CNIL | SAN-2026-003 | 22 JANVIER 2026 | AFFAIRE FRANCE TRAVAIL
1. Un traitement de données de santé à risque élevé, ouvert à 2 300 utilisateurs externes sans MFA
Le traitement en cause, institué par le décret n° 2022-1161 du 16 août 2022, repose sur une co-responsabilité entre FRANCE TRAVAIL et 98 structures CAP EMPLOI et porte sur des données de santé au sens de l’article 9 du RGPD — type et origine de handicap, limitations de capacités, besoins de compensation — ainsi que sur le NIR de plus de 36,8 millions de personnes. La formation restreinte souligne que « la combinaison potentielle de toutes ces données accroît les risques engendrés par la divulgation de chaque type de données pris séparément » (délibération SAN-2026-003, § relatif au contexte factuel). Or, environ 2 300 salariés CAP EMPLOI accédaient à l’applicatif métier de FRANCE TRAVAIL depuis un navigateur web, via une authentification simple identifiant-mot de passe, sans déploiement d’une authentification multifacteur, alors même que les AIPD de 2022 avaient identifié ce risque et planifié le déploiement de la MFA pour 2023. C’est précisément l’exploitation de cette architecture d’accès non sécurisée qui a permis une exfiltration massive de 25 Go de données par ingénierie sociale entre le 6 février et le 5 mars 2024.
2. La co-responsabilité ne dilue pas la responsabilité du développeur-hébergeur
La formation restreinte apporte une clarification de première importance sur le régime de responsabilité applicable dans un traitement conjoint : conformément à la jurisprudence CJUE (7 mars 2024, IAB Europe c. Gegevensbeschermingsautoriteit, C-604/22, point 58), « l’existence d’une responsabilité conjointe ne se traduit pas nécessairement par une responsabilité équivalente » — et c’est précisément FRANCE TRAVAIL qui, en tant que développeur et hébergeur du système, est qualifié de « principal responsable de la détermination des règles de sécurité applicables » (§ sur la responsabilité de France Travail). Cette qualification s’appuie sur l’analyse des documents contractuels par lesquels FRANCE TRAVAIL s’est lui-même engagé à « mettre en œuvre les mesures de sécurité technique pour les outils mis à disposition des salariés Cap emploi ». La formation restreinte retient ainsi que les difficultés de coordination avec les CAP EMPLOI — refus de la MFA logicielle, incapacité à fournir des équipements matériels — ne peuvent pas constituer une cause exonératoire dès lors qu’il incombait à FRANCE TRAVAIL « d’apprécier la faisabilité de mise en œuvre de la solution choisie, et de l’adapter en fonction des contraintes respectives », notamment en distribuant des calculettes OTP.
3. Quatre défaillances de sécurité retenues, dont deux directement liées à la violation
La formation restreinte retient quatre composantes distinctes du manquement à l’article 32 du RGPD. Premièrement, un seuil de blocage à 50 tentatives infructueuses, cinq fois supérieur au maximum de 10 préconisé par la recommandation CNIL n° 2022-100 du 21 juillet 2022, sans captcha ni temporisation compensatoire. Deuxièmement, l’absence de MFA pour les accès des conseillers CAP EMPLOI, mesure planifiée dès 2022 mais non déployée à la date de la violation. Troisièmement, une journalisation passive incapable de générer des alertes en temps réel malgré des anomalies flagrantes — dont « rien que le mardi 6 février 2024, 9 Go de données ont été extraites, ce qui correspondrait à plus de 13 millions de fiches pour un seul conseiller en une seule journée » (§ sur la journalisation). Quatrièmement, des habilitations excédant le besoin d’en connaître, les conseillers CAP EMPLOI pouvant accéder à la totalité de la base y compris sans limitation géographique et pour des personnes hors périmètre de leurs missions. Ces quatre manquements s’inscrivent tous dans le cadre du principe de « défense en profondeur » de l’ANSSI, qui exige qu’aucun composant ne constitue un point de défaillance unique.
