CNIL | SAN-2026-003 | 22 JANVIER 2026 | AFFAIRE FRANCE TRAVAIL |
ANALYSE CRITIQUE MANQUEMENTS FAQ CONSEILS
Par sa délibération SAN-2026-003 du 22 janvier 2026, la formation restreinte de la CNIL a sanctionné l’établissement public administratif FRANCE TRAVAIL pour manquement à l’obligation de sécurité prévue à l’article 32 du RGPD, en retenant trois sous-composantes distinctes d’un manquement unique mais pluridimensionnel : l’insuffisance des mécanismes d’authentification (seuil de blocage à 50 tentatives, absence d’authentification multifacteur pour les accès des 2 300 conseillers CAP EMPLOI), le défaut de journalisation active et de détection des comportements anormaux — un attaquant ayant exfiltré 25 gigaoctets de données sur 27 jours sans déclencher la moindre alerte —, et la gestion insuffisante des habilitations permettant un accès sans limitation géographique à la base de données complète des demandeurs d’emploi. La violation de données consécutive à une attaque par ingénierie sociale, menée du 6 février au 5 mars 2024 par usurpation de comptes de conseillers CAP EMPLOI, a compromis les données personnelles — dont le NIR et le statut de demandeur d’emploi — de 36 820 828 personnes, soit la plus grande violation de données personnelles jamais notifiée à la CNIL dans le secteur public français.
I. LE CADRE NORMATIF ET JURISPRUDENTIEL DE RÉFÉRENCE
A. L’ARCHITECTURE NORMATIVE DE L’OBLIGATION DE SÉCURITÉ
La délibération SAN-2026-003 repose exclusivement sur la violation de l’article 32 du RGPD, disposition qui définit l’obligation de sécurité du responsable de traitement. Aux termes de son §1 :
« Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque y compris entre autres, selon les besoins : a) la pseudonymisation et le chiffrement des données à caractère personnel ; b) des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ; c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ; d) une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement. »
L’article 32, §2, précise que « lors de l’évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l’altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou de l’accès non autorisé à de telles données, de manière accidentelle ou illicite ».
L’article 24, §1, du RGPD complète ce dispositif en imposant au responsable de traitement de « mettre en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement ». Ces deux dispositions forment un couple normatif indissociable : l’article 32 définit le standard de sécurité requis ; l’article 24 impose d’en apporter la démonstration documentée — la charge de la preuve pesant intégralement sur le responsable de traitement.
La formation restreinte rappelle à titre liminaire que la CJUE a estimé, dans son arrêt Natsionalna agentsia za prihodite (14 décembre 2023, C-340/21, point 47) :
« que l’absence de violation de données à caractère personnel ne suffit pas à démontrer l’absence de manquement, pas plus que la survenance d’une violation de données ne suffit à caractériser en elle-même l’existence d’un manquement à l’article 32 du RGPD. Des défauts de sécurité peuvent être sanctionnés en tant que tels en raison du risque qu’ils ont fait peser sur l’intégrité des données traitées. »
Elle rappelle également avoir régulièrement sanctionné des manquements à l’obligation de sécurité sans que ceux-ci soient nécessairement à l’origine d’une violation de données : politique de mot de passe insuffisamment robuste (SAN-2018-009 du 6 septembre 2018), stockage de mots de passe en clair (SAN-2022-018 du 8 septembre 2022), absence de politique d’habilitation (SAN-2021-019 du 29 octobre 2021), ou utilisation d’une version obsolète du protocole TLS (SANPS-2024-011 du 31 janvier 2024).
B. LE PRINCIPE DE DÉFENSE EN PROFONDEUR ÉRIGÉ EN STANDARD DE CONFORMITÉ RGPD
La formation restreinte consacre, dans la délibération SAN-2026-003, le principe de défense en profondeur issu de la doctrine de l’ANSSI comme standard de conformité exigible au titre de l’article 32 du RGPD. Elle cite expressément le Memento sur le concept de défense en profondeur appliquée aux systèmes d’information (version 1.1 du 19 juillet 2004) :
« Ne pas faire reposer la sécurité sur un élément mais sur un ensemble cohérent. Cela signifie donc qu’il ne doit en théorie pas exister de point sur lequel tout l’édifice repose », c’est-à-dire que toute faille de sécurité potentielle d’un composant logiciel doit être compensée par au moins un second niveau de sécurité.
