CNIL | SAN-2026-003 | 22 JANVIER 2026 | AFFAIRE FRANCE TRAVAIL |
ANALYSE CRITIQUE MANQUEMENTS FAQ CONSEILS
Par sa délibération SAN-2026-003 du 22 janvier 2026, la formation restreinte de la CNIL a sanctionné l’établissement public administratif FRANCE TRAVAIL pour manquement à l’obligation de sécurité prévue à l’article 32 du RGPD, en retenant trois sous-composantes distinctes d’un manquement unique mais pluridimensionnel : l’insuffisance des mécanismes d’authentification (seuil de blocage à 50 tentatives, absence d’authentification multifacteur pour les accès des 2 300 conseillers CAP EMPLOI), le défaut de journalisation active et de détection des comportements anormaux — un attaquant ayant exfiltré 25 gigaoctets de données sur 27 jours sans déclencher la moindre alerte —, et la gestion insuffisante des habilitations permettant un accès sans limitation géographique à la base de données complète des demandeurs d’emploi. La violation de données consécutive à une attaque par ingénierie sociale, menée du 6 février au 5 mars 2024 par usurpation de comptes de conseillers CAP EMPLOI, a compromis les données personnelles — dont le NIR et le statut de demandeur d’emploi — de 36 820 828 personnes, soit la plus grande violation de données personnelles jamais notifiée à la CNIL dans le secteur public français.
RAPPEL DES FAITS ET DE LA PROCÉDURE
A. PRÉSENTATION DE L’OPÉRATEUR ET DU TRAITEMENT EN CAUSE
FRANCE TRAVAIL est un établissement public administratif placé sous la tutelle du Ministère chargé de l’emploi, doté de l’autonomie financière et situé au Cinetic 1-5, 1 avenue du Docteur Gley à Paris. Ses missions sont définies à l’article L. 5312-1 du code du travail et comprennent notamment l’indemnisation et l’accompagnement des demandeurs d’emploi, le conseil aux entreprises dans leurs recrutements, ainsi que l’accompagnement adapté des personnes ayant fait l’objet d’une décision de reconnaissance de la qualité de travailleur handicapé (RQTH) et bénéficiaires de l’obligation d’emploi (BOE).
Cette dernière mission est assurée en lien avec les CAP EMPLOI, organismes de placement spécialisés mentionnés à l’article L. 5214-3-1 du code du travail, au nombre de 98 structures en France, représentées auprès des pouvoirs publics par le CHEOPS (Conseil national handicap et emploi des organismes de placement spécialisés). Ces structures sont autonomes, généralement constituées sous forme associative, et accompagnent environ 20 % des personnes en situation de handicap inscrites auprès de FRANCE TRAVAIL.
Afin de permettre une offre de services unifiée, un traitement de données de santé nécessaires à l’accompagnement adapté des demandeurs d’emploi en situation de handicap a été créé par le décret n° 2022-1161 du 16 août 2022, codifié aux articles D. 5312-50 à D. 5312-54 du code du travail. Ce décret autorise l’intégration de l’accompagnement par CAP EMPLOI au système d’information préexistant de FRANCE TRAVAIL. La CNIL a rendu un avis sur ce traitement dans sa délibération non publique n° 2022-050 du 21 avril 2022.
L’article D. 5312-51 du code du travail prévoit expressément une co-responsabilité de traitement entre l’opérateur FRANCE TRAVAIL et les organismes de placement spécialisés représentés par le CHEOPS. Les données traitées concernent notamment le type de handicap, l’origine du handicap, le besoin lié à la compensation du handicap, le besoin lié au rétablissement de la personne, les limitations de capacités et le titre justifiant du bénéfice de l’obligation d’emploi. Ces données sont intégrées à l’application métier de FRANCE TRAVAIL, à laquelle environ 2 300 salariés des structures CAP EMPLOI disposent d’un accès depuis un navigateur web. L’outil dispose d’une fonctionnalité permettant de réaliser des recherches parmi l’ensemble des personnes présentes dans la base de données de FRANCE TRAVAIL, y compris d’autres régions sans limitation géographique.
B. LA VIOLATION DE DONNÉES À CARACTÈRE PERSONNEL
Le jeudi 29 février 2024, une activité anormale a été détectée sur le système de mesure de performances du système d’information de FRANCE TRAVAIL, entraînant une indisponibilité partielle du service et une forte consommation de ressources. Cette alerte n’a été constatée et prise en compte que le lundi 4 mars 2024 en fin de journée, puis a donné lieu à des investigations le mardi 5 mars 2024.