4. L’AIPD comme preuve à double tranchant de la faute
La délibération SAN-2026-003 illustre de façon particulièrement nette la valeur probatoire — et le risque — des AIPD dans les procédures de sanction. Les AIPD réalisées par FRANCE TRAVAIL en 2022 avaient elles-mêmes identifié la vulnérabilité liée à l’absence de MFA en des termes particulièrement clairs : « si un attaquant externe pirate le poste d’un conseiller Cap emploi il lui sera facile d’accéder aux données contenues dans la machine virtuelle (et donc sur le SI de Pôle emploi) » (§ sur l’absence de MFA). Ces mêmes AIPD prévoyaient la mise en œuvre d’une solution d’authentification à deux facteurs pour 2023, et la CNIL l’avait expressément accueillie favorablement dans son avis n° 2022-050 du 21 avril 2022. La formation restreinte en tire une conséquence sévère : FRANCE TRAVAIL avait conscience du risque, s’était lui-même fixé un calendrier de remédiation, et ne l’a pas tenu. L’AIPD, instrument de conformité destiné à anticiper et réduire les risques, se retourne ainsi contre son auteur lorsque les mesures identifiées ne sont pas mises en œuvre dans les délais qu’il a lui-même arrêtés. Cette dynamique est encore renforcée par le fait que la CNIL avait « déjà alerté FRANCE TRAVAIL sur la nécessité de mettre en place un système d’analyse des traces » dès 2022.
5. La continuité du service public ne constitue pas une cause d’exonération aux obligations de l’article 32 RGPD
L’un des enseignements doctrinaux les plus significatifs de la délibération tient dans le rejet explicite de l’argument de continuité du service public comme motif d’exonération de l’obligation de sécurité. FRANCE TRAVAIL soutenait que « suspendre le traitement ou retarder l’adhésion des CAP EMPLOI tant que ces derniers ne justifiaient pas de conditions d’accès conformes à leurs engagements n’était pas envisageable » eu égard à la nécessité d’accompagnement des bénéficiaires de l’obligation d’emploi. La formation restreinte répond fermement que « France TRAVAIL aurait donc dû prendre davantage en considération ce risque réel lors de sa mise en balance avec la nécessité de continuité du service public et de l’accompagnement des demandeurs d’emploi » (§ sur l’absence de MFA). Cette affirmation, couplée à la mention dans le visa de la décision n° 2025-1154 QPC du 8 août 2025 du Conseil constitutionnel — dont la référence suggère que la validité constitutionnelle du régime de sanction des établissements publics a été confirmée — établit que les acteurs publics administratifs ne bénéficient d’aucune immunité ni d’aucune modulation de fond dans l’appréciation de leurs obligations de sécurité au titre du RGPD. La nature publique de l’entité, l’intérêt général de sa mission et les contraintes budgétaires qui en découlent peuvent tout au plus influer sur le quantum de la sanction — non sur la caractérisation du manquement.
CONSEILS AUX RESPONSABLES DE TRAITEMENT
A. AUDIT DE SÉCURITÉ IMMÉDIAT : LES QUATRE VULNÉRABILITÉS CRITIQUES IDENTIFIÉES PAR LA DÉLIBÉRATION
La délibération SAN-2026-003 dessine, par sa motivation, un référentiel opérationnel de conformité que tout responsable de traitement gérant des données sensibles au sens de l’article 9 du RGPD, ou traitant des données à grande échelle, doit immédiatement vérifier. L’urgence de cet audit est d’autant plus grande que la formation restreinte a prononcé une injonction de mise en conformité assortie d’une astreinte à l’encontre de FRANCE TRAVAIL, signifiant que les manquements retenus sont jugés persistants et susceptibles de récidive. Les quatre axes de vérification prioritaires sont les suivants.
1. L’authentification multifacteur (AMF)
La délibération confirme que l’AMF constitue désormais une exigence quasi-prescriptive pour tout accès distant à un système d’information traitant des données sensibles au sens de l’article 9 du RGPD ou des données à risque élevé. La recommandation CNIL n° 2025-019 du 20 mars 2025 formalise cette exigence, en continuité avec les recommandations de l’ANSSI (2021) et la délibération CNIL n° 2022-100.