Elle s’appuie également sur la note blanche ANSSI Système d’information hybride et sécurité : un retour à la réalité (10 août 2021), qui rappelle que « tout composant d’un système peut être défaillant ou compromis. Ce postulat, qui s’applique également aux fonctions de sécurité d’un SI, est confirmé régulièrement par l’actualité sur les vulnérabilités de nombreux produits et logiciels ». Cette consécration formelle et explicite du principe de défense en profondeur constitue l’apport doctrinal majeur de la délibération SAN-2026-003, consolidant la convergence normative entre le droit de la protection des données personnelles et les référentiels techniques de l’ANSSI, amorcée par la délibération SAN-2026-001 (FREE MOBILE, 8 janvier 2026).
L’application de ce principe au cas d’espèce conduit à une démonstration rigoureuse : l’absence d’authentification multifacteur (premier niveau de défense défaillant) aurait dû être compensée par un système robuste de journalisation active et de détection automatique des anomalies (second niveau de défense également absent). L’absence simultanée de ces deux niveaux de défense, cumulée à une politique d’habilitations trop étendue et à un seuil de blocage insuffisant, a créé l’environnement propice à une exfiltration massive de données pendant près de quatre semaines sans aucune détection.
II. LES QUATRE MANQUEMENTS RETENUS AU TITRE DE L’ARTICLE 32 DU RGPD
A. PREMIER MANQUEMENT — UN SEUIL DE BLOCAGE DES TENTATIVES D’AUTHENTIFICATION INEFFICACE
1. Constat de la délégation et position du rapporteur
Lorsque les traitements mis en œuvre entraînent la mise en place d’un mécanisme d’authentification par mots de passe, un mot de passe fort est recommandé tant par l’ANSSI que par la CNIL dans sa délibération n° 2022-100 du 21 juillet 2022 portant adoption d’une recommandation relative aux mots de passe et autres secrets partagés.
Cette recommandation prévoit que pour assurer un niveau de sécurité et de confidentialité suffisant, dans l’hypothèse où l’authentification repose uniquement sur un identifiant et un mot de passe, ce dernier doit soit être composé d’au minimum 12 caractères comprenant des majuscules, des minuscules, des chiffres et des caractères spéciaux ; soit être d’au minimum 14 caractères comprenant des majuscules, des minuscules et des chiffres. Elle préconise par ailleurs un seuil maximal de blocage de 10 tentatives infructueuses. L’ANSSI souligne elle-même l’importance d’un mécanisme de blocage temporaire après un certain nombre d’essais infructueux, dont l’efficience « dépend du nombre de tentatives infructueuses de connexion retenu déclenchant le blocage, un seuil trop élevé pouvant le priver de tout effet utile ».
La politique mise en œuvre par FRANCE TRAVAIL imposait des mots de passe d’une longueur minimum de 8 caractères avec au minimum 3 types de caractères différents, assortie d’un verrouillage du compte après 50 tentatives infructueuses. La formation restreinte constate que ce seuil « accroît d’autant le risque qu’une de ses tentatives lui donne accès au compte » et était « bien trop élevé pour pouvoir constituer une mesure de protection efficace ».
2. Arguments de défense de FRANCE TRAVAIL et leur rejet
FRANCE TRAVAIL a fait valoir l’absence de position commune des autorités compétentes en sécurité informatique sur le seuil à retenir. La formation restreinte a réfuté cet argument en relevant que la recommandation CNIL n° 2022-100 et les préconisations de l’ANSSI formaient ensemble un référentiel suffisamment clair pour orienter les responsables de traitement, et que si cette recommandation « n’a certes pas de caractère impératif », elle « fournit un éclairage pertinent sur les mesures qu’il convient de prendre en matière de sécurité ». Le manquement est ici caractérisé par l’écart manifeste entre le seuil recommandé (10 tentatives) et le seuil appliqué (50 tentatives), sans que FRANCE TRAVAIL ne démontre l’existence de circonstances justifiant cet écart.
