Par sa délibération du 22 janvier 2026, la CNIL prononce une sanction pécuniaire d’un montant de 5 000 000 d’euros à l’encontre de FRANCE TRAVAIL pour manquement à l’obligation de sécurité prévue à l’article 32 du règlement général sur la protection des données (RGPD).

Au-delà de l’ampleur exceptionnelle de la violation de données en cause, la décision retient l’attention par son caractère pédagogique.

Elle s’inscrit dans une évolution nette du contentieux de la protection des données, marquée par un renforcement constant des exigences pesant sur les responsables de traitement, y compris, et peut-être surtout, lorsqu’ils sont des opérateurs publics chargés d’une mission de service public.

Les faits et la procédure : une attaque d’ingénierie sociale révélatrice de failles structurelles

FRANCE TRAVAIL est un établissement public administratif placé sous la tutelle du ministère chargé de l’emploi. Il assure notamment des missions d’indemnisation et d’accompagnement des demandeurs d’emploi, ainsi que, depuis plusieurs années, l’accompagnement spécifique des personnes bénéficiaires de la reconnaissance de la qualité de travailleur handicapé, en lien avec les organismes CAP EMPLOI.

Afin de permettre une offre de services unifiée, un traitement de données spécifique a été institué par le décret du 16 août 2022, autorisant l’intégration, au sein du système d’information de FRANCE TRAVAIL, de données particulièrement sensibles telles que visées à l’article 9 du RGPD, incluant des données de santé, des informations relatives au handicap et le numéro d’inscription au répertoire national d’identification des personnes physiques (NIR). Ce traitement repose sur une co-responsabilité entre FRANCE TRAVAIL et les organismes CAP EMPLOI, ces derniers disposant d’un accès à distance au système d’information de l’opérateur public.

Le 29 février 2024, une activité anormale est détectée sur le système d’information, entraînant une indisponibilité partielle des services. Les investigations révèlent une intrusion malveillante s’étant déroulée sur près d’un mois, du 6 février au 5 mars 2024 et reposant sur des techniques d’ingénierie sociale.

Après avoir obtenu les informations nécessaires à la réinitialisation de mots de passe, les attaquants ont usurpé des comptes de conseillers CAP EMPLOI et procédé à des extractions massives de données. Environ 25 Go de données ont ainsi été exfiltrés, concernant plus de 36,8 millions de personnes, incluant non seulement des demandeurs d’emploi inscrits au cours des vingt dernières années, mais également des personnes disposant d’un simple espace candidat.

Le 8 mars 2024, FRANCE TRAVAIL a notifié la violation à la CNIL. Un contrôle sur place a été diligenté, suivi d’une instruction approfondie. Le rapporteur a conclu à un manquement à l’article 32 du RGPD et proposé le prononcé d’une sanction pécuniaire, proposition suivie par la CNIL.

Le cadre juridique : l’article 32 du RGPD comme obligation de sécurité renforcée et autonome

La CNIL rappelle d’emblée que l’article 32 du RGPD impose au responsable de traitement de mettre en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque.

Cette obligation, de nature préventive, est désormais appréhendée comme une obligation de moyens renforcée, appréciée ex ante, indépendamment de la survenance effective d’une violation de données.

La CNIL s’inscrit ici dans une ligne jurisprudentielle constante, conforme à la jurisprudence de la Cour de justice de l’Union européenne, laquelle estime que l’absence de violation de données à caractère personnel ne suffit pas à démontrer l’absence de manquement, pas plus que la survenance d’une violation de données ne suffit à caractériser en elle- même l’existence d’un manquement à l’article 32 du RGPD (CJUE, 14 décembre 2023, Natsionalna agentsia za prihodite, C-340/21).

Des défauts de sécurité peuvent être sanctionnés en tant que tels en raison du risque qu’ils ont fait peser sur l’intégrité des données traitées.

L’intensité de l’obligation de sécurité est appréciée à l’aune de plusieurs critères cumulatifs : la sensibilité des données traitées, leur volumétrie, le nombre de personnes concernées et les risques pour leurs droits et libertés. Or, en l’espèce, FRANCE TRAVAIL traitait des données massives, incluant des données sensibles au sens de l’article 9 du RGPD, concernant des populations potentiellement vulnérables.

La défense de FRANCE TRAVAIL : une défense marquée par une tentative de dilution de responsabilité

FRANCE TRAVAIL a soutenu que l’attaque reposait sur des techniques d’ingénierie sociale difficilement évitables, que des mesures de sécurité substantielles avaient été déployées, et que certaines obligations relevaient des organismes CAP EMPLOI en leur qualité de co-responsables de traitement.

L’organisme a également invoqué les contraintes liées à la continuité du service public, estimant qu’un renforcement excessif des mécanismes de sécurité aurait compromis l’accompagnement des publics concernés.

La formation restreinte écarte ces arguments.

D’une part, elle rappelle les lignes directrices 07/2020 concernant les notions de responsable du traitement et de sous-traitant dans le RGPD, adoptées par le CEPD le 7 juillet 2021 qui indiquent que l’existence d’une responsabilité conjointe ne se traduit pas nécessairement par une responsabilité équivalente des différents opérateurs concernés par un traitement de données à caractère personnel (CJUE, 7 mars 2024, IAB Europe, C-604/22).

