Le 22 janvier 2026, la CNIL a infligé une amende de 5 millions d’euros à France Travail (ex-Pôle emploi) pour manquement à l’obligation de sécurité prévue par l’article 32 du RGPD, à la suite d’une cyberattaque fondée sur l’« ingénierie sociale ». Au-delà du montant, la décision rappelle une réalité : quand les accès (notamment ceux des partenaires) sont trop permissifs et insuffisamment surveillés, l’impact peut devenir colossal — et la CNIL peut assortir sa sanction d’injonctions précises, sous astreinte.
1. Une intrusion “par la confiance” : l’ingénierie sociale comme porte d’entrée
L’affaire démarre au premier trimestre 2024, lorsqu’un ou plusieurs attaquants parviennent à entrer dans le système d’information de France Travail en utilisant des techniques d’ingénierie sociale : plutôt que de “casser” une barrière technique, ils exploitent des comportements humains (un email convaincant, une demande urgente, un faux support informatique…).
Selon la CNIL, cette méthode a permis d’usurper des comptes de conseillers Cap Emploi, ces structures chargées notamment de l’accompagnement des personnes en situation de handicap. Résultat : les attaquants ont pu accéder à des données d’un très grand nombre de personnes — toutes celles inscrites (ou l’ayant été) sur les 20 dernières années ainsi que celles disposant d’un espace candidat sur le site, avec notamment numéros de sécurité sociale, adresses email et postales, numéros de téléphone.
Point important : la CNIL relève que les dossiers complets des demandeurs d’emploi (susceptibles de contenir, par exemple, des éléments de santé) n’auraient pas été consultés dans le cadre de cette attaque. Pour autant, l’ampleur de la population concernée et la sensibilité de certaines données d’identification suffisent à faire de cette fuite un évènement majeur.
2. Article 32 du RGPD : une “obligation de moyens”… mais qui doit être démontrée
Le cœur juridique de la décision tient en une phrase : France Travail n’a pas mis en place des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, comme l’exige l’article 32 du RGPD.
En clair, le RGPD n’impose pas une invulnérabilité (personne ne peut promettre le “zéro risque”). En revanche, il impose de pouvoir démontrer que l’organisme a :
- évalué les risques ;
- choisi des protections cohérentes avec ces risques ;
- effectivement déployé ces protections (et pas seulement sur le papier) ;
- et mis en place une capacité de détection et de réaction.
Dans cette affaire, la CNIL pointe plusieurs failles très concrètes, faciles à comprendre même sans bagage technique :
- Authentification insuffisamment robuste pour les conseillers Cap Emploi accédant au SI de France Travail.
- Journalisation / suivi des traces insuffisants pour repérer des comportements anormaux (connexions inhabituelles, volumes de consultations anormaux, etc.).
- Habilitations trop larges : des comptes pouvaient accéder à des données de personnes non accompagnées par le conseiller, augmentant mécaniquement le volume de données exposées en cas de compromission.
Le point le plus parlant (et souvent le plus coûteux pour les organisations) : la CNIL retient que des mesures adéquates avaient été identifiées en amont, notamment via des analyses de risques/analyses d’impact, sans être pleinement mises en œuvre. Autrement dit : “on savait quoi faire”, mais ce n’était pas suffisamment déployé.
3. Amende, injonction, astreinte : une sanction qui oblige à corriger (vite)
La formation restreinte de la CNIL prononce une amende de 5 000 000 € pour le manquement à l’article 32 du RGPD.
Pour un établissement public comme France Travail, le montant ne se calcule pas à partir d’un chiffre d’affaires : la CNIL rappelle que, pour ce type de manquement, le plafond applicable peut atteindre 10 millions d’euros.
Mais la décision ne s’arrête pas à l’amende. Elle s’accompagne d’une injonction de mise en conformité : France Travail doit justifier (selon un calendrier) la mise en place de correctifs, notamment sur :
- la politique de mots de passe / mécanismes de restriction d’accès,
- l’authentification des comptes Cap Emploi (avec une logique d’authentification renforcée),
- le suivi et l’exploitation des journaux d’activité,
- la restriction des habilitations d’accès.
Et surtout : en cas de retard, l’organisme s’expose à une astreinte de 5 000 € par jour (dans les conditions prévues par la délibération). Ce mécanisme est déterminant : il transforme la sanction en levier opérationnel, en rendant la mise en conformité non seulement nécessaire… mais urgente.
Enfin, la CNIL décide de rendre la délibération publique (CNIL + Légifrance), avec une précision notable : l’identification nominative de France Travail doit disparaître à l’issue de deux ans à compter de la publication.
4. Les enseignements pratiques : sécuriser les accès… et maîtriser le risque “partenaire”
Cette affaire illustre un scénario devenu classique : l’attaque ne vise pas forcément l’accès le mieux protégé, mais le maillon le plus fragile de la chaîne. Ici, l’exploitation de comptes liés à un partenaire (Cap Emploi) a joué un rôle central.
Pour les organismes (publics comme privés), plusieurs réflexes ressortent très nettement :
1) Durcir l’authentification sur les accès sensibles
Dès qu’un accès ouvre la porte à des données nombreuses ou sensibles, l’authentification doit être renforcée : politique de mots de passe robuste, protection contre les tentatives répétées, et, très souvent, authentification multifacteur. (La CNIL met d’ailleurs à disposition des ressources dédiées sur ces sujets.)
2) Appliquer le “moindre privilège”
Un compte ne devrait accéder qu’aux informations nécessaires à sa mission. Des habilitations trop larges transforment un incident “limité” en incident “massif”.
3) Journaliser, surveiller, et savoir réagir
La sécurité, ce n’est pas seulement empêcher : c’est aussi détecter. Des journaux d’activité utiles (et réellement exploités) permettent d’identifier une anomalie plus tôt, donc de limiter l’ampleur d’une fuite.
4) Ne pas laisser les analyses de risque “dans un tiroir”
Identifier les mesures dans une analyse d’impact ou une cartographie des risques est une étape ; les déployer et en suivre l’effectivité en est une autre. La décision rappelle que l’écart entre “prévu” et “réalisé” peut coûter cher.
Et côté personnes concernées ?
Sans dramatiser, une fuite de données d’identification accroît le risque de phishing, usurpation d’identité, arnaques ciblées. Prudence face aux messages “urgents” demandant des documents, un paiement ou une mise à jour de coordonnées. Et rappel utile : la CNIL peut contrôler et sanctionner, mais n’indemnise pas ; une démarche auprès des autorités (police/gendarmerie) peut être envisagée en cas de préjudice.
Référence : Délibération de la formation restreinte SAN–2026-003 du 22 janvier 2026 (publication Légifrance le 29 janvier 2026).
***
Pour toute demande de conseil juridique, n’hésitez pas à nous contacter. Vous pouvez dès à présent demander un devis gratuit ici.