Ce manquement est autonome au regard de la violation de données : la formation restreinte ne retient pas qu’il a contribué directement à l’attaque par ingénierie sociale, mais elle le caractérise comme une défaillance structurelle de la politique de sécurité, sanctionnable en tant que telle.
B. DEUXIÈME MANQUEMENT — L’ABSENCE D’AUTHENTIFICATION MULTIFACTEUR
1. Le constat : une vulnérabilité identifiée, non corrigée
La formation restreinte relève que FRANCE TRAVAIL n’avait pas déployé d’authentification multifacteur (MFA) pour l’accès aux comptes utilisateurs des conseillers CAP EMPLOI. Elle ancre ce grief dans la délibération n° 2025-019 du 20 mars 2025 de la CNIL portant recommandation relative à l’authentification multifacteur, qui :
« préconise de recourir à l’authentification multifacteur pour les traitements de données sensibles au sens de l’article 9 du RGPD, et les traitements ou les opérations à risque pour les personnes concernées, car une telle authentification réduit significativement la vraisemblance du risque d’accès non autorisés à des systèmes d’information, et a fortiori à des données à caractère personnel. »
La formation restreinte relève également que « c’est précisément l’exploitation de cette vulnérabilité qui a pu conduire — ou du moins n’a pas empêché — la violation de données par usurpation des comptes des conseillers CAP EMPLOI ». Elle établit une démonstration technique concrète :
« une authentification reposant sur une application mobile dédiée, par exemple, aurait impliqué que les attaquants volent le téléphone, parviennent à le déverrouiller, puis connaissent et saisissent le code au sein de l’application permettant de générer un code à usage unique (OTP), rendant cette attaque extrêmement difficile. »
La circonstance aggravante déterminante réside dans le fait que les AIPD réalisées en 2022 — préalablement à la mise en œuvre du traitement — avaient expressément identifié ce risque :
« si un attaquant externe pirate le poste d’un conseiller Cap emploi, il lui sera facile d’accéder aux données contenues dans la machine virtuelle et donc sur le SI de Pôle emploi / FRANCE TRAVAIL »
et préconisé la mise en œuvre d’une solution d’authentification à deux facteurs pour 2023, engagement « accueilli favorablement par la CNIL dans son avis n° 2022-050 du 21 avril 2022 ». La violation de données est survenue en février-mars 2024, soit plus d’un an après l’échéance initialement fixée pour le déploiement de la MFA, sans que celui-ci ait été effectué.
2. Arguments de défense de FRANCE TRAVAIL et leur rejet
(a) L’argument tiré du partage de responsabilité avec les CAP EMPLOI
FRANCE TRAVAIL a soutenu que la mise en œuvre de la MFA impliquait la coopération des CAP EMPLOI, qui « ont refusé d’acquérir les équipements nécessaires ». La formation restreinte a fermement écarté cet argument :
« Il incombait à FRANCE TRAVAIL, en sa qualité de développeur et hébergeur de l’outil qu’il ouvre aux CAP EMPLOI, d’apprécier la faisabilité de mise en œuvre de la solution choisie, et de l’adapter en fonction des contraintes respectives. »
Elle ajoute que « la difficulté du recours à un téléphone comme second facteur, évoquée par FRANCE TRAVAIL du fait d’un accès aux postes de travail parfois dans des espaces non connectés, aurait pu être surmontée par d’autres mesures, par exemple par la distribution de calculettes OTP aux employés des CAP EMPLOI ». Ainsi, les contraintes de coordination avec les co-responsables ne dispensent pas FRANCE TRAVAIL de son obligation de déployer la MFA ou une mesure alternative équivalente.