Au contraire, ces opérateurs peuvent être impliqués à différents stades de ce traitement et selon différents degrés, de telle sorte que le niveau de responsabilité de chacun d’entre eux doit être évalué en tenant compte de toutes les circonstances pertinentes du cas d’espèce

FRANCE TRAVAIL demeurait le pilote du système d’information, responsable de la définition, du déploiement et du contrôle des règles de sécurité applicables.

D’autre part, la formation restreinte rejette explicitement l’argument tiré de la complexité technique et de la mission de service public.

Elle s’inscrit ici dans le prolongement de la jurisprudence administrative, selon laquelle les personnes publiques sont pleinement soumises aux obligations issues du RGPD et ne bénéficient d’aucun régime dérogatoire du seul fait de leurs missions.

La qualification du manquement : une défaillance globale de la gouvernance de la sécurité

L’intérêt majeur de la décision réside dans la qualification retenue par la CNIL.

La formation restreinte ne sanctionne pas une faille isolée, mais une défaillance systémique de la politique de sécurité, révélée par l’accumulation de vulnérabilités pourtant identifiées en amont.

Elle relève notamment :

  • Une politique de mots de passe insuffisamment robuste, caractérisée par un seuil excessivement élevé de tentatives avant blocage, en contradiction avec sa propre recommandation du 21 juillet 2022 ;
  • L’absence d’authentification multi facteur, pourtant prévue par les analyses d’impact relatives à la protection des données et régulièrement préconisée par la CNIL comme par l’ANSSI ;
  • Un dispositif de journalisation dépourvu de mécanismes efficaces de détection et d’alerte, alors même que des comportements manifestement anormaux étaient observables ;
  • Une gestion des habilitations trop large, méconnaissant le principe de minimisation des accès.

Cette approche s’inscrit dans la continuité de la jurisprudence antérieure de la CNIL, qui sanctionne de longue date les insuffisances comme une politique de mot de passe insuffisamment robuste (SAN-2018-009 du 6 septembre 2018, ; SAN-2022-020 du 10 novembre 2022 ; SAN-2023-021 du 27 décembre 2023 ; SAN-2023-023 du 29 décembre 2023), le stockage de mots de passe en clair (SAN-2022-018 du 8 septembre 2022), l’absence de politique d’habilitation (SAN-2021-019 du 29 octobre 2021,) ou encore l’utilisation d’une version obsolète du protocole TLS (SANPS-2024-011 du 31 janvier 2024), d’authentification, de journalisation ou de contrôle des accès (SAN-2018-009, 6 septembre 2018 ; SAN-2018-011, 19 décembre 2018 ; SAN-2021-019, 29 octobre 2021), mais elle en semble franchir un seuil supplémentaire en consacrant une véritable obligation de gouvernance de la sécurité.

En conclusion : vers une exigence accrue de responsabilité des responsables de traitements

La sécurité n’est plus appréhendée comme un simple socle technique, mais comme un élément structurant de la licéité du traitement, dont la défaillance engage pleinement la responsabilité du responsable de traitement, y compris lorsqu’il est lui-même victime de l’attaque.

La décision confirme également que la qualité d’opérateur public, la complexité d’un système d’information ou les impératifs de continuité du service public ne sauraient justifier un abaissement des exigences du RGPD. Bien au contraire, plus le traitement est massif et sensible, plus l’obligation de sécurité est élevée.

À travers cette sanction, la CNIL adresse ainsi un message clair : la protection des données personnelles suppose une gouvernance effective, documentée et pilotée de la sécurité, dont l’absence est, à elle seule, constitutive d’un manquement sanctionnable  

Vers un contentieux indemnitaire de masse ?

Au-delà de la sanction administrative prononcée par la CNIL, la délibération est susceptible d’ouvrir la voie à un contentieux d’une toute autre nature.

En premier lieu, la décision constitue un fondement particulièrement solide pour l’engagement de la responsabilité de FRANCE TRAVAIL sur le terrain indemnitaire.

L’article 82 du RGPD consacre en effet un droit à réparation pour toute personne ayant subi un dommage matériel ou moral du fait d’une violation du règlement.

La jurisprudence de la Cour de justice de l’Union européenne est désormais claire : l’existence d’un dommage moral, même non significatif, suffit à ouvrir droit à réparation (CJUE, 4 mai 2023, Österreichische Post, C-300/21).

Or, en l’espèce, la CNIL caractérise expressément un manquement à l’article 32 du RGPD, portant sur des données massives et sensibles, concernant plus de 36 millions de personnes. Cette constatation, si elle ne lie pas le juge de l’indemnisation, constitue néanmoins un élément susceptible de faciliter l’action des personnes concernées.

En second lieu, la décision est de nature à encourager le développement d’actions collectives. Compte tenu du nombre exceptionnel de personnes concernées et de la nature des données compromises, il n’est pas exclu que la délibération SAN-2026-003 serve de socle à de telles initiatives contentieuses, à l’image de celles déjà engagées à la suite de violations de données de grande ampleur.

Ainsi, la sanction prononcée à l’encontre de FRANCE TRAVAIL ne constitue vraisemblablement qu’une première étape.

Elle préfigure un contentieux plus large, dans lequel la protection des données personnelles pourrait devenir un terrain privilégié d’engagement de la responsabilité de responsables de traitements, non plus seulement devant l’autorité de contrôle, mais également devant les juridictions appelées à réparer les atteintes subies par les personnes concernées.