Chaque responsable de traitement doit : ----Identifier tous les accès distants à des systèmes traitant des données sensibles (accès par VPN, navigateur web, application dédiée, portail fournisseur ou partenaire) ; ----Vérifier le déploiement effectif d’une AMF pour chacun de ces accès — la seule inscription d’une AMF à l’AIPD sans déploiement effectif est un facteur aggravant majeur (FRANCE TRAVAIL l’avait prévue pour 2023 et ne l’avait pas déployée) ; ----Établir un plan d’action sous 3 mois si l’AMF n’est pas encore déployée, en privilégiant les solutions robustes : applications mobiles dédiées, calculettes OTP (type TOTP — Time-based One-Time Password), plutôt que le SMS (vulnérable aux attaques par interception de type SIM swapping) ; ----Ne pas déléguer unilatéralement le financement du second facteur à des partenaires ou co-responsables sans en assurer le suivi effectif : la formation restreinte a jugé que « la difficulté du recours à un téléphone comme second facteur aurait pu être surmontée par d’autres mesures, par exemple par la distribution de calculettes OTP aux employés des CAP EMPLOI » — la responsabilité de trouver une solution alternative reste au responsable hébergeur du système.
2. La politique de mots de passe et les mécanismes de restriction d’accès
La délibération SAN-2026-003, en retenant le manquement relatif au seuil de 50 tentatives de connexion infructueuses, précise le droit positif applicable en termes d’entropie et de blocage : ----Vérifier que les mots de passe respectent les standards de la délibération CNIL n° 2022-100 du 21 juillet 2022 : 12 caractères minimum avec majuscules, minuscules, chiffres et caractères spéciaux, ou 14 caractères sans caractère spécial obligatoire (cas n° 1) ; ou 8 caractères avec 3 catégories de caractères — mais alors obligatoirement couplé à un blocage à 10 tentatives maximum (cas n° 2) ; ----Vérifier que le seuil de blocage n’excède pas 10 tentatives pour le cas n° 2 — un seuil de 50, même conjugué à des mesures anti-password spraying, a été jugé insuffisant ; ----Mettre en place, en complément du blocage de compte, des mécanismes de temporisation progressive ou un captcha pour les accès depuis l’extérieur du réseau ; ----S’assurer que la politique de mots de passe est identique pour les utilisateurs internes et pour les utilisateurs externes ou partenaires (conseillers CAP EMPLOI, prestataires, sous-traitants disposant d’un accès au SI).
3. La journalisation active et la détection automatisée des comportements anormaux
La délibération démontre que conserver des logs sans les analyser activement ne satisfait pas à l’obligation de l’article 32 du RGPD. La recommandation CNIL n° 2021-122 du 14 octobre 2021 impose un « système de traitement et d’analyse des données collectées » avec « génération d’alertes en cas de suspicion de comportement anormal ». L’ANSSI rappelle que « l’analyse continue des journaux d’événements permet de repérer des activités inhabituelles ».
Concrètement, chaque responsable de traitement doit vérifier et mettre en place : ----La collecte exhaustive des logs portant a minima sur : les connexions (réussies et échouées), les opérations de consultation, modification, extraction et suppression de données, les requêtes de recherche (nature, volume, périmètre géographique) ; ----Un système d’analyse automatisée (SIEM ou équivalent) avec des règles de corrélation calibrées au regard des usages habituels des différents profils d’utilisateurs — la formation restreinte a identifié comme anormaux : 9 Go extraits en une journée par un conseiller, un taux d’erreur de 69 %, des connexions à des horaires incompatibles avec le travail des agents ; ----Des seuils d’alerte documentés et régulièrement réévalués, en tenant compte du volume normal d’opérations par profil utilisateur et par région géographique ; ----Une procédure de traitement rapide des alertes, avec une astreinte disponible pour les traitements à risque élevé, afin d’éviter qu’une alerte détectée un jeudi après-midi ne soit traitée que le lundi suivant — délai qui a coûté à FRANCE TRAVAIL la non-détection d’une exfiltration de plusieurs giga-octets.
