CNIL | SAN-2026-003 | 22 JANVIER 2026 | AFFAIRE FRANCE TRAVAIL |
FRANCE TRAVAIL RECHERCHE PROFIL “CYBERSÉCURITÉ” | “À VOTRE SERVICE”, RÉPONDENT LES HACKERS. | RÉSULTAT: 36,8 MILLIONS DE VICTIMES.
ANALYSE CRITIQUE MANQUEMENTS FAQ CONSEILS
I.
Le contexte d’un traitement conjoint à haute sensibilité
Le traitement en cause a été institué par le décret n° 2022-1161 du 16 août 2022, codifié aux articles D. 5312-50 à D. 5312-54 du code du travail, qui a autorisé l’intégration de données relatives à l’accompagnement des demandeurs d’emploi en situation de handicap au sein du système d’information préexistant de FRANCE TRAVAIL. Ce décret fonde une co-responsabilité de traitement entre FRANCE TRAVAIL et les organismes de placement spécialisés CAP EMPLOI, représentés par le CHEOPS, conformément à l’article D. 5312-51 du code du travail. La CNIL avait rendu un avis favorable sur ce traitement dans sa délibération non publique n° 2022-050 du 21 avril 2022.
La nature des données traitées confère à ce traitement un niveau de risque particulièrement élevé au regard de l’article 9 du RGPD. Sont notamment enregistrées dans le système d’information de FRANCE TRAVAIL des données relatives au type de handicap, à l’origine du handicap, aux besoins liés à la compensation du handicap et au rétablissement de la personne, aux limitations de capacités, ainsi que des champs de rédaction libre dans lesquels sont renseignées, pour les besoins du service, les habitudes de vie et les situations particulières des personnes. Ces données peuvent constituer des données de santé en soi ou par croisement. La formation restreinte souligne que « la combinaison potentielle de toutes ces données accroît les risques engendrés par la divulgation de chaque type de données pris séparément ». S’y ajoute la présence du Numéro d’Inscription au Répertoire (NIR), qui fait l’objet d’une protection particulière en raison de « sa nature signifiante, unique et pérenne » induisant des risques d’usurpation ou d’interconnexion.
Environ 2 300 salariés des structures CAP EMPLOI disposent d’un accès à l’applicatif métier de FRANCE TRAVAIL depuis un navigateur web. L’outil comporte une fonctionnalité de recherche permettant d’accéder aux données de l’ensemble des personnes présentes dans la base de données de FRANCE TRAVAIL, au-delà de la seule région de référence de l’agent connecté, sans limitation géographique par défaut.
II.
La violation de données par ingénierie sociale : mécanisme et ampleur
L’attaque s’est étendue du 6 février au 5 mars 2024. Elle ciblait spécifiquement des comptes de salariés CAP EMPLOI et a été conduite par des techniques « d’ingénierie sociale », consistant à obtenir un bien ou une information en exploitant la confiance, l’ignorance ou la crédulité de tierces personnes. Le scénario d’attaque s’est articulé en plusieurs phases successives : après avoir récupéré les données nécessaires à la réinitialisation du mot de passe d’un compte de conseiller CAP EMPLOI, les attaquants ont contacté le prestataire du support informatique en se faisant passer pour des employés CAP EMPLOI afin d’obtenir la réinitialisation du mot de passe, puis ont contacté les conseillers dont ils avaient usurpé le compte en se faisant passer pour le support informatique afin de leur communiquer leur nouveau mot de passe.