(b) L’argument tiré de la sophistication de l’attaque par ingénierie sociale
FRANCE TRAVAIL a également soutenu que l’attaque par ingénierie sociale était « d’une nature telle qu’une authentification multifacteur n’aurait pas permis de déjouer » cette attaque particulière. La formation restreinte a rejeté cet argument en rappelant « s’il n’apparaît pas possible pour un responsable de traitement de se prémunir contre l’ensemble des attaques dites d’ingénierie sociale, c’est-à-dire qui exploitent la psychologie humaine, cela ne saurait exonérer le responsable de traitement de ses obligations » et en démontrant que la MFA aurait rendu l’attaque « extrêmement difficile », même si elle ne l’aurait pas rendue impossible dans l’absolu.
(c) L’argument tiré de la nécessité de continuité du service public
FRANCE TRAVAIL a invoqué la nécessité de continuité du service public pour justifier le report du déploiement de la MFA. La formation restreinte l’a écarté en affirmant que « le risque lié à l’absence d’authentification multifacteur n’était pas seulement théorique » et que « FRANCE TRAVAIL aurait donc dû prendre davantage en considération ce risque réel lors de sa mise en balance avec la nécessité de continuité du service public ». Elle relève à cet égard que le risque identifié dans les AIPD de 2022 « ne pouvait pas être ignoré ou traité comme secondaire » par l’organisme.
TROISIÈME MANQUEMENT — L’ABSENCE DE CONTRÔLE EFFICACE DES JOURNAUX D’ACTIVITÉ
1. Le constat : une intrusion de 28 jours sans détection
La formation restreinte relève que malgré l’existence d’un SOC (Security Operations Center), le dispositif de journalisation mis en place par FRANCE TRAVAIL n’a pas permis de détecter l’activité anormale de l’attaquant pendant la durée intégrale de l’attaque, qui s’est étendue du 6 février au 5 mars 2024, soit 28 jours.
Elle constate que les opérations réalisées présentaient un « caractère hautement anormal » au regard :
« des horaires et de la fréquence des requêtes, du volume considérable de données extraites (25 Go de données de type texte), du taux d’erreur de certaines requêtes (69 % sur un des comptes usurpés), et du fait même que les données ont été extraites alors que l’activité des conseillers CAP EMPLOI ne nécessite ni une consommation importante de ressources, ni une extraction importante de données. »
La formation restreinte illustre l’ampleur de l’anomalie non détectée en des termes particulièrement saisissants :
« rien que le mardi 6 février 2024, 9 Go de données ont été extraites, ce qui correspondrait à plus de 13 millions de fiches pour un seul conseiller en une seule journée. »
L’activité anormale n’a été « détectée » — au sens technique — que le 29 février 2024 sur le système de mesure de performances du SI, et encore n’a-t-elle été « prise en compte » que le 4 mars 2024 en fin de journée, les investigations n’ayant débuté que le 5 mars 2024. Ce délai de 5 jours entre la première détection technique et la prise en charge opérationnelle constitue en lui-même une défaillance supplémentaire que la formation restreinte intègre dans son appréciation globale.
Cette circonstance est aggravée par le fait que la CNIL « avait déjà alerté FRANCE TRAVAIL sur la nécessité de mettre en place un système d’analyse des traces dans sa délibération n° 2022-050 du 21 avril 2022 ». La formation restreinte rappelle à cet égard :
« La simple collecte des données de journalisation ne suffit pas à sécuriser un système d’information. Le dispositif de journalisation est efficace uniquement si une entité est en mesure de traiter les informations enregistrées dans les journaux afin d’être capable, le cas échéant, de détecter rapidement un comportement suspect. »
2. Le fondement normatif : article 32-1-d du RGPD et référentiels ANSSI
La formation restreinte ancre ce grief dans l’article 32, §1, d) du RGPD, qui impose expressément « une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement ». Elle s’appuie également sur la recommandation CNIL n° 2021-122 du 14 octobre 2021 relative à la journalisation, qui préconise de « mettre en œuvre un système de traitement et d’analyse des données collectées et de formaliser un processus permettant de générer des alertes », ainsi que sur les recommandations de sécurité pour l’architecture d’un système de journalisation de l’ANSSI (28 janvier 2022), qui soulignent que « l’analyse continue des journaux d’événements permet de repérer des activités inhabituelles », et sur les lignes directrices 09/2022 du CEPD qui indiquent que « la capacité de détecter une violation, d’y remédier et de la communiquer dans les meilleurs délais devrait être considérée comme un élément essentiel ».
