AA / Istanbul / Seyma Erkul Dayanc

La Commission nationale de l’informatique et des libertés (Cnil) a condamné France Travail à une amende de cinq millions d’euros pour avoir mal géré une cyberattaque survenue en mars 2024, a rapporté Franceinfo. Cette attaque avait potentiellement exposé les données personnelles de 36 millions de personnes, dont nom, prénom, identifiant et numéro de Sécurité sociale. Les mots de passe et les coordonnées bancaires n’étaient pas concernés.

La Cnil avait ouvert une procédure de sanctions en juillet 2025.

La Cnil précise que l’attaque a été menée par des techniques dites « d’ingénierie sociale », consistant à exploiter la confiance ou la crédulité de tiers. Les auteurs ont récupéré les informations nécessaires à la réinitialisation des mots de passe de comptes de conseillers Cap Emploi, puis ont usurpé ces comptes pour accéder aux données personnelles et contacter les conseillers en se faisant passer pour le support informatique.

Les informations compromises comprenaient notamment le nom d’usage, le nom de naissance, le prénom, le sexe, la date de naissance, le NIR, l’adresse, le code postal, le numéro de téléphone, l’adresse électronique, l’adresse géographique, la référence individuelle et le statut de demandeur d’emploi (inscrit, radié ou identifié), précise la Cnil.

France Travail aurait déclaré prendre acte de la décision de la Cnil et reconnaître « la gravité des faits et sa responsabilité ». L’établissement public aurait précisé qu’il ne contesterait pas cette sanction et ne ferait pas de recours, tout en regrettant « la sévérité de cette amende – 5 millions d’euros est une somme importante – au regard de son engagement dans la cybersécurité ».

L’organisme aurait ajouté qu’il avait déjà mis en place des systèmes de surveillance et de détection des comportements anormaux, ainsi que des programmes de sensibilisation à la cybersécurité pour ses agents et partenaires, afin de prévenir toute future attaque.