Une activité anormale a été détectée le 29 février 2024 sur le système de mesure de performances, mais l’alerte n’a été prise en compte que le 4 mars 2024 en fin de journée. Les investigations déclenchées le 5 mars 2024 ont permis d’établir l’intrusion. Les attaquants avaient exfiltré 25 gigaoctets de données concernant 36 820 828 personnes vers des plateformes d’hébergement externes. Ce chiffre comprend non seulement les personnes inscrites auprès de FRANCE TRAVAIL au cours des vingt dernières années, mais également celles possédant un simple espace candidat sur le site francetravail.fr sans être inscrites sur la liste des demandeurs d’emploi. Les données exfiltrées incluent notamment le nom d’usage, le nom de naissance, le prénom, le sexe, la date de naissance, le NIR, l’adresse postale, les coordonnées téléphoniques et électroniques, le statut de demandeur d’emploi, ainsi que les dates de début et de fin d’inscription.
III.
La responsabilité de FRANCE TRAVAIL dans le cadre co-responsable : le rejet de l’exonération partielle
FRANCE TRAVAIL a contesté avoir la responsabilité exclusive des mesures techniques et organisationnelles de sécurité, soutenant que les CAP EMPLOI jouent nécessairement un rôle en leur qualité de co-responsables. L’opérateur se fondait sur les documents contractuels pour établir que les CAP EMPLOI avaient été chargés des mesures situées dans leur environnement permettant d’accéder au système d’information de FRANCE TRAVAIL.
La formation restreinte rejette cette argumentation en s’appuyant sur une analyse fonctionnelle et pragmatique, conforme à la jurisprudence de la CJUE. Elle rappelle d’abord que « l’existence d’une responsabilité conjointe ne se traduit pas nécessairement par une responsabilité équivalente » (CJUE, 7 mars 2024, IAB Europe c. Gegevensbeschermingsautoriteit, C-604/22, point 58). Elle procède ensuite à une analyse des documents contractuels pour démontrer que FRANCE TRAVAIL s’est lui-même engagé à « mettre en œuvre les mesures de sécurité technique pour les outils mis à disposition des salariés Cap emploi ». Elle relève que les AIPD précisent que « ce sont les règles du corpus documentaire de la politique de sécurité des systèmes d’information de FRANCE TRAVAIL qui s’appliquent au traitement en cause ».
La formation restreinte conclut que « c’est à FRANCE TRAVAIL que revient en premier lieu l’initiative du déploiement et du pilotage des mesures destinées à assurer la sécurité de son système d’information », qualifiant FRANCE TRAVAIL de « principal responsable de la détermination des règles de sécurité applicables ». Ce raisonnement s’appuie sur le principe d’asymétrie structurelle : FRANCE TRAVAIL est à la fois développeur et hébergeur du système auquel les CAP EMPLOI accèdent à distance, et dispose en conséquence d’une maîtrise exclusive de l’architecture, des fonctionnalités et des paramètres de sécurité du système. Si la formation restreinte reconnaît « le rôle important que jouent les CAP EMPLOI dans la diffusion et l’application des règles de sécurité », ce rôle n’est que second et ne peut pas décharger FRANCE TRAVAIL de ses obligations propres.
IV.
Le cadre normatif de l’obligation de sécurité et le principe de défense en profondeur
L’article 32, §1 du RGPD impose au responsable de traitement de mettre en œuvre des mesures techniques et organisationnelles « appropriées afin de garantir un niveau de sécurité adapté au risque », compte tenu notamment « de l’état des connaissances, des coûts de mise en œuvre » et des risques de « divulgation non autorisée » ou d’« accès non autorisé » aux données, de manière accidentelle ou illicite. L’article 24, §1 impose par ailleurs au responsable d’être en mesure de démontrer la conformité de ses mesures.
La formation restreinte rappelle la règle posée par la CJUE dans l’arrêt Natsionalna agentsia za prihodite (14 décembre 2023, C/2024/1065, point 47) : ni la survenance d’une violation, ni son absence ne suffisent à elles seules à établir respectivement l’existence ou l’absence d’un manquement à l’article 32 du RGPD. L’obligation est une obligation de moyens dont le respect s’apprécie au regard du caractère approprié des mesures mises en œuvre.
