CNIL | SAN-2026-003 | 22 janvier 2026 | Affaire FRANCE TRAVAIL | SAN-2026-003-SHORT

Un traitement de données de santé à grande échelle ouvert à des co-responsables externes

L’affaire FRANCE TRAVAIL s’inscrit dans le cadre d’un traitement conjoint institué par le décret n° 2022-1161 du 16 août 2022, qui a autorisé l’intégration au sein du système d’information de FRANCE TRAVAIL de données relatives à l’accompagnement des demandeurs d’emploi en situation de handicap. Ce traitement est co-responsable entre FRANCE TRAVAIL et les 98 organismes CAP EMPLOI représentés par le CHEOPS, conformément à l’article D. 5312-51 du code du travail. Environ 2 300 salariés CAP EMPLOI accèdent à distance à l’applicatif métier de FRANCE TRAVAIL depuis un navigateur web. Le traitement comporte des données de catégorie particulière au sens de l’article 9 du RGPD (type de handicap, limitations de capacités, données de santé par croisement) ainsi que le NIR, donnée faisant l’objet d’une protection spéciale en raison de sa nature « signifiante, unique et pérenne ».

Une attaque par ingénierie sociale conduite entre le 6 février et le 5 mars 2024 a permis l’exfiltration de 25 gigaoctets de données concernant 36 820 828 personnes vers des plateformes d’hébergement externes. La CNIL a engagé une procédure de contrôle puis de sanction, conduisant à la délibération du 22 janvier 2026 de la formation restreinte retenant un manquement unique à l’article 32 du RGPD articulé en quatre griefs distincts.

---

---

II.

 

Cadre de l’obligation et rejet de l’exonération par co-responsabilité

Avant d’examiner les manquements techniques, la formation restreinte tranche la question de la responsabilité imputable à FRANCE TRAVAIL dans le cadre de la co-responsabilité avec les CAP EMPLOI. Elle rappelle que, conformément à la jurisprudence CJUE (7 mars 2024, IAB Europe c. Gegevensbeschermingsautoriteit, C-604/22, point 58) et aux lignes directrices 07/2020 du CEPD, « l’existence d’une responsabilité conjointe ne se traduit pas nécessairement par une responsabilité équivalente ». Après analyse des documents contractuels — convention de co-responsabilité, demandes d’adhésion des CAP EMPLOI, AIPD — elle retient que FRANCE TRAVAIL s’est lui-même engagé à « mettre en œuvre les mesures de sécurité technique pour les outils mis à disposition des salariés Cap emploi » et que les AIPD précisent que ce sont « les règles du corpus documentaire de la politique de sécurité des systèmes d’information de FRANCE TRAVAIL » qui s’appliquent. En sa qualité de développeur et hébergeur du système, FRANCE TRAVAIL est qualifié de « principal responsable de la détermination des règles de sécurité applicables ».

L’article 32, §1 du RGPD impose des mesures « appropriées afin de garantir un niveau de sécurité adapté au risque », compte tenu de « l’état des connaissances, des coûts de mise en œuvre » et des risques d’accès non autorisé. La formation restreinte rappelle (CJUE, 14 décembre 2023, Natsionalna agentsia za prihodite, C/2024/1065, point 47) que l’absence de violation ne suffit pas à établir l’absence de manquement, et mobilise le principe de « défense en profondeur » de l’ANSSI (Memento v1.1, 19 juillet 2004) pour affirmer que chaque vulnérabilité d’un composant doit être compensée par un second niveau de sécurité.

---

---

III.

 

Premier manquement — Seuil de blocage excessif (politique de mots de passe)

Cadre normatif. La recommandation CNIL n° 2022-100 du 21 juillet 2022 relative aux mots de passe prévoit que lorsque l’authentification repose sur un mot de passe d’au moins 8 caractères composé de 3 catégories (cas n° 2), une mesure complémentaire de restriction est obligatoire : captcha, temporisation d’accès, ou blocage du compte après au maximum 10 tentatives infructueuses. L’ANSSI recommande également un mécanisme de blocage temporaire progressif (linéaire ou exponentiel) après un nombre limité d’essais infructueux.

