Violation de données chez France Travail : 5 millions d’euros de sanction de la Cnil

France Travail (anciennement Pôle Emploi) est sanctionné d’une amende de 5 millions d’euros par la Cnil à la suite d’un accès massif aux données des demandeurs d’emploi. « France Travail n’a pas assuré la sécurité des données des personnes en recherche d’emploi » résume la Cnil.

Pour des faits qui semblent voisins, Free a écopé d’une amende totale de 42 millions d’euros. La sécurisation des accès distants par une double authentification robuste est un élément clé du débat. Quoi qu’il en soit, les amendes de la Cnil semblent ne mener nulle part. Les vols de données sont récurrents et l’attaquant aura toujours une longueur d’avance.

La rédaction vous propose par secteur d'activité :

Luxe

Banque

Assurance

Transport

Santé

Une attaque par “ingénierie sociale”

Pour rappel, au premier trimestre 2024, un ou plusieurs attaquants sont parvenus à s’introduire dans le système d’information de France Travail. Ces attaquants ont utilisé des techniques dites « d’ingénierie sociale », c’est-à-dire qu’ils on exploité la crédulité ou l’ignorance des personnes. Cette méthode leur a permis d’usurper des comptes de conseillers de Cap Emploi, qui est la structure chargée de l’accompagnement des personnes en situation de handicap.

L’enquête a montré que les attaquants ont accédé aux données de toutes les personnes qui ont été inscrites à Pôle Emploi – France Travail au cours des 20 dernières années, ainsi que des personnes ayant un espace candidat sur francetravail.fr. Cela comprend les numéros de sécurité sociale, les adresses mail et postales ainsi que les numéros de téléphone. Toutefois, les attaquants n’ont pas accédé aux dossiers complets des demandeurs d’emploi, qui peuvent notamment comprendre des données de santé.

Méconnaissance des principes essentiels de la sécurité

Newsletter La Revue du Digital

La Cnil estime que les mesures techniques et organisationnelles de sécurisation de France Travail étaient insuffisantes. La Cnil souligne que l’amende de 5 millions d’euros tient compte de la méconnaissance des principes essentiels en matière de sécurité, du nombre de personnes concernées, du volume et de la sensibilité des données traitées.

France Travail est un établissement public dont le budget repose principalement sur les cotisations sociales. Le détermination du montant de l’amende s’effectue en fonction d’une fourchette dont le plafond ne peut dépasser 10 millions d’euros pour un manquement à la sécurité des données (article 32 du RGPD). Toutes les amendes prononcées par la Cnil, qu’elles concernent les acteurs privés ou publics, sont recouvrées par le Trésor public et sont versées au budget de l’Etat.

Authentification des conseillers en question

La Cnil reproche le manque de robustesse de l’authentification permettant aux conseillers Cap Emploi d’accéder au système d’information de France Travail. De plus, les mesures de journalisation destinées à détecter les comportements anormaux sur son système d’information étaient insuffisantes. C’était également ce qui était reproché à Free.

Enfin, les habilitations d’accès des comptes des conseillers Cap Emploi avaient été définies de manière trop large, leur permettant d’accéder aux données de personnes qu’ils n’accompagnaient pas, ce qui a accru le volume de données accessibles par les attaquants.

Les solutions identifiées mais non mises en oeuvre

La Cnil relève que la plupart des mesures de sécurité adéquates avaient été identifiées par France Travail, en amont de la mise en œuvre du traitement, dans les analyses d’impact, sans pour autant avoir été effectivement mises en œuvre.

La Cnil rappelle qu’elle n’est pas compétente pour indemniser les personnes qui lui ont adressé une plainte. Celles-ci peuvent déposer une plainte auprès des services de police ou de gendarmerie.

Facebook X LinkedIn