4. La politique d’habilitations : le principe de minimisation appliqué aux accès
La délibération confirme que des habilitations trop larges constituent un manquement autonome à l’article 32 du RGPD (SAN-2021-019, 29 octobre 2021). Les accès doivent être limités aux « seules données dont un utilisateur a besoin pour l’accomplissement de ses missions ».
Le responsable de traitement doit : ----Cartographier l’ensemble des habilitations accordées à chaque profil d’utilisateur (interne, partenaire, prestataire, co-responsable) en distinguant la nature des données accessibles, le périmètre géographique d’accès, et les fonctionnalités disponibles (consultation, modification, extraction, suppression) ; ----Comparer ces habilitations aux besoins métiers documentés : un conseiller CAP EMPLOI accompagnant des demandeurs d’emploi dans une région donnée n’a pas besoin d’accéder aux données de toutes les régions de France sans limitation géographique ; ----Réduire les périmètres d’accès au strict nécessaire, en définissant des procédures d’accès ponctuel dérogatoire pour les situations exceptionnelles justifiées ; ----Réaliser des révisions périodiques (au minimum annuelles) des habilitations pour vérifier leur adéquation aux fonctions effectivement exercées, notamment lors de tout changement de poste ou de mission.
B. GOUVERNANCE DE LA CONFORMITÉ : DES AIPD QUI ENGAGENT
La délibération SAN-2026-003 pose une règle d’or que tout responsable de traitement doit intégrer : une AIPD identifiant un risque de sécurité constitue un document d’engagement. FRANCE TRAVAIL avait lui-même documenté dans ses AIPD le risque lié à l’absence d’AMF :
« La connexion sur la machine virtuelle pour les conseillers Cap emploi se fait par authentification simple (identifiant et mot de passe unique) : si un attaquant externe pirate le poste d’un conseiller Cap emploi il lui sera facile d’accéder aux données contenues dans la machine virtuelle (et donc sur le SI de Pôle emploi). »
Le non-déploiement de l’AMF dans les délais prévus par ces mêmes AIPD a été retenu comme élément aggravant par la formation restreinte. Il en découle que toute mesure de sécurité inscrite dans une AIPD et non déployée dans le délai prévu crée un risque juridique autonome, indépendamment de toute violation.
Pour y remédier, chaque responsable de traitement doit instituer : ----Un registre de suivi des mesures de sécurité issues des AIPD, avec pour chaque mesure : le responsable désigné, la date prévue de déploiement, le budget alloué, les jalons intermédiaires et les indicateurs de vérification de l’effectivité du déploiement ; ----Un mécanisme d’alerte formalisé à destination du DPO et de la direction générale lorsque des mesures critiques sont en retard — le DPO doit disposer d’un accès direct aux indicateurs de sécurité et d’un pouvoir d’alerte documenté ; ----Une procédure de révision des AIPD lors de tout changement substantiel du traitement (nouveau co-responsable, extension du périmètre d’accès, nouveaux types de données), avec mise à jour du plan d’action correspondant.