Les investigations ont établi une intrusion sur le système d’information de FRANCE TRAVAIL. L’attaque s’est étendue du mardi 6 février au mardi 5 mars 2024 et a ciblé spécifiquement des comptes de salariés CAP EMPLOI. Elle a été menée par des techniques dites « d’ingénierie sociale », consistant à obtenir un bien ou une information en exploitant la confiance, l’ignorance ou la crédulité de tierces personnes. En effet, après avoir récupéré les données nécessaires à la réinitialisation du mot de passe d’un compte de conseiller CAP EMPLOI, les attaquants ont adressé une demande de réinitialisation au prestataire du support informatique en se faisant passer pour des employés CAP EMPLOI, parvenant ainsi à usurper les comptes. Les attaquants ont ensuite contacté les conseillers dont ils avaient usurpé le compte en se faisant passer pour le support informatique afin de leur communiquer le nouveau mot de passe.
Les investigations ont révélé que les attaquants ont accédé aux données comprenant : le nom d’usage, le nom de naissance, le prénom, le sexe, la date de naissance, le NIR (numéro d’inscription au répertoire), l’adresse, le code postal, le numéro de téléphone, l’adresse électronique, l’adresse géographique (région d’appartenance), la référence individuelle, le statut de demandeur d’emploi (inscrit, radié ou identifié) ainsi que les dates de début et de fin d’inscription.
FRANCE TRAVAIL a précisé que les attaquants ont exfiltré 25 gigaoctets de données concernant 36 820 828 personnes vers des plateformes d’hébergement externes, correspondant aux données non seulement des personnes inscrites auprès de FRANCE TRAVAIL au cours des 20 dernières années, mais également de celles non inscrites sur la liste des demandeurs d’emploi mais possédant un espace candidat sur « francetravail.fr ».
Le 8 mars 2024, FRANCE TRAVAIL a procédé à une notification de violation de données auprès de la CNIL, complétée le 15 mai 2024.
C. LA PROCÉDURE DE CONTRÔLE ET DE SANCTION
En application de la décision n° 2024-051C du 13 mars 2024 de la présidente de la Commission, une délégation de la CNIL a effectué une mission de contrôle sur place de l’opérateur FRANCE TRAVAIL, ayant donné lieu à un procès-verbal n° 2024-051/1 du 21 mars 2024. Les 2 avril et 15 mai 2024, FRANCE TRAVAIL a fourni des éléments complémentaires.
La présidente de la Commission a, le 3 juillet 2025, désigné M. Fabien TARISSAN en qualité de rapporteur. Le 24 juillet 2025, le rapporteur a notifié à l’organisme un rapport concluant à un manquement à l’article 32 du RGPD et proposant le prononcé d’une amende administrative, d’une injonction de mise en conformité assortie d’une astreinte, et la publication de la décision avec anonymisation de l’organisme à l’expiration d’un délai de deux ans.
Le 22 septembre 2025, FRANCE TRAVAIL a produit des observations en réponse. Le 22 octobre 2025, la réponse du rapporteur a été notifiée. Le 21 novembre 2025, FRANCE TRAVAIL a adressé de nouvelles observations. Le 11 décembre 2025, FRANCE TRAVAIL a formé une demande de huis-clos qui a été refusée le 12 décembre 2025 par le président de la formation restreinte, celui-ci rappelant que la procédure étant écrite, l’organisme pouvait lors de la séance renvoyer à ses observations écrites. Le 18 décembre 2025, le rapporteur et l’organisme ont présenté des observations orales lors de la séance de la formation restreinte. La délibération a été adoptée le 22 janvier 2026.
JURISPRUDENCE ET RÉGLEMENTATION CITÉES — TABLEAU RÉCAPITULATIF
| Source | Nature | Objet | Paragraphe correspondant dans la délibération |
|---|---|---|---|
| Art. 4, al. 7 RGPD | Disposition réglementaire | Définition du responsable de traitement | § relatif à la responsabilité conjointe |
| Art. 26 RGPD | Disposition réglementaire | Responsables conjoints du traitement | § sur le cadre juridique de la responsabilité conjointe |
| Art. 24-1 RGPD | Disposition réglementaire | Obligation de mise en œuvre de mesures appropriées par le RT | § sur la portée de l’obligation de sécurité |
| Art. 32-1 RGPD | Disposition réglementaire | Obligation de sécurité — mesures techniques et organisationnelles | § central sur le manquement à l’art. 32 |
| Art. 32-2 RGPD | Disposition réglementaire | Évaluation du niveau de sécurité approprié | § sur la portée de l’obligation |
| Art. 9, §1 RGPD | Disposition réglementaire | Données de catégories particulières (données de santé) | § relatif à la volumétrie et sensibilité des données |