La formation restreinte mobilise le principe de « défense en profondeur » tel qu’énoncé par l’ANSSI dans son Memento version 1.1 du 19 juillet 2004, selon lequel la sécurité ne doit pas reposer « sur un élément mais sur un ensemble cohérent » et que « tout composant d’un système peut être défaillant ou compromis ». Elle affirme que si « il n’apparait pas possible pour un responsable de traitement de se prémunir contre l’ensemble des attaques dites d’ingénierie sociale, cela ne saurait exonérer le responsable de traitement de ses obligations ». Ce principe implique que chaque faille potentielle d’un composant doit être compensée par au moins un second niveau de sécurité, de sorte que la compromission par ingénierie sociale de l’identité d’un utilisateur doit être neutralisée par des mesures techniques robustes en aval.
V.
Premier manquement — La politique de mots de passe : seuil de blocage excessif
Cadre normatif. La recommandation de la CNIL n° 2022-100 du 21 juillet 2022 relative aux mots de passe prévoit que lorsqu’une authentification repose sur un mot de passe d’au moins 8 caractères composé de 3 catégories de caractères différentes (cas n° 2), celle-ci doit obligatoirement s’accompagner d’une mesure complémentaire de restriction d’accès : temporisation d’accès au compte, mécanisme anti-soumissions automatiques (captcha), ou blocage du compte après au maximum 10 tentatives infructueuses. L’ANSSI souligne elle aussi l’importance d’un mécanisme de blocage temporaire « des tentatives d’authentification pendant plusieurs secondes voire minutes (de façon linéaire ou exponentielle) après un certain nombre d’essais infructueux ».
Constat factuel. À la date de la violation, la politique de FRANCE TRAVAIL imposait des mots de passe d’une longueur minimum de 8 caractères, avec au minimum 3 types de caractères différents et un renouvellement tous les 90 jours — modalité correspondant précisément au cas n° 2 de la recommandation. Or, le mécanisme de restriction prévu fixait le seuil de blocage à 50 tentatives infructueuses depuis internet, seuil cinq fois supérieur au maximum de 10 recommandé par la CNIL. Aucun autre mécanisme de restriction (captcha ou temporisation) n’avait été mis en place pour compenser ce seuil excessif.
Défense et rejet. FRANCE TRAVAIL soutenait que ce seuil était conforme « en l’absence d’une position commune des autorités compétentes de sécurité informatique » sur ce point, et que des mesures complémentaires (prévention du password spraying, déblocage manuel de compte) compensaient l’absence de restriction conforme. Il avançait en outre qu’aucun seuil de blocage n’aurait pu empêcher l’attaque dès lors que les attaquants étaient en possession des mots de passe. La formation restreinte écarte ces arguments : la prévention du password spraying vise à renforcer la robustesse des mots de passe et non à compenser un seuil de blocage défaillant ; le déblocage manuel n’enlève rien au fait que 50 tentatives sont autorisées avant tout blocage ; enfin, si cette vulnérabilité particulière n’a pas été exploitée dans le cadre de la violation en cause, « il n’en demeure pas moins qu’elle est constitutive d’un manquement à l’obligation de sécurité ». Le silence de l’ANSSI sur un seuil précis ne saurait par ailleurs conforter FRANCE TRAVAIL dans un choix qui prive le mécanisme de blocage de tout effet utile.
VI.
Deuxième manquement — L’absence d’authentification multifacteur
Cadre normatif. La CNIL souligne dans sa délibération n° 2022-100 précitée qu’elle « a notamment toujours considéré que d’autres moyens d’authentification, comme par exemple l’authentification à double facteur ou les certificats électroniques, offrent davantage de sécurité que le seul mot de passe ». Son guide pratique sur la sécurité des données personnelles recommande de privilégier l’authentification multifacteur lorsque la connexion est accessible depuis l’extérieur du réseau de l’organisme. Plus récemment, la délibération n° 2025-019 du 20 mars 2025 portant adoption d’une recommandation relative à l’authentification multifacteur préconise expressément de la déployer pour « les traitements de données sensibles, au sens de l’article 9 du RGPD (par exemple le traitement de données de santé), et les traitements ou les opérations à risque ». Bien que postérieure à la violation, cette recommandation s’inscrit dans une doctrine antérieurement établie, soulignée par l’ANSSI dès 2021. La formation restreinte a déjà estimé qu’une authentification multifactorielle aurait été de nature à empêcher une violation de données (CNIL, FR, 19 décembre 2018, SAN-2018-011).