C. CO-RESPONSABILITÉ DE TRAITEMENT : CLARIFIER CONTRACTUELLEMENT LES OBLIGATIONS DE SÉCURITÉ
La délibération SAN-2026-003 précise que dans un schéma de co-responsabilité (art. 26 RGPD), le responsable hébergeur du système d’information supporte la responsabilité principale du déploiement des mesures de sécurité — même si des obligations incombent également aux co-responsables accédants. La convention de co-responsabilité doit donc impérativement :
----Attribuer explicitement à chaque co-responsable la charge des mesures relevant de son périmètre, sans laisser de « zones grises » — le risque d’un vide contractuel est supporté par le responsable hébergeur qui ne peut pas se retrancher derrière l’absence d’accord pour justifier l’absence de déploiement ; ----Prévoir des mécanismes de vérification de l’effectivité des mesures déléguées aux co-responsables : droit d’audit, obligation de reporting des incidents, capacité de déconnexion en cas de non-conformité persistante ; ----Inclure une clause de substitution permettant au responsable hébergeur d’imposer des solutions alternatives si les co-responsables ne peuvent pas déployer la mesure initialement prévue dans les délais ; ----Documenter et tracer tout retard ou refus de déploiement d’une mesure de sécurité par un co-responsable, pour constituer la preuve de la bonne foi du responsable hébergeur — cette documentation n’est toutefois pas exonératoire : il appartient au responsable hébergeur de trouver une alternative.
D. ORGANISMES PUBLICS : INTÉGRER PLEINEMENT LE RISQUE DE SANCTION CNIL
La délibération SAN-2026-003 tranche définitivement la question de la sanctionnabilité des établissements publics administratifs dotés de la personnalité morale et de l’autonomie financière : ils peuvent faire l’objet d’amendes administratives prononcées par la CNIL. Les responsables de traitement publics doivent donc : ----Budgéter les investissements en matière de cybersécurité à la hauteur des risques et de l’ampleur des traitements mis en œuvre, sans invoquer les contraintes budgétaires propres au secteur public comme facteur atténuant ; ----Intégrer dans leurs documents budgétaires pluriannuels (PAP, RAP, DGEMP) les lignes dédiées à la sécurité des systèmes d’information traitant des données personnelles sensibles, en justifiant leur niveau au regard du profil de risque documenté dans les AIPD ; ----Mettre en place des indicateurs de performance relatifs à la conformité RGPD — notamment en matière de sécurité — au même titre que les indicateurs de performance opérationnelle.
CONSEILS AUX PERSONNES CONCERNÉES
A. COMPRENDRE L’ÉTENDUE ET LA GRAVITÉ DE LA VIOLATION DE DONNÉES
La violation de données de mars 2024 a compromis les informations personnelles de 36 820 828 personnes — une ampleur sans précédent dans l’histoire des violations notifiées à la CNIL. Les personnes concernées comprennent l’ensemble des personnes inscrites auprès de FRANCE TRAVAIL au cours des vingt dernières années, ainsi que « celles non inscrites sur la liste des demandeurs d’emploi mais possédant un espace candidat sur le site web francetravail.fr », incluant les personnes y ayant simplement consulté des offres d’emploi.
Les données exfiltrées comprennent : le nom d’usage, le nom de naissance, le prénom, le sexe, la date de naissance, le NIR (numéro d’inscription au répertoire national d’identification des personnes physiques), l’adresse postale, le code postal, le numéro de téléphone, l’adresse électronique, la région d’appartenance, la référence individuelle, le statut de demandeur d’emploi (inscrit, radié ou identifié) et les dates de début et de fin d’inscription.
La présence du NIR dans les données exfiltrées est particulièrement préoccupante. La formation restreinte rappelle que le NIR est une donnée « faisant l’objet d’une protection particulière compte tenu des risques d’usurpation ou d’interconnexion qu’il présente en raison de sa nature signifiante, unique et pérenne ». Ce numéro, associé aux autres données d’identification personnelle exfiltrées, expose les victimes à des risques élevés d’usurpation d’identité dans de multiples domaines (accès aux droits sociaux, démarches administratives, services de santé, démarches fiscales).
B. MESURES DE VIGILANCE ET DE PROTECTION IMMÉDIATES
Toute personne ayant créé un espace candidat sur francetravail.fr, consulté des offres d’emploi, ou été inscrite comme demandeur d’emploi au cours des vingt dernières années doit considérer ses données comme potentiellement compromises et adopter les mesures de protection suivantes :
S’agissant du risque d’usurpation d’identité administrative : ----Surveiller régulièrement les courriers officiels émanant des organismes sociaux (CAF, CPAM, URSSAF, Pôle emploi reconverti en FRANCE TRAVAIL) pour détecter toute ouverture de droit frauduleuse, toute modification d’adresse ou de coordonnées bancaires non sollicitée ; ----En cas de suspicion d’usurpation, déposer une plainte auprès des services de police ou de gendarmerie et contacter immédiatement l’organisme concerné pour signaler la fraude et bloquer tout accès frauduleux au compte.