| Art. 83, §2 RGPD | Disposition réglementaire | Critères de détermination de l’amende administrative | § sur le quantum de la sanction |
| Art. 20 loi IeL du 6 janv. 1978 mod. | Disposition législative | Sanctions administratives — exception pour traitements mis en œuvre par l’État | § sur la contestation du principe de l’amende |
| D. 5312-50 à D. 5312-54 C. trav. | Disposition réglementaire nationale | Traitement de données de santé pour l’accompagnement des demandeurs BOE | § sur le traitement de données de santé |
| D. 5312-51 C. trav. | Disposition réglementaire nationale | Co-responsabilité FRANCE TRAVAIL / CAP EMPLOI | § sur le cadre juridique de la co-responsabilité |
| L. 5312-1 C. trav. | Disposition législative nationale | Missions de FRANCE TRAVAIL | § de présentation de l’opérateur |
| L. 5214-3-1 C. trav. | Disposition législative nationale | Organismes de placement spécialisés (CAP EMPLOI) | § de présentation de l’opérateur |
| CJUE, 7 mars 2024, IAB Europe c. Gegevensbeschermingsautoriteit, C-604/22, pt. 58 | Jurisprudence CJUE | Responsabilité conjointe : gradation possible selon le degré d’implication | § sur l’analyse de la formation restreinte — responsabilité conjointe |
| CJUE, Natsionalna agentsia za prihodite, 14 déc. 2023, C/2024/1065, pt. 47 | Jurisprudence CJUE | Violation de données ≠ preuve automatique de manquement à l’art. 32 RGPD | § liminaire sur l’obligation de sécurité |
| CJUE, 10 juil. 2018, Témoins de Jéhovah, C-25/17, pts. 65-66 | Jurisprudence CJUE | Gradation de responsabilité entre co-responsables | § sur la qualification de « principal responsable » |
| Déc. CC n° 2025-1154 QPC du 8 août 2025 | Décision Conseil constitutionnel | Constitutionnalité du régime de sanctions CNIL à l’égard des établissements publics | Visa et § sur la contestation du principe de l’amende |
| Délibération CNIL n° 2022-100 du 21 juil. 2022 | Recommandation CNIL | Mots de passe et autres secrets partagés | § sur les modalités d’authentification et le seuil de blocage |
| Délibération CNIL n° 2025-019 du 20 mars 2025 | Recommandation CNIL | Authentification multifacteur | § sur l’absence d’AMF |
| Délibération CNIL n° 2021-122 du 14 oct. 2021 | Recommandation CNIL | Journalisation | § sur le suivi des journaux d’activité |
| Avis CNIL n° 2022-050 du 21 avr. 2022 | Avis CNIL non public | Avis favorable sous conditions sur le traitement FRANCE TRAVAIL / CAP EMPLOI | § sur le traitement conjoint et les AIPD |
| Délibération CNIL n° SAN-2018-009 du 6 sept. 2018 | Sanction CNIL | Politique de mot de passe insuffisamment robuste | § sur les précédents de sanction (sécurité) |
| Délibération CNIL n° SAN-2018-011 du 19 déc. 2018 | Sanction CNIL | AMF aurait permis d’empêcher la violation de données | § sur l’absence d’AMF |
| Délibération CNIL n° SAN-2021-019 du 29 oct. 2021 | Sanction CNIL | Absence de politique d’habilitation | § sur la gestion des habilitations et l’obligation de sécurité |
| Délibération CNIL n° SAN-2022-018 du 8 sept. 2022 | Sanction CNIL | Stockage de mots de passe en clair | § sur les précédents de sanction (sécurité) |
| Délibération CNIL n° SAN-2022-020 du 10 nov. 2022 | Sanction CNIL | Robustesse insuffisante des mots de passe | § sur les précédents en matière de mots de passe |
| Délibération CNIL n° SAN-2023-021 du 27 déc. 2023 | Sanction CNIL | Robustesse insuffisante des mots de passe | § sur les précédents en matière de mots de passe |
| Délibération CNIL n° SAN-2023-023 du 29 déc. 2023 | Sanction CNIL | Robustesse insuffisante des mots de passe | § sur les précédents en matière de mots de passe |
| Décision pdt FR n° SANPS-2024-011 du 31 janv. 2024 | Sanction CNIL (non publ.) | Protocole TLS obsolète | § sur les précédents de sanction (sécurité) |
| Lignes directrices CEPD 07/2020 (7 juil. 2021) | Lignes directrices CEPD | Notions de responsable du traitement et de sous-traitant | § sur la responsabilité conjointe |
| Lignes directrices CEPD 9/2022 | Lignes directrices CEPD | Notification de violations de données | § sur le suivi des journaux d’activité |
| ANSSI — Memento défense en profondeur, v1.1, 19 juil. 2004 | Recommandation ANSSI | Principe de défense en profondeur | § sur l’obligation de sécurité |
| ANSSI — Recommandations AMF et mots de passe, 2021 | Recommandation ANSSI | Authentification multifacteur et mots de passe | § sur l’absence d’AMF |
| ANSSI — Reco. journalisation, 28 janv. 2022 | Recommandation ANSSI | Architecture d’un système de journalisation | § sur le suivi des journaux d’activité |
