CNIL | SAN-2026-003 | 22 janvier 2026 | Affaire FRANCE TRAVAIL | SAN-2026-003-ESSENTIELS

1. Un traitement de données de santé à risque élevé, ouvert à 2 300 utilisateurs externes sans MFA

Le traitement en cause, institué par le décret n° 2022-1161 du 16 août 2022, repose sur une co-responsabilité entre FRANCE TRAVAIL et 98 structures CAP EMPLOI et porte sur des données de santé au sens de l’article 9 du RGPD — type et origine de handicap, limitations de capacités, besoins de compensation — ainsi que sur le NIR de plus de 36,8 millions de personnes. La formation restreinte souligne que « la combinaison potentielle de toutes ces données accroît les risques engendrés par la divulgation de chaque type de données pris séparément » (délibération SAN-2026-003, § relatif au contexte factuel). Or, environ 2 300 salariés CAP EMPLOI accédaient à l’applicatif métier de FRANCE TRAVAIL depuis un navigateur web, via une authentification simple identifiant-mot de passe, sans déploiement d’une authentification multifacteur, alors même que les AIPD de 2022 avaient identifié ce risque et planifié le déploiement de la MFA pour 2023. C’est précisément l’exploitation de cette architecture d’accès non sécurisée qui a permis une exfiltration massive de 25 Go de données par ingénierie sociale entre le 6 février et le 5 mars 2024.

2. La co-responsabilité ne dilue pas la responsabilité du développeur-hébergeur

La formation restreinte apporte une clarification de première importance sur le régime de responsabilité applicable dans un traitement conjoint : conformément à la jurisprudence CJUE (7 mars 2024, IAB Europe c. Gegevensbeschermingsautoriteit, C-604/22, point 58), « l’existence d’une responsabilité conjointe ne se traduit pas nécessairement par une responsabilité équivalente » — et c’est précisément FRANCE TRAVAIL qui, en tant que développeur et hébergeur du système, est qualifié de « principal responsable de la détermination des règles de sécurité applicables » (§ sur la responsabilité de France Travail). Cette qualification s’appuie sur l’analyse des documents contractuels par lesquels FRANCE TRAVAIL s’est lui-même engagé à « mettre en œuvre les mesures de sécurité technique pour les outils mis à disposition des salariés Cap emploi ». La formation restreinte retient ainsi que les difficultés de coordination avec les CAP EMPLOI — refus de la MFA logicielle, incapacité à fournir des équipements matériels — ne peuvent pas constituer une cause exonératoire dès lors qu’il incombait à FRANCE TRAVAIL « d’apprécier la faisabilité de mise en œuvre de la solution choisie, et de l’adapter en fonction des contraintes respectives », notamment en distribuant des calculettes OTP.

3. Quatre défaillances de sécurité retenues, dont deux directement liées à la violation

La formation restreinte retient quatre composantes distinctes du manquement à l’article 32 du RGPD. Premièrement, un seuil de blocage à 50 tentatives infructueuses, cinq fois supérieur au maximum de 10 préconisé par la recommandation CNIL n° 2022-100 du 21 juillet 2022, sans captcha ni temporisation compensatoire. Deuxièmement, l’absence de MFA pour les accès des conseillers CAP EMPLOI, mesure planifiée dès 2022 mais non déployée à la date de la violation. Troisièmement, une journalisation passive incapable de générer des alertes en temps réel malgré des anomalies flagrantes — dont « rien que le mardi 6 février 2024, 9 Go de données ont été extraites, ce qui correspondrait à plus de 13 millions de fiches pour un seul conseiller en une seule journée » (§ sur la journalisation). Quatrièmement, des habilitations excédant le besoin d’en connaître, les conseillers CAP EMPLOI pouvant accéder à la totalité de la base y compris sans limitation géographique et pour des personnes hors périmètre de leurs missions. Ces quatre manquements s’inscrivent tous dans le cadre du principe de « défense en profondeur » de l’ANSSI, qui exige qu’aucun composant ne constitue un point de défaillance unique.

4. L’AIPD comme preuve à double tranchant de la faute

La délibération SAN-2026-003 illustre de façon particulièrement nette la valeur probatoire — et le risque — des AIPD dans les procédures de sanction. Les AIPD réalisées par FRANCE TRAVAIL en 2022 avaient elles-mêmes identifié la vulnérabilité liée à l’absence de MFA en des termes particulièrement clairs : « si un attaquant externe pirate le poste d’un conseiller Cap emploi il lui sera facile d’accéder aux données contenues dans la machine virtuelle (et donc sur le SI de Pôle emploi) » (§ sur l’absence de MFA). Ces mêmes AIPD prévoyaient la mise en œuvre d’une solution d’authentification à deux facteurs pour 2023, et la CNIL l’avait expressément accueillie favorablement dans son avis n° 2022-050 du 21 avril 2022. La formation restreinte en tire une conséquence sévère : FRANCE TRAVAIL avait conscience du risque, s’était lui-même fixé un calendrier de remédiation, et ne l’a pas tenu. L’AIPD, instrument de conformité destiné à anticiper et réduire les risques, se retourne ainsi contre son auteur lorsque les mesures identifiées ne sont pas mises en œuvre dans les délais qu’il a lui-même arrêtés. Cette dynamique est encore renforcée par le fait que la CNIL avait « déjà alerté FRANCE TRAVAIL sur la nécessité de mettre en place un système d’analyse des traces » dès 2022.

5. La continuité du service public ne constitue pas une cause d’exonération aux obligations de l’article 32 RGPD

L’un des enseignements doctrinaux les plus significatifs de la délibération tient dans le rejet explicite de l’argument de continuité du service public comme motif d’exonération de l’obligation de sécurité. FRANCE TRAVAIL soutenait que « suspendre le traitement ou retarder l’adhésion des CAP EMPLOI tant que ces derniers ne justifiaient pas de conditions d’accès conformes à leurs engagements n’était pas envisageable » eu égard à la nécessité d’accompagnement des bénéficiaires de l’obligation d’emploi. La formation restreinte répond fermement que « France TRAVAIL aurait donc dû prendre davantage en considération ce risque réel lors de sa mise en balance avec la nécessité de continuité du service public et de l’accompagnement des demandeurs d’emploi » (§ sur l’absence de MFA). Cette affirmation, couplée à la mention dans le visa de la décision n° 2025-1154 QPC du 8 août 2025 du Conseil constitutionnel — dont la référence suggère que la validité constitutionnelle du régime de sanction des établissements publics a été confirmée — établit que les acteurs publics administratifs ne bénéficient d’aucune immunité ni d’aucune modulation de fond dans l’appréciation de leurs obligations de sécurité au titre du RGPD. La nature publique de l’entité, l’intérêt général de sa mission et les contraintes budgétaires qui en découlent peuvent tout au plus influer sur le quantum de la sanction — non sur la caractérisation du manquement.

POINTS ESSENTIELS