S’agissant du risque de phishing ciblé : ----Les données exfiltrées permettent aux attaquants de construire des messages de hameçonnage hautement personnalisés (usurpant l’identité de FRANCE TRAVAIL, des CAF, de l’URSSAF, des mutuelles) en utilisant le nom, prénom, adresse et statut de demandeur d’emploi de la victime ; ----Ne jamais cliquer sur un lien dans un courriel ou SMS se réclamant de FRANCE TRAVAIL ou d’un organisme social sans vérifier l’adresse d’expédition et se rendre directement sur le site officiel par ses propres moyens ; ----Ne jamais communiquer le NIR ou un mot de passe à la suite d’une sollicitation par courriel, SMS ou appel téléphonique — aucun organisme officiel ne sollicite ces informations par ces voies.
S’agissant de la protection des comptes en ligne : ----Changer le mot de passe du compte francetravail.fr et de tout autre compte utilisant le même mot de passe ou la même adresse électronique (principe de non-réutilisation des mots de passe) ; ----Activer l’authentification multifacteur sur tous les comptes sensibles (messagerie, impots.gouv.fr, ameli.fr, compte retraite, services bancaires en ligne) pour réduire le risque d’accès frauduleux même en cas de compromission du mot de passe.
C. EXERCICE DES DROITS AUPRÈS DE FRANCE TRAVAIL
Les personnes concernées par la violation disposent de l’intégralité des droits prévus par le RGPD à l’égard de FRANCE TRAVAIL :
Le droit d’accès (article 15 du RGPD) permet d’obtenir la confirmation que des données vous concernant ont été traitées par FRANCE TRAVAIL, d’obtenir une copie de ces données et d’obtenir des informations sur leur utilisation, la durée de conservation et les destinataires. Cette demande peut être adressée par voie électronique ou postale au DPO de FRANCE TRAVAIL.
Le droit de rectification (article 16 du RGPD) permet d’exiger la correction de données inexactes ou incomplètes vous concernant.
Le droit à l’effacement (article 17 du RGPD) peut être exercé lorsque les données ne sont plus nécessaires à la finalité pour laquelle elles ont été collectées — notamment si vous n’avez plus de relation active avec FRANCE TRAVAIL et que la durée de conservation légale est expirée.
D. VOIES DE RECOURS EN CAS D’ATTEINTE AUX DROITS
En cas de préjudice (usurpation d’identité, fraude, préjudice moral lié à la divulgation de données sensibles relatives à un handicap), les victimes disposent de deux voies de recours complémentaires :
La plainte auprès de la CNIL (article 77 du RGPD) : toute personne estimant que ses droits ont été violés peut déposer une plainte auprès de la CNIL, qui dispose du pouvoir de contrôle et de sanction sur FRANCE TRAVAIL. Cette voie est gratuite et ne requiert pas l’assistance d’un avocat. La CNIL peut prononcer des injonctions supplémentaires et des astreintes à l’encontre de FRANCE TRAVAIL en cas de non-respect de ses obligations.
Le recours judiciaire (article 82 du RGPD) : toute personne ayant subi un dommage matériel ou moral du fait d’un manquement au RGPD peut engager la responsabilité civile de FRANCE TRAVAIL devant les juridictions compétentes. La charge de la preuve incombe au responsable de traitement de démontrer qu’il n’est pas responsable du dommage (art. 82, §3 du RGPD). En cas de violations touchant un grand nombre de personnes, une action de groupe ou une action collective peut constituer un mode de recours pertinent, permettant de mutualiser les coûts et de renforcer le poids des demandeurs.
Pas de contribution, soyez le premier