| Décret n° 2022-1161 du 16 août 2022 | Acte réglementaire national | Création du traitement — autorisation légale | § sur le traitement de données de santé |
ANALYSE CRITIQUE DE LA DÉLIBÉRATION
A. SUR LA POSSIBILITÉ DE PRONONCER UNE AMENDE À L’ENCONTRE D’UN ÉTABLISSEMENT PUBLIC ADMINISTRATIF : UNE INTERPRÉTATION STRICTE MAIS INSUFFISAMMENT MOTIVÉE
1. L’ARGUMENTATION DE FRANCE TRAVAIL ET SA PORTÉE JURIDIQUE
FRANCE TRAVAIL a contesté le principe même du prononcé d’une amende à son encontre, en s’appuyant sur une lecture extensive de l’exception prévue à l’article 20 de la loi Informatique et Libertés, selon lequel « à l’exception des cas où le traitement est mis en œuvre par l’État, une amende administrative » peut être prononcée. L’opérateur faisait valoir que cette exception devrait s’étendre aux établissements publics administratifs placés sous tutelle de l’État dont le budget est « directement et indirectement abondé » par l’État, soutenant qu’il « serait absurde que l’État s’impose une amende à lui-même », ce qui reviendrait à un simple transfert budgétaire sans effet dissuasif réel. FRANCE TRAVAIL demandait, à titre subsidiaire, à la formation restreinte de « privilégier le recours à une mesure préventive, telle qu’un rappel à la loi ou une mise en demeure », en soutenant que les manquements étaient « susceptibles de faire l’objet d’une mise en conformité ».
Cette argumentation soulevait une question juridique fondamentale relative à l’autonomie de la personnalité morale des établissements publics administratifs par rapport à l’État, remettant implicitement en cause la distinction classique du droit administratif français entre l’État et ses démembrements dotés de la personnalité morale.
2. LE SILENCE DE LA DÉLIBÉRATION ET L’APPORT DE LA DÉCISION DU CONSEIL CONSTITUTIONNEL
La formation restreinte n’a pas consacré de développements explicites à cette question préalable soulevée par FRANCE TRAVAIL. Ce silence est regrettable car il laisse subsister une incertitude juridique quant aux critères d’application de l’exception prévue à l’article 20 de la loi Informatique et Libertés. La délibération se contente de viser, dans ses considérants, la décision n° 2025-1154 QPC du 8 août 2025 du Conseil constitutionnel, dont la mention en tête de décision suggère qu’elle a validé — au moins partiellement — la constitutionnalité du régime de sanctions prononcées par la CNIL à l’encontre des établissements publics.
Il est probable que cette décision QPC ait confirmé que l’exception « traitements mis en œuvre par l’État » doit s’interpréter restrictivement et ne vise que l’État stricto sensu, à l’exclusion de ses démembrements dotés d’une personnalité morale distincte. Une telle interprétation est conforme à la distinction classique du droit administratif français. Elle est également cohérente avec le considérant 150 du RGPD, selon lequel « les autorités de contrôle devraient être habilitées à infliger des amendes administratives aux entreprises et, lorsque la législation de l’État membre le prévoit, à des autorités et organismes publics ».
3. UNE INTERPRÉTATION STRICTE NÉCESSAIRE POUR ASSURER L’EFFECTIVITÉ DE LA PROTECTION
Indépendamment de la décision QPC, une interprétation extensive de l’exception d’immunité en faveur des établissements publics administratifs créerait une inégalité manifeste de traitement entre responsables publics et privés qui mettent en œuvre des traitements de nature et de risque comparables. Dans l’affaire FRANCE TRAVAIL, le traitement porte sur des données particulièrement sensibles — données de santé, données relatives au handicap, NIR — concernant plus de 36,8 millions de personnes. Les risques pour les droits et libertés des personnes concernées sont identiques que le responsable soit public ou privé.
L’argument selon lequel une amende reviendrait à ce que « l’État s’amende lui-même » méconnaît le principe d’autonomie financière de l’établissement public : l’amende n’est pas un simple jeu d’écritures comptables, mais une sanction effective pesant sur le budget autonome de l’organisme, qui doit en assumer les conséquences, y compris en termes de redéploiement de ses ressources et de justification auprès de son autorité de tutelle.
Néanmoins, l’absence de motivation expresse de la formation restreinte sur ce point affaiblit la portée pédagogique et la sécurité juridique de la délibération, alors même que la question est appelée à se poser pour d’autres établissements publics traitant des volumes considérables de données sensibles (hôpitaux, universités, caisses de sécurité sociale).