Constat factuel. Les AIPD réalisées en 2022 avaient elles-mêmes identifié la vulnérabilité en ces termes : « la connexion sur la machine virtuelle pour les conseillers Cap emploi se fait par authentification simple (identifiant et mot de passe unique) : si un attaquant externe pirate le poste d’un conseiller Cap emploi il lui sera facile d’accéder aux données contenues dans la machine virtuelle ». Ces mêmes AIPD prévoyaient la mise en œuvre d’une authentification à deux facteurs pour 2023, ce que la CNIL accueillait favorablement dans son avis n° 2022-050 du 21 avril 2022. Cette mesure a finalement été repoussée à avril 2024 — soit après la survenance de la violation.
Défense et rejet. FRANCE TRAVAIL soutenait que le déploiement de la MFA avait été retardé par les CAP EMPLOI, lesquels refusaient la solution logicielle proposée en alternative à la solution matérielle (téléphones portables) qu’ils ne pouvaient pas financer. Il affirmait par ailleurs que la continuité du service public rendait impossible la suspension du traitement, et que le risque lié à l’absence de MFA était « seulement théorique ». Enfin, il concluait qu’une authentification multifacteur n’aurait pas permis de déjouer une attaque par ingénierie sociale. La formation restreinte rejette l’ensemble de ces arguments : « une authentification multifacteur aurait rendu extrêmement difficile l’authentification des attaquants », qui auraient dû cumuler vol de téléphone, déverrouillage et génération d’un code OTP. Les difficultés de coordination avec les CAP EMPLOI, quant à elles, « auraient pu être surmontées par d’autres mesures, par exemple par la distribution de calculettes OTP ». La formation restreinte affirme que « le risque lié à l’absence d’authentification multifacteur n’était pas seulement théorique » et que FRANCE TRAVAIL aurait dû prendre davantage en considération ce risque réel lors de sa mise en balance avec la nécessité de continuité du service public.
VII.
Troisième manquement — La défaillance du système de journalisation active
Cadre normatif. La recommandation de la CNIL n° 2021-122 du 14 octobre 2021 relative à la journalisation prescrit de « mettre en œuvre un système de traitement et d’analyse des données collectées et de formaliser un processus permettant de générer des alertes et de les traiter en cas de suspicion de comportement anormal ». L’ANSSI rappelle dans ses Recommandations de sécurité pour l’architecture d’un système de journalisation du 28 janvier 2022 que « l’analyse continue des journaux d’évènements permet de repérer des activités inhabituelles, tandis que l’archivage des journaux rend possible les levées de doutes a posteriori » et que « la journalisation constitue le prérequis indispensable à la mise en œuvre d’une capacité de détection, d’analyse et de réponse aux incidents de sécurité ». Le CEPD considère dans ses lignes directrices 9/2022 que « la capacité de détecter une violation, d’y remédier et de la communiquer dans les meilleurs délais devrait être considérée comme un élément essentiel ».
