrement préoccupante car ce numéro est unique, signifiant (il encode la date et le lieu de naissance), pérenne (il ne change pas au cours de la vie) et utilisé comme identifiant dans de très nombreuses procédures administratives et sociales. Sa combinaison avec d’autres données d’identité (nom, prénom, date de naissance, adresse) constitue un kit d’usurpation d’identité particulièrement complet.
12. QUELS RISQUES CONCRETS LA VIOLATION DE DONNÉES FRANCE TRAVAIL FAIT-ELLE PESER SUR MOI ?
Les données compromises — en particulier la combinaison NIR, données d’identité complètes, coordonnées et informations sur le statut d’emploi — créent plusieurs catégories de risques. Le risque le plus immédiat est celui de l’hameçonnage ciblé (phishing personnalisé) : un fraudeur qui dispose de votre nom, votre statut de demandeur d’emploi et vos coordonnées peut vous contacter de manière très crédible, en se faisant passer pour FRANCE TRAVAIL, la CAF, la CPAM ou tout autre organisme social, pour vous demander de confirmer des informations, cliquer sur un lien frauduleux ou transmettre des documents d’identité.
Le deuxième risque est celui de l’usurpation d’identité administrative, facilitée par la connaissance du NIR. Ce numéro est utilisé pour accéder à de nombreux services en ligne (Ameli, Impôts.gouv, Mon compte formation, portails de retraite), et sa combinaison avec vos données d’identité complètes peut permettre à un tiers de créer ou de modifier des profils à votre place. Le troisième risque concerne les personnes en situation de handicap inscrites dans le système : leurs données de santé — type et origine du handicap, limitations de capacités, besoins de compensation — ont également pu être compromises, créant un risque de discrimination ou de stigmatisation.
13. COMMENT SAVOIR SI MES DONNÉES ONT EFFECTIVEMENT ÉTÉ COMPROMISES ET EXFILTRÉES ?
FRANCE TRAVAIL a adressé des communications aux personnes affectées. Si vous n’avez pas reçu de notification directe, vous pouvez exercer votre droit d’accès au titre de l’article 15 du RGPD en adressant une demande écrite au DPO de FRANCE TRAVAIL. Cette demande doit solliciter : la confirmation de l’existence d’un traitement de vos données personnelles, les catégories de données vous concernant présentes dans le système au moment de la violation (6 février – 5 mars 2024), la confirmation que vos données ont fait partie de la violation, et les mesures correctives prises.
FRANCE TRAVAIL est tenu de répondre dans un délai d’un mois (article 12, §3, du RGPD). En l’absence de réponse ou en cas de réponse incomplète, vous pouvez saisir la CNIL via son formulaire en ligne.
14. DOIS-JE PRENDRE DES MESURES PARTICULIÈRES CONCERNANT MON NIR COMPROMIS ?
Oui, plusieurs précautions s’imposent. Le NIR lui-même ne peut pas être changé — c’est là la principale difficulté de sa compromission. En revanche, vous pouvez et devez prendre les mesures suivantes. D’abord, sécuriser vos accès aux services en ligne utilisant le NIR : Ameli (assurance maladie), Mon compte formation (CPF), Impots.gouv, info-retraite.fr, portails de services sociaux. Sur chacun de ces services, vérifiez les coordonnées renseignées (adresse, numéro de téléphone, RIB le cas échéant), activez la double authentification lorsqu’elle est disponible, et consultez l’historique de connexion.
Ensuite, signalez à votre CPAM que votre NIR a été compromis dans le cadre d’une violation de données, afin que l’organisme puisse noter cette information sur votre dossier et être alerté en cas d’opérations inhabituelles. Conservez précieusement tout document prouvant vos démarches, en cas de besoin ultérieur dans le cadre d’une procédure indemnitaire ou d’une plainte pour usurpation d’identité.
15. PUIS-JE OBTENIR UNE INDEMNISATION POUR LE PRÉJUDICE SUBI DU FAIT DE LA VIOLATION DE DONNÉES FRANCE TRAVAIL ?
Oui, sous réserve de démontrer l’existence d’un préjudice. L’article 82 du RGPD reconnaît à toute personne ayant subi un dommage matériel ou moral du fait d’une violation du règlement le droit d’obtenir réparation du responsable du traitement. Le dommage moral peut inclure l’inquiétude, l’anxiété, la perte de contrôle sur ses données personnelles, le sentiment d’insécurité — la jurisprudence européenne et nationale admettant progressivement ces préjudices, à condition qu’ils soient réels et individuels.
Pour maximiser vos chances d’indemnisation, vous devez documenter précisément votre préjudice : conservation du message de notification reçu de FRANCE TRAVAIL, relevés bancaires en cas de prélèvement frauduleux, captures d’écran de tentatives d’hameçonnage utilisant vos données, justificatifs des démarches accomplies (opposition, signalement), dépôt de plainte auprès des services de police ou de gendarmerie, et le cas échéant attestation médicale si le stress ou l’anxiété liés à la violation a eu des répercussions sur votre santé. Une action individuelle peut être engagée devant le tribunal judiciaire compétent ; une action collective est également envisageable par le biais d’associations habilitées au titre de l’article 80 du RGPD.
16. QUE FAIRE SI JE REÇOIS UN APPEL OU UN COURRIEL PRÉTENDANT ÉMANER DE FRANCE TRAVAIL, DE LA CPAM OU D’UN AUTRE ORGANISME SOCIAL APRÈS LA VIOLATION ?
Adoptez une règle absolue et systématique : ne jamais communiquer d’informations personnelles en réponse à une sollicitation non sollicitée, qu’elle prenne la forme d’un appel téléphonique, d’un SMS, d’un courriel ou d’un message sur les réseaux sociaux. La circonstance que votre interlocuteur connaisse votre nom, votre NIR ou votre numéro de téléphone ne constitue pas une preuve d’authenticité — précisément parce que ces données ont été compromises.
Si vous recevez une communication qui vous semble suspecte, raccrochez ou ne répondez pas, puis contactez l’organisme prétendument émetteur via ses coordonnées officielles (site institutionnel saisi manuellement dans votre navigateur, numéro de téléphone figurant sur vos documents officiels). Signalez toute tentative d’hameçonnage à la plateforme Pharos (signalement.gouv.fr) et, si vous avez fourni des informations, déposez une plainte auprès des services de police ou de gendarmerie dans les meilleurs délais.
17. LA CNIL PEUT-ELLE ÊTRE SAISIE DIRECTEMENT PAR LES PERSONNES CONCERNÉES À LA SUITE DE LA VIOLATION FRANCE TRAVAIL ?
Oui. Toute personne concernée qui estime que ses droits n’ont pas été respectés par FRANCE TRAVAIL — absence de notification, réponse insatisfaisante à une demande d’accès ou d’effacement, refus de communication d’information sur la violation — peut saisir la CNIL via son service de plaintes en ligne (cnil.fr). La CNIL dispose d’un pouvoir d’instruction et peut contraindre FRANCE TRAVAIL à répondre aux demandes des personnes concernées.
Il est recommandé de saisir la CNIL après avoir d’abord tenté d’exercer directement vos droits auprès de FRANCE TRAVAIL et conservé la preuve de cette démarche infructueuse. La saisine de la CNIL n’est pas exclusif d’une action judiciaire : les deux démarches peuvent être menées parallèlement.
Last Updated on 07/05/2026 by Armand-Ari BETTAN & Dominique KARPISEK-BETTAN | FYTT AVOCATS PRIVACYANGELS