B. SUR LA RÉPARTITION DES RESPONSABILITÉS ENTRE CO-RESPONSABLES DE TRAITEMENT : UNE ANALYSE FONCTIONNELLE FONDÉE MAIS PERFECTIBLE
1. LE CADRE DE LA RESPONSABILITÉ CONJOINTE ET L’APPROCHE DE LA FORMATION RESTREINTE
La formation restreinte adopte une approche fonctionnelle et pragmatique pour trancher la question de la responsabilité de FRANCE TRAVAIL dans le cadre du traitement conjoint. S’appuyant sur l’article 26 du RGPD, les lignes directrices CEPD 07/2020 et la jurisprudence de la CJUE (IAB Europe c. Gegevensbeschermingsautoriteit, 7 mars 2024, C-604/22, pt. 58), elle rappelle que la responsabilité conjointe « ne se traduit pas nécessairement par une responsabilité équivalente » et que « le niveau de responsabilité de chacun d’entre eux doit être évalué en tenant compte de toutes les circonstances pertinentes du cas d’espèce ».
En l’espèce, la formation restreinte relève que FRANCE TRAVAIL s’est contractuellement engagé à « mettre en œuvre les mesures de sécurité technique pour les outils mis à disposition des salariés Cap emploi », que les AIPD prévoient que « ce sont les règles du corpus documentaire de la politique de sécurité des systèmes d’information de FRANCE TRAVAIL qui s’appliquent au traitement en cause », et que FRANCE TRAVAIL se réserve le droit de « vérifier [le niveau de sécurité de l’environnement de travail des CAP EMPLOI] par des audits » et peut « ordonner la déconnexion des environnements jugés insuffisamment sécurisés ». De ces éléments, la formation restreinte conclut que « FRANCE TRAVAIL reste responsable de traitement et principal responsable de la détermination des règles de sécurité applicables ».
2. LA QUALIFICATION DE « PRINCIPAL RESPONSABLE » : UNE NOTION PERTINENTE MAIS JURIDIQUEMENT IMPRÉCISE
La formulation « principal responsable » introduite par la formation restreinte appelle des observations. Le RGPD ne consacre pas cette notion dans le cadre de la responsabilité conjointe prévue à l’article 26, qui distingue uniquement responsable de traitement (article 4, §7), responsables conjoints (article 26) et sous-traitant (article 4, §8). Cette qualification semble viser à caractériser le degré plus élevé de responsabilité de FRANCE TRAVAIL par rapport aux CAP EMPLOI dans la mise en œuvre des mesures de sécurité, sans exonérer ces derniers. Elle est cohérente avec la jurisprudence CJUE admettant une gradation de responsabilité entre co-responsables (Témoins de Jéhovah, 10 juillet 2018, C-25/17, pts. 65-66). Il aurait néanmoins été préférable que la formation restreinte précise expressément les implications juridiques concrètes de cette qualification — notamment quant aux obligations propres de chaque co-responsable.
3. LA QUESTION NON TRANCHÉE DE LA RESPONSABILITÉ PROPRE DES CAP EMPLOI
L’analyse de la formation restreinte se concentre exclusivement sur la responsabilité de FRANCE TRAVAIL sans se prononcer sur l’éventuelle responsabilité propre des CAP EMPLOI. Cette approche, compréhensible d’un point de vue procédural, laisse néanmoins en suspens une question importante : la violation résulte d’une attaque par ingénierie sociale ciblant les salariés des CAP EMPLOI — les attaquants ayant réussi à « récupérer les données nécessaires à la réinitialisation du mot de passe d’un compte de conseiller CAP EMPLOI », puis à « se faire passer pour le support informatique » auprès de ces mêmes conseillers pour leur « communiquer leur nouveau mot de passe ». Ces faits suggèrent que la vulnérabilité exploitée touchait également les procédures organisationnelles et les pratiques de sécurité des salariés des CAP EMPLOI, aspects relevant au moins partiellement de la responsabilité de ces organismes en tant qu’employeurs.
L’absence d’investigation sur ce point crée un déséquilibre dans l’appréciation globale des responsabilités et peut susciter un sentiment d’injustice : FRANCE TRAVAIL supporte seul les conséquences d’une sanction alors que la violation résulte d’une chaîne de vulnérabilités touchant à la fois ses mesures techniques et les pratiques organisationnelles d’acteurs qui lui sont extérieurs.
C. SUR L’ANALYSE DES MANQUEMENTS À L’OBLIGATION DE SÉCURITÉ : UNE RIGUEUR NÉCESSAIRE, UNE APPRÉCIATION DU CONTEXTE OPÉRATIONNEL PERFECTIBLE
1. LE RAPPEL OPPORTUN DU PRINCIPE DE DÉFENSE EN PROFONDEUR
La formation restreinte rappelle opportunément le principe de défense en profondeur tel qu’énoncé par l’ANSSI, selon lequel la sécurité d’un système d’information ne doit pas reposer « sur un élément mais sur un ensemble cohérent » — « toute faille de sécurité potentielle d’un composant logiciel doit être compensée par au moins un second niveau de sécurité » (ANSSI, Memento sur le concept de défense en profondeur appliquée aux systèmes d’information, version 1.1 du 19 juillet 2004). Elle affirme également, de manière salutaire, que « s’il n’apparait pas possible pour un responsable de traitement de se prémunir contre l’ensemble des attaques dites d’ingénierie sociale, cela ne saurait exonérer le responsable de traitement de ses obligations en vertu des articles 24-1 et 32 du RGPD ».