Constat factuel. FRANCE TRAVAIL disposait d’un système de journalisation avec identifiant interne technique et horodatage des actions, conservant ces données pendant un an, ainsi que d’un Security Operations Center (SOC) surveillant le trafic sur son système d’information. Néanmoins, l’activité des comptes usurpés présentait de « nombreuses caractéristiques suspectes » qui auraient dû déclencher des alertes : le caractère « hautement anormal au regard des horaires et de la fréquence des requêtes », le volume de 25 Go de données extraites, un taux d’erreur de 69 % sur l’un des comptes usurpés (correspondant « probablement à une phase de test et de tentative de modification du code javascript »), et le fait que « rien que le mardi 6 février 2024, 9 Go de données ont été extraites, ce qui correspondrait à plus de 13 millions de fiches pour un seul conseiller en une seule journée ». Malgré l’ensemble de ces anomalies, le dispositif de journalisation n’a généré aucune alerte permettant une réponse rapide. La circonstance est aggravée par le fait que la CNIL avait « déjà alerté FRANCE TRAVAIL sur la nécessité de mettre en place un système d’analyse des traces dans sa délibération n° 2022-050 du 21 avril 2022 ».
Défense et rejet. FRANCE TRAVAIL soutenait que le rapporteur « sous-estime la difficulté d’analyser les journaux d’un système d’information aussi complexe » et qu’« il est toujours plus aisé d’analyser une situation a posteriori », ajoutant qu’il aurait été très difficile de détecter un trafic illégitime via des comptes légitimes. La formation restreinte réfute cet argument de manière particulièrement détaillée : la simple collecte des logs ne suffit pas — la journalisation doit être « active », c’est-à-dire permettre une « détection en continu et en temps réel des opérations anormales ». Elle souligne que le volume d’activité des comptes usurpés était « manifestement anormal » et conclut que « le fait que son système d’information soit extrêmement complexe et fasse régulièrement l’objet d’attaques aurait justement dû conduire FRANCE TRAVAIL à mettre en place un système de journalisation à la hauteur de ce risque ».
VIII.
Quatrième manquement — La politique d’habilitations excessive
Cadre normatif. L’article 32 du RGPD impose la mise en place de mesures appropriées assurant la confidentialité des données et évitant qu’elles ne soient traitées par des personnes qui n’ont pas besoin d’en connaître. La formation restreinte rappelle sa jurisprudence constante selon laquelle « la gestion des habilitations à consulter ou à utiliser un système d’information doit tendre à limiter les accès aux seules données à caractère personnel dont un utilisateur a besoin pour l’accomplissement de ses missions » (CNIL, FR, 29 octobre 2021, SAN-2021-019). La finesse de la gestion des habilitations s’apprécie en tenant compte de la quantité et de la nature des données traitées, du caractère plus ou moins imbriqué des finalités, ainsi que des moyens techniques et humains du responsable de traitement.
Constat factuel. Les conseillers CAP EMPLOI ont accès en consultation à toutes les données de l’ensemble des demandeurs d’emploi présents dans la base, y compris ceux qui ne sont pas bénéficiaires de l’obligation d’emploi. Ils peuvent, à leur seule initiative, modifier le périmètre de la recherche sans limitation géographique. Ils n’ont accès aux dossiers complets (données de santé incluses) que pour les personnes effectivement accompagnées. La formation restreinte relève que « le périmètre des données consultables — tant sur la nature des données que sur les zones géographiques — s’étend bien au-delà de ce qui est strictement nécessaire pour l’exercice des missions des employés CAP EMPLOI ». Elle souligne en outre que cette habilitation excessive a « pu élargir le périmètre de la violation de données », les attaquants ayant accédé via des comptes CAP EMPLOI à l’ensemble des données de plus de 36,8 millions de personnes.
Défense et rejet. FRANCE TRAVAIL soutenait que cet accès était nécessaire à l’accompagnement des personnes et que les comptes étaient paramétrés selon trois profils d’habilitation respectant le principe du moindre privilège. La formation restreinte ne remet pas en cause la nécessité de certains accès, dont elle « admet le caractère utile à l’accompagnement des personnes ». Elle constate néanmoins que la confirmation par FRANCE TRAVAIL de son intention de « revoir les règles d’habilitations d’accès » sans que cela ne semble entraver le suivi des bénéficiaires démontre précisément que des restrictions plus fines étaient opérationnellement réalisables. Elle prend acte des mesures de minimisation annoncées (limitations géographiques, limitation sur les types de profils, exclusion du NIR dans certains cas).
