France Travail condamné à 5 millions d'euros d'amende par la CNIL

Par rac le 30.01.2026 30.01.2026

Statue de la Justice tenant une balance, symbole de la sanction judiciaire

La Commission nationale de l'informatique et des libertés (CNIL) a infligé une amende de 5 millions d'euros à France Travail, ce mercredi 22 janvier 2026. Cette sanction fait suite à la cyberattaque subie par l'organisme en mars 2024, qui avait compromis les données personnelles de 36,8 millions de personnes inscrites ou ayant été inscrites au cours des vingt dernières années.

L'attaque avait été menée par des pirates informatiques utilisant des « techniques d'ingénierie sociale », selon les termes de la CNIL. Les malfaiteurs avaient réussi à usurper les identifiants de conseillers de Cap Emploi pour accéder au système d'information de France Travail. Les données exfiltrées comprenaient les noms, prénoms, numéros de sécurité sociale, adresses électroniques et postales, ainsi que les numéros de téléphone des demandeurs d'emploi.

Toutefois, la CNIL a précisé que les mots de passe et les coordonnées bancaires n'avaient pas été compromis lors de cette intrusion. Les dossiers complets contenant des données de santé sont également restés protégés.

Des manquements graves à la sécurité informatique

Dans sa décision, la formation restreinte de la CNIL a relevé plusieurs défaillances majeures. L'autorité reproche notamment à France Travail d'avoir permis aux attaquants de « tester 50 mots de passe différents avant de bloquer le compte », ce qui a considérablement accru le risque d'intrusion. La CNIL a également pointé l'insuffisance des mesures de journalisation permettant de détecter les comportements anormaux sur le système d'information.

Par ailleurs, les habilitations d'accès des comptes des conseillers Cap Emploi avaient été définies de manière trop large, leur donnant accès à des données bien au-delà de ce qui était strictement nécessaire à leurs missions. Cette sanction tient compte de « la méconnaissance des principes essentiels en matière de sécurité, du nombre de personnes concernées, du volume et de la sensibilité des données traitées », a souligné la CNIL.

Cette condamnation intervient dans un contexte où les cyberattaques contre les organismes publics et privés se multiplient en France. En vertu du RGPD, la sanction maximale pour un organisme public pourrait atteindre 10 millions d'euros.

France Travail accepte la décision sans recours

Dans un communiqué, France Travail a déclaré prendre « acte de la décision de la CNIL ». L'organisme affirme avoir « pleinement conscience de la gravité des faits et de sa responsabilité » et a annoncé qu'il ne ferait pas de recours, tout en regrettant « la sévérité de cette sanction ».

L'opérateur public assure avoir déjà mis en place les mesures correctives demandées. « Sans attendre la décision de la CNIL, nous avons d'ores et déjà mis en place les mesures correctives demandées avec notamment la double-authentification depuis près de deux ans », a précisé France Travail. L'organisme a également déployé des restrictions géographiques d'accès aux données pour ses employés, des systèmes de détection d'anomalies basés sur l'intelligence artificielle, ainsi que des formations obligatoires en cybersécurité tous les six mois.

La CNIL a en outre exigé des restrictions d'accès supplémentaires pour les conseillers de Cap Emploi, assortissant cette injonction d'une astreinte de 5 000 euros par jour de retard à l'issue d'un délai d'un mois. Cette affaire rappelle l'importance cruciale de la protection des données personnelles, alors que le marché de l'emploi en France reste sous tension.