Ce rappel s’appuie sur l’enseignement de la CJUE dans l’arrêt Natsionalna agentsia za prihodite (14 décembre 2023, C/2024/1065, pt. 47), selon lequel « l’absence de violation de données à caractère personnel ne suffit pas à démontrer l’absence de manquement, pas plus que la survenance d’une violation de données ne suffit à caractériser en elle-même l’existence d’un manquement à l’article 32 du RGPD ». Des défauts de sécurité peuvent ainsi être sanctionnés en tant que tels, en raison du risque qu’ils font peser sur l’intégrité des données.
2. SUR LE SEUIL DE 50 TENTATIVES D’AUTHENTIFICATION INFRUCTUEUSES : RIGUEUR ET LIMITES
La formation restreinte constate qu’à la date de la violation, la politique de FRANCE TRAVAIL imposait des mots de passe d’une longueur minimum de 8 caractères, avec au minimum 3 types de caractères différents, et un renouvellement tous les 90 jours — correspondant au cas n° 2 de la recommandation CNIL n° 2022-100 du 21 juillet 2022, supposant un mécanisme complémentaire de restriction d’accès au compte, dont la recommandation plafonne le seuil de blocage à 10 tentatives infructueuses maximum. Or, FRANCE TRAVAIL avait fixé ce seuil à 50 tentatives, sans aucun mécanisme alternatif de restriction (captcha notamment).
La formation restreinte écarte l’argument de FRANCE TRAVAIL selon lequel les mesures complémentaires (prévention du password spraying, déblocage manuel) compenseraient ce défaut, relevant justement que la prévention du password spraying cible un risque distinct et que le déblocage manuel ne remédie pas au fait que « 50 tentatives peuvent être effectuées avant le blocage ». Elle note également que « le fait que l’ANSSI ne propose pas de seuil précis ne saurait conforter FRANCE TRAVAIL dans son choix d’un seuil fixé à 50 tentatives », d’autant que l’ANSSI souligne elle-même l’importance d’un mécanisme de « blocage temporaire des tentatives d’authentification pendant plusieurs secondes voire minutes » dans ses recommandations relatives à l’AMF et aux mots de passe.
Il demeure que cette vulnérabilité n’a pas été exploitée par les attaquants dans le cadre de la violation — les attaquants étant en possession des mots de passe eux-mêmes. La formation restreinte en est d’ailleurs consciente, mais rappelle à juste titre que l’existence d’un manquement est indépendante de son exploitation effective.
3. SUR L’ABSENCE D’AUTHENTIFICATION MULTIFACTEUR : UN MANQUEMENT CENTRAL ET CLAIREMENT CARACTÉRISÉ
La formation restreinte retient l’absence d’authentification multifacteur (AMF) comme le manquement le plus directement en lien avec la violation. Elle relève que les AIPD réalisées par FRANCE TRAVAIL avaient elles-mêmes identifié ce risque :
« La connexion sur la machine virtuelle pour les conseillers Cap emploi se fait par authentification simple (identifiant et mot de passe unique) : si un attaquant externe pirate le poste d’un conseiller Cap emploi il lui sera facile d’accéder aux données contenues dans la machine virtuelle (et donc sur le SI de Pôle emploi) [FRANCE TRAVAIL] »
Ces mêmes AIPD prévoyaient la mise en œuvre d’une solution d’authentification à deux facteurs pour 2023, ce que la CNIL accueillait favorablement dans son avis n° 2022-050 du 21 avril 2022. FRANCE TRAVAIL avait finalement repoussé le déploiement à avril 2024, invoquant des difficultés liées à la fourniture de terminaux par les CAP EMPLOI. La formation restreinte balaie cet argument : il « incombait à FRANCE TRAVAIL, en sa qualité de développeur et hébergeur de l’outil, d’apprécier la faisabilité de mise en œuvre de la solution choisie », la difficulté liée au téléphone comme second facteur « aurait pu être surmontée par d’autres mesures, par exemple par la distribution de calculettes OTP ». La formation restreinte appuie sa position sur la délibération n° 2025-019 du 20 mars 2025 relative à l’AMF — dont elle précise qu’elle « s’inscrit dans une doctrine antérieurement établie » dès 2021 (ANSSI) et 2022 (CNIL, délibération n° 2022-100) — ainsi que sur l’antécédent SAN-2018-011 dans lequel la CNIL avait « déjà estimé que la mise en place d’une mesure d’authentification multifactorielle aurait été de nature à empêcher une violation de données ».