Démonstration factuelle. À la date de la violation, la politique de FRANCE TRAVAIL fixait le seuil de blocage à 50 tentatives infructueuses depuis internet, seuil cinq fois supérieur au maximum recommandé. Aucun captcha ni aucune temporisation n’avaient été déployés pour compenser ce défaut. Les constatations de la délégation de contrôle (procès-verbal n° 2024-051/1 du 21 mars 2024) ont établi ces éléments de façon incontestable.

Moyens de défense et rejet. FRANCE TRAVAIL soutenait : (i) la conformité de ce seuil « en l’absence d’une position commune des autorités compétentes » ; (ii) la compensation par des mesures telles que la prévention du password spraying et le déblocage manuel ; (iii) l’inefficacité de toute politique de mots de passe en l’espèce, les attaquants étant déjà en possession des mots de passe. La formation restreinte écarte chacun de ces arguments : la prévention du password spraying ne compense pas un seuil de blocage défaillant car elle vise la robustesse et non la restriction d’accès ; le déblocage manuel est sans effet sur la fenêtre des 50 tentatives autorisées ; enfin, l’inexploitation de cette vulnérabilité lors de la violation ne l’exonère pas de l’obligation de la corriger, qui subsiste indépendamment de la survenance d’un incident.

---

---

IV.

 

Deuxième manquement — Absence d’authentification multifacteur

Cadre normatif. La CNIL, dans sa délibération n° 2022-100 précitée, affirme avoir « notamment toujours considéré que d’autres moyens d’authentification, comme par exemple l’authentification à double facteur ou les certificats électroniques, offrent davantage de sécurité que le seul mot de passe ». La délibération n° 2025-019 du 20 mars 2025 formalise cette doctrine en préconisant le recours à la MFA pour « les traitements de données sensibles, au sens de l’article 9 du RGPD » car elle réduit « significativement la vraisemblance du risque d’accès non autorisés ». Cette doctrine est antérieure à la violation : elle figurait dans les recommandations ANSSI de 2021, dans la recommandation CNIL de 2022 et dans le guide CNIL sur la sécurité des données personnelles de 2024. La formation restreinte avait par ailleurs déjà retenu qu’une MFA aurait été de nature à empêcher une violation (SAN-2018-011 du 19 décembre 2018).

Démonstration factuelle. Les AIPD de 2022 avaient expressément identifié le risque : « la connexion sur la machine virtuelle pour les conseillers Cap emploi se fait par authentification simple (identifiant et mot de passe unique) : si un attaquant externe pirate le poste d’un conseiller Cap emploi il lui sera facile d’accéder aux données ». Ces mêmes AIPD prévoyaient le déploiement d’une authentification à deux facteurs pour 2023, ce que la CNIL accueillait favorablement dans son avis n° 2022-050. Cette mesure a été repoussée à avril 2024 — soit postérieurement à la violation survenue en février 2024. La formation restreinte constate que « c’est précisément l’exploitation de cette vulnérabilité qui a pu conduire — ou du moins n’a pas empêché — la violation de données ».

Moyens de défense et rejet. FRANCE TRAVAIL a développé trois arguments : (i) les CAP EMPLOI étaient contractuellement responsables de la partie matérielle (téléphones portables) et avaient refusé la solution alternative logicielle ; (ii) la continuité du service public rendait impossible la suspension du traitement ; (iii) la MFA aurait été inefficace contre une attaque par ingénierie sociale. La formation restreinte rejette l’ensemble. Sur le premier point : les difficultés de coordination avec les CAP EMPLOI « auraient pu être surmontées par d’autres mesures, par exemple par la distribution de calculettes OTP » ; « il incombait à FRANCE TRAVAIL d’apprécier la faisabilité de mise en œuvre de la solution choisie, et de l’adapter en fonction des contraintes respectives ». Sur le deuxième : « France TRAVAIL aurait donc dû prendre davantage en considération ce risque réel lors de sa mise en balance avec la nécessité de continuité du service public ». Sur le troisième : une MFA aurait impliqué que les attaquants « volent le téléphone, parviennent à le déverrouiller, puis à connaître et saisir le code », rendant l’attaque « extrêmement difficile ».

---

---

V.

