Habilitations, mots de passe... Pourquoi France Travail est condamné à payer une amende de 5 millions d'euros après la fuite de données de 2024

France Travail a été condamné par la Commission nationale informatique et libertés (Cnil) à une amende de cinq millions d'euros après une fuite de données de 36,8 millions d'utilisateurs en mars 2024, a annoncé la Cnil ce jeudi 29 janvier. 

L'opérateur avait alors révélé avoir été la cible de pirates informatiques qui avaient extrait d'une base de données personnelles des informations d'identification des demandeurs d'emploi alors inscrits à France Travail mais aussi "des personnes précédemment inscrites au cours des 20 dernières années", soit "potentiellement" 43 millions de personnes. Après vérifications et élimination de doublons, ce nombre a été ramené à 36,8 millions, a indiqué France Travail à l'Agence France-Presse.  

La sanction tient "compte de la méconnaissance des principes essentiels en matière de sécurité, du nombre de personnes concernées, du volume et de la sensibilité des données traitées", selon la Cnil. 

Des habilitations d'accès trop large

La commission explique que les pirates "ont utilisé des techniques dites 'd'ingénierie sociale', consistant à exploiter la confiance, l'ignorance ou la crédulité des personnes. Cette méthode leur a permis d'usurper des comptes de conseillers de Cap Emploi, c'est-à-dire les structures chargées de l'accompagnement, du suivi et du maintien dans l'emploi des personnes en situation de handicap". Ces conseillers de Cap Emploi ont accès aux bases de données de France Travail dans le cadre d'un partenariat entre les deux organismes. 

La Cnil estime que France Travail a eu des manquements en termes de "mesures techniques et organisationnelles qui auraient pu rendre l'attaque difficile". 

Enfin, selon la Cnil, les "habilitations d'accès" des comptes des conseillers "avaient été définies de manière trop large". Cela leur permettait "d’accéder aux données de personnes qu’ils n’accompagnaient pas, ce qui a accru le volume de données accessibles par les attaquants", affirme-t-elle.

Des mots de passe pas suffisamment robustes

Dans sa délibération publiée sur le site Légifrance, la Cnil relève notamment que "le fait de permettre aux attaquants de tester 50 mots de passe différents avant de bloquer le compte accroit d'autant le risque qu'une de ses tentatives lui donne accès au compte".

 Elle estime en outre que les modalités d'authentification des conseillers Cap Emploi leur permettant d'accéder au système n'étaient "pas suffisamment robustes". "S'agissant de la robustesse des mots de passe", la Cnil demande à France Travail "de justifier de la mise en conformité par la mise en œuvre d'une politique de mots de passe prévoyant des mécanismes de restriction d'accès au compte". 

France travail "regrette la sévérité"

Dans un communiqué, l'opérateur dit avoir "pleinement conscience de la gravité des faits survenus et de la responsabilité qui est la nôtre en matière de protection des données." "Sans contester la décision de la CNIL, nous en regrettons néanmoins la sévérité", ajoute France Travail. 

"Sans attendre la décision de la CNIL, nous avons d'ores et déjà mis en place les mesures correctives demandées avec notamment la double-authentification depuis près de deux ans", assure l'opérateur. 

La Cnil a demandé des restrictions d'accès pour les conseillers de Cap Emploi, assortissant cette injonction d'une astreinte de 5.000 euros par jour de retard à l'issue d'un délai d'un mois après le 22 janvier, date de la notification de l'amende. 

L’actualité par la rédaction de RTL dans votre boîte mail.

Grâce à votre compte RTL abonnez-vous à la newsletter RTL info pour suivre toute l'actualité au quotidien

Je créé mon compte Se connecter

S’abonner à la Newsletter RTL Info