Le choix opéré par FRANCE TRAVAIL, en dépit des alertes successives et des solutions alternatives disponibles, « a conduit à la compromission des données à caractère personnel de plus de 36,8 millions de personnes, y compris de données faisant l’objet d’une protection particulière comme le NIR ».
4. SUR LA JOURNALISATION : UN DISPOSITIF EXISTANT MAIS INEXPLOITÉ
La formation restreinte distingue avec précision entre la simple conservation des données de journalisation et leur exploitation active. Elle constate que FRANCE TRAVAIL disposait, au moment de la violation, d’un système de journalisation avec identifiant interne et horodatage des actions et d’un SOC (security operations center) surveillant le trafic, mais que ces dispositifs n’ont pas permis de détecter une activité présentant « de nombreuses caractéristiques suspectes » :
—-9 Go de données extraites le mardi 6 février 2024 seul, ce qui correspondrait à plus de 13 millions de fiches pour un seul conseiller en une seule journée ;
—-69 % de taux d’erreur sur un des comptes usurpés, correspondant probablement à une phase de test et de tentative de modification du code JavaScript ;
—-horaires et fréquence des requêtes hautement anormaux au regard des habitudes de travail des conseillers ;
—-volume considérable de données extraites (25 Go au total) ne correspondant en rien aux besoins opérationnels des conseillers.
La formation restreinte relève que « le dispositif mis en place par FRANCE TRAVAIL n’a pas permis de détecter les mesures de suivi des journaux d’activité de l’outil, en particulier en générant une alerte ». Cette circonstance est « aggravée par le fait que la Commission avait déjà alerté FRANCE TRAVAIL sur la nécessité de mettre en place un système d’analyse des traces dans sa délibération n° 2022-050 du 21 avril 2022 ».
L’argument de FRANCE TRAVAIL selon lequel son système d’information serait « extrêmement complexe » et rendrait l’analyse des journaux particulièrement difficile est justement retourné : « ce fait aurait justement dû conduire FRANCE TRAVAIL à mettre en place un système de journalisation à la hauteur de ce risque et surtout de s’assurer de son exploitation efficace ».
5. SUR LA GESTION DES HABILITATIONS : LE PRINCIPE DE MINIMISATION INSUFFISAMMENT RESPECTÉ
La formation restreinte constate que les employés CAP EMPLOI ont accès en consultation à toutes les données présentes dans la base (voir liste §13 de la délibération), pour l’ensemble des demandeurs d’emploi y compris ceux qui ne sont pas BOE, et que les conseillers peuvent « à leur seule initiative modifier le périmètre de la recherche sans limitation géographique ». En s’appuyant notamment sur la délibération SAN-2021-019 (« la gestion des habilitations à consulter ou à utiliser un système d’information doit tendre à limiter les accès aux seules données à caractère personnel dont un utilisateur a besoin »), la formation restreinte conclut que « le périmètre des données consultables — tant sur la nature des données que sur les zones géographiques — s’étend bien au-delà de ce qui est strictement nécessaire », ce que confirme d’ailleurs le fait que FRANCE TRAVAIL avait lui-même indiqué prévoir de revoir ses règles d’habilitation.
D. SUR LE QUANTUM DE LA SANCTION ET LA MOTIVATION FINANCIÈRE : UNE DÉCISION COHÉRENTE MAIS INSUFFISAMMENT TRANSPARENTE
L’analyse des critères de l’article 83, §2 du RGPD par la formation restreinte est descriptive et qualitative. Elle relève la gravité du manquement au regard du nombre de personnes concernées (plus de 36,8 millions), de la sensibilité des données (données de santé, données relatives au handicap, NIR), du caractère vulnérable de certaines personnes concernées, et de la négligence grave de FRANCE TRAVAIL qui avait été alerté des vulnérabilités dès les AIPD et par l’avis CNIL n° 2022-050 sans prendre les mesures nécessaires. La formation restreinte indique tenir compte « des spécificités de FRANCE TRAVAIL en sa qualité d’établissement public administratif » et de ses « capacités financières », mais ne fournit aucune indication précise sur la manière dont ces éléments ont été pondérés.
Cette absence de transparence méthodologique est problématique du point de vue de la sécurité juridique. Elle prive les responsables de traitement de la capacité d’anticiper le montant des amendes susceptibles d’être prononcées et ne permet pas de vérifier que la sanction est proportionnée. Si la jurisprudence du Conseil d’État n’impose pas à la CNIL de détailler une méthode de calcul arithmétique, elle n’exonère pas la formation restreinte d’une motivation permettant de comprendre l’articulation logique entre les critères retenus et le quantum prononcé.
