La décision : Délibération SAN–2026-003 du 22 janvier 2026 prononçant une sanction pécuniaire à l’encontre de l’opérateur FRANCE TRAVAIL
Liens : https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000053408671
La société visée : FRANCE TRAVAIL, établissement public chargé du service public de l’emploi en France.
Type de sanction : Sanction financière
- Amende administrative de 5 000 000 euros
- Injonctions de mise en conformité sous astreinte de 5 000 euros par jour en cas de retard d’exécution
- Publicité de la décision pour une durée de 2 ans.
Type(s) de contrôle : Contrôle sur place suite à une violation de données à caractère personnel concernant 25 gigaoctets (Go) de données relatives à 36 820 828 personnes (nom d’usage, nom de naissance, prénom, sexe, date de naissance, NIR, adresse, code postal, numéro de téléphone, adresse électronique, adresse géographique (région d’appartenance), référence individuelle, statut de demandeur d’emploi (inscrit, radié ou identifié), date de début et de fin d’inscription).
Textes visés :
- Article 5-1-f du RGPD (intégrité et confidentialité)
- Article 9 du RGPD (Traitement portant sur des catégories particulières de données à caractère personnel)
- Article 24 (Responsabilité du responsable du traitement)
- Article 26 du RGPD (Responsables conjoints du traitement)
- Article 32 du RGPD (sécurité du traitement)
- Article 33 du RGPD (notification des violations de données à caractère personnel)
- Article 34 du RGPD (communication des violations aux personnes concernées)
- Article 83 du RGPD (Conditions générales pour imposer des amendes administratives)
Ce qui est sanctionné :
❌ Insuffisance des mesures de sécurité mises en œuvre par FRANCE TRAVAIL, ayant permis la réussite d’une cyberattaque d’ampleur et l’accès non autorisé aux données de nombreux usagers.
❌ Mécanismes de restriction d’accès au compte insuffisants : le seuil de 50 tentatives d’authentification infructueuses avant de verrouiller l’accès aux machines virtuelle est trop faible.
❌ Absence d’authentification multi facteur pour l’accès aux comptes
❌ Absence de mesures de journalisation efficaces
❌ Absence de gestion appropriée des habilitations d’accès aux données à caractère personnel
Bonnes pratiques à retenir :
✅ Un seuil de restriction de compte de maximum 10 tentatives (cf. CNIL, délibération n° 2022-100).
✅ Renforcer la garantie d’un mot de passe complexe pour éviter les attaques par pulvérisation («password spraying »)
✅ Mettre en place l’authentification multifacteur (cf. CNIL, délibération n° 2025-019 du 20 mars 2025), en particulier pour les traitements de données sensibles et les traitements ou les opérations à risque pour les personnes concernées.
✅ Mettre en place des mesures de journalisation permettant de détecter et d’analyser les incidents de sécurité et de leur apporter une réponse rapide et efficace (cf. CNIL, recommandation du 14 octobre 2021 n° 2021-122 relative à la journalisation)
✅ Gérer finement les habilitations : limiter les accès aux seules données à caractère personnel dont un utilisateur a besoin pour l’accomplissement de ses missions