 

Troisième manquement — Défaillance de la journalisation active

Cadre normatif. La recommandation CNIL n° 2021-122 du 14 octobre 2021 relative à la journalisation prescrit de « mettre en œuvre un système de traitement et d’analyse des données collectées et de formaliser un processus permettant de générer des alertes et de les traiter en cas de suspicion de comportement anormal ». L’ANSSI (Recommandations de sécurité pour l’architecture d’un système de journalisation, 28 janvier 2022) rappelle que « l’analyse continue des journaux d’évènements permet de repérer des activités inhabituelles » et que la journalisation est « le prérequis indispensable à la mise en œuvre d’une capacité de détection, d’analyse et de réponse aux incidents ». Le CEPD (lignes directrices 9/2022) qualifie la « capacité de détecter une violation » d’« élément essentiel ».

Démonstration factuelle. FRANCE TRAVAIL disposait d’un système de journalisation avec identifiant interne technique et horodatage, conservant les données pendant un an, ainsi que d’un SOC. Pourtant, l’activité des comptes usurpés présentait des anomalies flagrantes que le système n’a pas détectées : volume considérable de données extraites (25 Go, dont 9 Go en une seule journée — « ce qui correspondrait à plus de 13 millions de fiches pour un seul conseiller en une seule journée ») ; taux d’erreur de 69 % sur l’un des comptes usurpés ; horaires et fréquence des requêtes anormaux. La formation restreinte retient de surcroît une circonstance aggravante : « la Commission avait déjà alerté FRANCE TRAVAIL sur la nécessité de mettre en place un système d’analyse des traces dans sa délibération n° 2022-050 du 21 avril 2022 ».

Moyens de défense et rejet. FRANCE TRAVAIL soutenait que le rapporteur « sous-estime la difficulté d’analyser les journaux d’un système d’information aussi complexe », que le biais de l’analyse a posteriori rendait l’appréciation inéquitable, et qu’il « aurait été très difficile de détecter un trafic illégitime alors même que l’attaque s’est déroulée via des comptes légitimes ». La formation restreinte répond que la simple collecte des logs ne suffit pas et que la journalisation doit être « active », c’est-à-dire permettre une « détection en continu et en temps réel des opérations anormales ». Elle ajoute que « le fait que son système d’information soit extrêmement complexe et fasse régulièrement l’objet d’attaques aurait justement dû conduire FRANCE TRAVAIL à mettre en place un système de journalisation à la hauteur de ce risque ».

---

---

VI.

 

Quatrième manquement — Habilitations excédant le besoin d’en connaître

Cadre normatif. L’article 32 du RGPD, lu au regard du principe de confidentialité, impose de n’accorder l’accès aux données personnelles qu’aux seules personnes ayant besoin d’en connaître pour l’accomplissement de leurs missions. La formation restreinte rappelle sa jurisprudence constante selon laquelle « la gestion des habilitations à consulter ou à utiliser un système d’information doit tendre à limiter les accès aux seules données à caractère personnel dont un utilisateur a besoin pour l’accomplissement de ses missions » (SAN-2021-019, 29 octobre 2021). La finesse requise s’apprécie au regard de la quantité et de la nature des données, de l’imbrication des finalités et des moyens techniques disponibles.

Démonstration factuelle. Les conseillers CAP EMPLOI avaient accès en consultation à toutes les données de l’ensemble des demandeurs d’emploi présents dans la base — y compris ceux non bénéficiaires de l’obligation d’emploi et donc hors périmètre de leurs missions. Ils pouvaient, à leur seule initiative, supprimer toute limitation géographique dans la fonctionnalité de recherche. La formation restreinte retient que « le périmètre des données consultables — tant sur la nature des données que sur les zones géographiques — s’étend bien au-delà de ce qui est strictement nécessaire » et que cette habilitation excessive a « pu élargir le périmètre de la violation », les attaquants ayant opéré via des comptes CAP EMPLOI accédant à l’intégralité de la base.

Moyens de défense et rejet. FRANCE TRAVAIL soutenait que cet accès était nécessaire à l’accompagnement et que trois profils d’habilitation étaient configurés selon le principe du moindre privilège. La formation restreinte ne nie pas la nécessité des accès utiles à l’accompagnement, mais constate que FRANCE TRAVAIL annonçant lui-même prévoir de « revoir les règles d’habilitations d’accès » sans entrave au suivi démontre que des restrictions plus fines étaient réalisables. Elle prend acte des mesures de minimisation annoncées (limitations géographiques, exclusion partielle du NIR), tout en relevant qu’elles interviennent après la violation.

 
 
 

---

POINTS ESSENTIELS

---