IX.
Analyse critique : la responsabilité co-conjointe et la question de l’établissement public
La formation restreinte qualifie FRANCE TRAVAIL de « principal responsable » de la détermination des règles de sécurité. Cette formulation, absente du texte du RGPD, introduit une gradation implicite de responsabilité au sein du dispositif de responsabilité conjointe de l’article 26. Si elle est juridiquement fondée en ce qu’elle reflète l’asymétrie structurelle entre FRANCE TRAVAIL (développeur-hébergeur) et les CAP EMPLOI (utilisateurs-accédants), elle n’est pas sans soulever des questions de précision normative. Le RGPD ne consacre pas de notion de responsable principal, et l’introduction prétorienne de cette qualification mériterait une explicitation plus rigoureuse de ses implications — notamment quant aux conséquences que l’on peut en tirer pour les CAP EMPLOI, dont la responsabilité propre n’est à aucun moment analysée dans la délibération.
La délibération vise expressément la décision n° 2025-1154 QPC du 8 août 2025 du Conseil constitutionnel, dont le contenu n’est pas explicité dans ses motifs mais dont la mention suggère qu’elle a validé la possibilité pour la CNIL de sanctionner pécuniairement un établissement public administratif, en interprétant restrictivement l’exception « État » prévue à l’article 20 de la loi Informatique et Libertés. La formation restreinte n’a toutefois consacré aucun développement exprès à la contestation de principe soulevée par FRANCE TRAVAIL, laissant subsister une incertitude sur les critères précis d’application de cette exception. Cette lacune motivationnelle est d’autant plus regrettable que la question est susceptible de se poser à nouveau pour d’autres établissements publics administratifs traitant massivement des données sensibles — hôpitaux publics, universités, caisses de sécurité sociale.
X.
La démonstration de l’obligation de moyens renforcée pour les données sensibles
La délibération SAN-2026-003 consolide et précise l’intensité de l’obligation de sécurité lorsque le traitement porte sur des données de santé et des données particulièrement sensibles. La formation restreinte retient que le manquement à l’article 32 du RGPD est caractérisé même lorsque les vulnérabilités constatées n’ont pas directement causé la violation : le seuil de blocage à 50 tentatives n’avait pas été exploité par les attaquants qui disposaient déjà des mots de passe, mais ce défaut est néanmoins retenu comme constitutif d’un manquement autonome.
Cette approche — cohérente avec la jurisprudence CJUE Natsionalna agentsia za prihodite — dessine une exigence de sécurité préventive et non seulement réactive. Le responsable de traitement qui traite des données de santé à grande échelle ne peut pas se satisfaire de mesures correctes en moyenne : chaque composante de la chaîne de sécurité doit répondre individuellement aux standards recommandés par les autorités compétentes. L’AIPD joue ici un rôle probatoire décisif — à double tranchant : elle permet de démontrer la conscience préalable des risques (ce que la formation restreinte relève pour aggraver la caractérisation du manquement) mais sert également de preuve que le responsable n’a pas mis en œuvre dans les délais les mesures qu’il s’était lui-même engagé à déployer.
Le traitement conjoint amplifie cette dynamique : le développeur-hébergeur d’un système ouvert à des tiers ne peut pas déléguer aux utilisateurs-accédants la responsabilité de compenser les lacunes architecturales de son propre système. Il lui appartient d’anticiper les contraintes de déploiement chez ses co-responsables et de concevoir des solutions adaptées à ces contraintes — ou, à défaut, de conditionner l’ouverture de l’accès à la satisfaction préalable des exigences de sécurité, sans que la continuité du service public puisse constituer un motif d’exonération.
POINTS ESSENTIELS
27.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats