La gestion d’une cyberattaque d’ampleur survenue en mars 2024 vient de connaître son épilogue administratif en France. Alors que l’incident avait compromis la sécurité numérique de millions de citoyens, la Commission nationale de l’informatique et des libertés (Cnil) a rendu sa décision concernant la responsabilité de l’organisme public en charge de l’emploi. L’enquête, ouverte en juillet 2025, a abouti à une condamnation financière significative pour manquement à la protection des données.
**Une sanction de cinq millions d’euros**
Selon les informations relayées par l’agence Anadolu, la Cnil a infligé une amende de cinq millions d’euros à France Travail. Le régulateur reproche à l’établissement public d’avoir mal géré cette attaque informatique qui a potentiellement exposé les données personnelles de 36 millions de personnes.
L’institution souligne que cette sanction vise à marquer la gravité des faits, bien que l’organisme ait coopéré durant la procédure. France Travail a indiqué prendre acte de cette décision et a confirmé qu’aucun recours ne serait déposé, reconnaissant sa part de responsabilité dans l’incident.
**Le mécanisme de l’attaque : l’ingénierie sociale**
Les investigations de la Cnil ont permis de mettre en lumière le mode opératoire des pirates. Loin d’une attaque technique brute, les malfaiteurs ont utilisé des techniques d’ingénierie sociale, exploitant la confiance ou la crédulité de tiers.
Concrètement, les auteurs ont d’abord récupéré les informations nécessaires pour réinitialiser les mots de passe de comptes appartenant à des conseillers Cap Emploi. Une fois ces accès obtenus, ils ont usurpé l’identité de ces conseillers pour contacter le support informatique et accéder aux bases de données.
**L’étendue des données compromises**
Si les mots de passe des usagers et leurs coordonnées bancaires ont été épargnés, la fuite reste massive concernant les informations d’identité. La liste des données exfiltrées comprend le nom de naissance et d’usage, le prénom, le sexe, la date de naissance, le numéro de sécurité sociale (NIR), ainsi que les adresses postale et électronique.
Le statut des personnes concernées (demandeur d’emploi inscrit, radié ou identifié) figure également parmi les éléments compromis.
**La réaction de l’organisme sanctionné**
France Travail, tout en acceptant la sanction, a exprimé des réserves sur le montant de l’amende. L’établissement regrette la « sévérité » de la somme exigée au regard de son engagement continu dans la cybersécurité.
L’organisme précise avoir depuis renforcé ses dispositifs de défense, incluant des systèmes de surveillance accrue pour détecter les comportements anormaux et des programmes de sensibilisation destinés à ses agents et partenaires pour éviter la réitération d’un tel scénario.