E. SUR L’ARTICULATION AVEC LA RESPONSABILITÉ PÉNALE : UNE QUESTION IMPLICITE NON ABORDÉE
La délibération ne fait aucune mention d’une éventuelle transmission du dossier au Parquet conformément à l’article 40 du code de procédure pénale. Cette absence interroge au regard de la gravité exceptionnelle des faits : l’article 226-17 du code pénal sanctionne le fait de procéder à un traitement de données sans mettre en œuvre les mesures prescrites pour assurer leur sécurité. Certes, la négligence grave — par opposition à la violation délibérée — commise par FRANCE TRAVAIL, victime d’une attaque par ingénierie sociale, rend la qualification pénale délicate. Mais l’explicitation de ce choix dans la délibération aurait renforcé la transparence de la décision.
F. VERS UN DURCISSEMENT DE LA DOCTRINE CNIL EN MATIÈRE DE SÉCURITÉ DES DONNÉES DE SANTÉ : PORTÉE DE LA DÉCISION
1. L’AUTHENTIFICATION MULTIFACTEUR COMME QUASI-OBLIGATION POUR LES DONNÉES SENSIBLES
La délibération SAN-2026-003 consacre l’AMF comme un standard incontournable pour l’accès distant à des systèmes d’information traitant des données sensibles au sens de l’article 9 du RGPD. La formation restreinte s’inscrit dans une doctrine qu’elle qualifie « d’antérieurement établie », et dont la délibération n° 2025-019 du 20 mars 2025 constitue la formalisation la plus récente : l’AMF réduit « significativement la vraisemblance du risque d’accès non autorisés à des systèmes d’information, et a fortiori à des données à caractère personnel ». La décision invite les responsables de traitement à intégrer cette exigence dès la conception de leurs architectures (privacy by design) et à ne pas invoquer les contraintes de coordination avec des tiers pour s’exonérer.
2. LA JOURNALISATION ACTIVE COMME PRÉREQUIS DE LA DÉTECTION EN TEMPS RÉEL
La formation restreinte consacre l’exigence d’une journalisation active — non plus seulement passive — permettant une détection en continu et en temps réel des comportements anormaux, conformément aux recommandations CNIL n° 2021-122 et ANSSI de 2022. Disposer de logs sans les analyser effectivement ne constitue pas un niveau de sécurité approprié au sens de l’article 32 du RGPD.
3. CONTEXTUALISATION JURISPRUDENTIELLE
La décision SAN-2026-003 s’inscrit dans une ligne jurisprudentielle cohérente et progressive de la CNIL :
—-SAN-2018-009 (6 sept. 2018) : sanction pour politique de mot de passe insuffisamment robuste ;
—-SAN-2018-011 (19 déc. 2018) : l’AMF aurait permis d’empêcher une violation de données ;
—-SAN-2021-019 (29 oct. 2021) : absence de politique d’habilitation caractérise le manquement à l’art. 32 RGPD ;
—-SAN-2022-018 (8 sept. 2022) : stockage de mots de passe en clair ;
—-SAN-2022-020, SAN-2023-021, SAN-2023-023 : robustesse insuffisante des mots de passe ;
—-SANPS-2024-011 (31 janv. 2024) : utilisation d’un protocole TLS obsolète.
La délibération SAN-2026-003 marque toutefois un saut qualitatif par rapport à ces précédents : pour la première fois, la CNIL sanctionne un établissement public administratif pour un manquement à l’obligation de sécurité ayant donné lieu à une violation de données d’une ampleur sans précédent dans l’histoire des sanctions CNIL (36,8 millions de personnes concernées). Elle confirme que le principe de défense en profondeur de l’ANSSI s’impose aux responsables de traitement publics comme privés, que la responsabilité de service public ne constitue pas un facteur atténuant permettant de s’affranchir des obligations du RGPD, et que l’impossibilité de se prémunir contre les attaques par ingénierie sociale ne dispense pas de mettre en place les mesures techniques compensatoires permettant d’en limiter les conséquences.
DISPOSITIF DE LA DÉLIBÉRATION
La formation restreinte de la CNIL a, par sa délibération SAN-2026-003 du 22 janvier 2026 :
— prononcé à l’encontre de l’établissement public administratif FRANCE TRAVAIL une amende administrative ;
— prononcé une injonction de mettre ses traitements en conformité avec les dispositions de l’article 32 du RGPD, assortie d’une astreinte ;
— ordonné la publication de la présente délibération sur le site de la CNIL, en prévoyant qu’il ne sera plus possible d’identifier nommément l’organisme à l’expiration d’un délai de deux ans à compter de sa publication.
Last Updated on 07/05/2026 by Armand-Ari BETTAN & Dominique KARPISEK-BETTAN | FYTT AVOCATS PRIVACYANGELS