3. Arguments de défense de FRANCE TRAVAIL et leur rejet
FRANCE TRAVAIL a invoqué la complexité de son système d’information pour justifier la difficulté de distinguer le trafic légitime du trafic illégitime. La formation restreinte a écarté cet argument par un raisonnement d’une logique implacable :
« le fait que son système d’information soit extrêmement complexe et fasse régulièrement l’objet d’attaques aurait justement dû conduire FRANCE TRAVAIL à mettre en place un système de journalisation à la hauteur de ce risque. »
Loin de constituer un facteur atténuant, la complexité du système d’information et la fréquence des attaques subies par FRANCE TRAVAIL sont retenues comme des facteurs aggravants de l’obligation de sécurité. Plus le profil de risque est élevé, plus les mesures de détection doivent être robustes et adaptées.
QUATRIÈME MANQUEMENT — UNE POLITIQUE D’HABILITATIONS TROP ÉTENDUE
1. Le constat : un périmètre d’accès dépassant les besoins métiers réels
La formation restreinte constate que le périmètre des données consultables par les conseillers CAP EMPLOI « s’étend bien au-delà de ce qui est strictement nécessaire pour l’exercice des missions des employés CAP EMPLOI ». En particulier, elle relève « qu’il n’apparaît pas indispensable que ces conseillers aient ainsi accès à autant de données, pour tous les demandeurs d’emploi et pour un périmètre géographique aussi large » dans la mesure où les conseillers CAP EMPLOI « n’ont accès qu’aux dossiers complets des personnes effectivement accompagnées ».
Elle établit un lien direct entre cette politique d’habilitations excessive et l’ampleur de la violation : si les accès avaient été limités aux personnes effectivement accompagnées dans leur zone géographique, « l’ampleur de la violation aurait été significativement moindre ». Ce lien de causalité, attesté par des éléments de fait, distingue ce quatrième manquement d’une simple défaillance formelle pour en faire une contribution concrète au préjudice subi par les personnes concernées.
La formation restreinte appuie ce grief sur la jurisprudence CNIL établie dans la délibération SAN-2021-019 du 29 octobre 2021, aux termes de laquelle « la gestion des habilitations à consulter ou utiliser un système d’information doit tendre à limiter les accès aux seules données à caractère personnel dont un utilisateur a besoin pour l’accomplissement de ses missions ».
2. Arguments de défense de FRANCE TRAVAIL et leur rejet
FRANCE TRAVAIL a soutenu que la politique d’habilitations était justifiée par les nécessités du service : les conseillers CAP EMPLOI doivent pouvoir accompagner des personnes ayant changé de région ou ayant des dossiers consultés par plusieurs conseillers. La formation restreinte a partiellement pris en compte ces contraintes opérationnelles, mais elle les a jugées insuffisantes pour justifier un accès sans limitation géographique à la totalité de la base de données de FRANCE TRAVAIL. Elle relève que FRANCE TRAVAIL « prévoit lui-même de revoir ses règles d’habilitations » — ce qui démontre a contrario que la restriction était techniquement possible — « sans que cela ne semble lui entraver le suivi des bénéficiaires ».
III. LA DÉTERMINATION DE LA SANCTION
A. LE PROFIL DE RISQUE EXCEPTIONNEL DU TRAITEMENT
La formation restreinte souligne la gravité exceptionnelle du manquement, qui tient à la conjonction de plusieurs facteurs aggravants. En premier lieu, le nombre de personnes concernées : 36 820 828 personnes, soit un volume parmi les plus importants jamais constatés en Europe dans le cadre d’une procédure de sanction CNIL. En deuxième lieu, la sensibilité particulière des données : le traitement comporte « de nombreuses données à caractère personnel » incluant notamment des données de santé (type et origine du handicap, limitations de capacités en milieu professionnel, besoins liés au rétablissement de la personne) pouvant « constituer des données de santé en soi ou par croisement », ainsi que le NIR dont « la nature signifiante, unique et pérenne » démultiplie les risques d’usurpation et d’interconnexion. La formation restreinte souligne que « la combinaison potentielle de toutes ces données accroît les risques engendrés par la divulgation de chaque type de données pris séparément ».
En troisième lieu, la vulnérabilité particulière des personnes concernées : demandeurs d’emploi en situation de handicap, personnes bénéficiaires de l’obligation d’emploi, personnes inscrites sur la liste des demandeurs d’emploi au cours des vingt dernières années, sans oublier les personnes n’ayant pas accès à internet qui « n’ont pas la possibilité de ne pas avoir recours à FRANCE TRAVAIL dans le cadre de leur recherche d’emploi ». En quatrième lieu, la négligence grave caractérisée par le triple cumul : les AIPD de 2022 avaient identifié les risques et préconisé les mesures correctives (MFA) ; la CNIL avait elle-même alerté FRANCE TRAVAIL en 2022 sur la nécessité d’un système d’analyse des traces ; et ces alertes répétées n’ont pas été suivies d’effet au jour de la violation.
B. LES CIRCONSTANCES ATTÉNUANTES
La formation restreinte prend toutefois en compte plusieurs circonstances atténuantes. Elle note que FRANCE TRAVAIL « a mis en œuvre rapidement des mesures de remédiation » et n’a pas fait l’objet de sanction antérieure. Elle tient compte des « spécificités de FRANCE TRAVAIL en sa qualité d’établissement public administratif », dont le budget n’est financé « qu’à hauteur d’un tiers par l’État », les ressources restantes provenant des cotisations sociales. Elle prend également en considération la « difficulté relative à la mise en œuvre de la MFA » tenant à la configuration du traitement conjoint avec les 98 structures CAP EMPLOI, ainsi que les « mesures de mise en conformité déjà prises ou en cours de déploiement » au jour de la séance.
LA SANCTION PRONONCÉE ET SES MODALITÉS
La formation restreinte prononce une amende administrative de cinq millions d’euros (5 000 000 €) au titre du manquement à l’article 32 du RGPD. Ce montant représente 50 % du plafond légal prévu à l’article 83, §4, du RGPD pour les entités non-entreprises (10 millions d’euros), la formation restreinte ayant refusé d’appliquer la notion d’unité économique permettant de prendre en compte le chiffre d’affaires consolidé du groupe — contrairement à la délibération SAN-2026-001 (FREE MOBILE) où cette notion avait été utilisée pour prendre en compte le CA du groupe ILIAD.
L’injonction assortie d’une astreinte de 5 000 euros par jour de retard porte sur quatre points :
1. sagissant de la robustesse des mots de passe, justifier de la mise en conformité par la mise en œuvre d’une politique de mots de passe prévoyant des mécanismes de restriction d’accès au compte ;
2. sagissant des modalités d’authentification aux comptes utilisateurs des conseillers CAP EMPLOI, justifier de la mise en conformité par la mise en œuvre d’une authentification multifacteur ;
3. sagissant du suivi des journaux d’activité de l’outil MAP, justifier de la mise en conformité par les nouvelles mesures mises en place ;
4. sagissant de la gestion des habilitations d’accès aux données à caractère personnel, justifier de la mise en conformité par les restrictions d’accès aux données.
Le délai est d’un mois pour les mesures déjà mises en œuvre par FRANCE TRAVAIL, et de six mois pour les autres.
IV. DISPOSITIF DE LA DÉLIBÉRATION
PAR CES MOTIFS,
La formation restreinte de la CNIL, après en avoir délibéré :
— prononce à l’encontre de FRANCE TRAVAIL une amende administrative d’un montant de cinq millions d’euros (5 000 000) au regard du manquement constitué à l’article 32 du RGPD ;
— prononce à l’encontre de FRANCE TRAVAIL une injonction de justifier de la mise en œuvre des mesures de mise en conformité à l’article 32 du RGPD :
1. s’agissant de la robustesse des mots de passe, justifier de la mise en conformité par la mise en œuvre d’une politique de mots de passe prévoyant des mécanismes de restriction d’accès au compte ;
2. s’agissant des modalités d’authentification aux comptes utilisateurs des conseillers CAP EMPLOI, justifier de la mise en conformité par la mise en œuvre d’une authentification multifacteur ;
3. s’agissant du suivi des journaux d’activité de l’outil MAP, justifier de la mise en conformité par les nouvelles mesures mises en place ;
4. s’agissant de la gestion des habilitations d’accès aux données à caractère personnel, justifier de la mise en conformité par les restrictions d’accès aux données.
— assortit l’injonction d’une astreinte de cinq mille euros (5 000) par jour de retard à l’issue d’un délai (i) d’un mois suivant la notification de la présente délibération, pour les mesures indiquées comme déjà mises en œuvre par FRANCE TRAVAIL (ii) les justificatifs de la mise en conformité devant être adressés à la formation restreinte dans ce délai ;
— décide de rendre publique, sur le site de la CNIL et sur le site de Légifrance, sa délibération, qui n’identifiera plus nommément FRANCE TRAVAIL à l’expiration d’un délai de deux ans à compter de sa publication.
V. CONTEXTUALISATION
A. CNIL
La délibération SAN-2026-003 s’inscrit dans une doctrine jurisprudentielle progressive de la CNIL en matière d’obligation de sécurité, dont les jalons les plus significatifs permettent d’apprécier l’évolution du standard attendu.
La délibération SAN-2018-011 du 19 décembre 2018 avait déjà retenu que la MFA « aurait été de nature à empêcher une violation de données », posant ainsi les bases du raisonnement causal ultérieurement développé. La délibération SAN-2021-019 du 29 octobre 2021 avait consacré l’obligation de gestion des habilitations en soulignant « que les accès doivent être limités aux seules données dont un utilisateur a besoin pour l’accomplissement de ses missions ». La délibération SAN-2022-018 du 8 septembre 2022 avait sanctionné le stockage de mots de passe en clair comme violation autonome de l’article 32, indépendamment de tout incident.
La délibération SAN-2026-001 (FREE MOBILE, 8 janvier 2026) constitue l’antécédent jurisprudentiel le plus direct de la délibération FRANCE TRAVAIL : elle avait sanctionné, sur le même fondement, l’absence de MFA sur un VPN et l’absence de journalisation active, en consacrant le principe de défense en profondeur issu des recommandations ANSSI. La délibération SAN-2026-003 confirme et approfondit cette doctrine en l’appliquant pour la première fois à un établissement public administratif, en présence d’une co-responsabilité de traitement, et en y ajoutant deux griefs spécifiques — le seuil de blocage excessif et la politique d’habilitations trop étendue — qui enrichissent le référentiel jurisprudentiel applicable à l’obligation de sécurité.
B. IMPLICATIONS
Le cumul de quatre manquements distincts au titre du seul article 32 du RGPD démontre que la formation restreinte appréhende désormais l’obligation de sécurité de manière systémique et multidimensionnelle, appréciant non pas l’existence de chaque mesure de sécurité prise isolément, mais la cohérence et l’efficacité d’ensemble du dispositif de sécurité. Cette approche est conforme au principe de défense en profondeur : l’absence de l’un des niveaux de défense ne peut être compensée que par le renforcement d’autres niveaux ; l’absence simultanée de plusieurs niveaux caractérise une défaillance systémique dont la formation restreinte tire toutes les conséquences.
La transposition de la notion d’accountability à la mise en œuvre des AIPD — dont les mesures préconisées sont désormais regardées comme des engagements opposables, leur non-respect dans les délais fixés constituant une circonstance aggravante — dessine le contour d’une responsabilité documentaire renforcée que tout responsable de traitement doit intégrer dans sa gouvernance des risques. L’AIPD n’est plus un exercice prospectif facultatif : elle est un instrument de gestion des risques dont les conclusions lient le responsable de traitement dans sa mise en œuvre.
Last Updated on 07/05/2026 by Armand-Ari BETTAN & Dominique KARPISEK-BETTAN | FYTT AVOCATS PRIVACYANGELS