La CNIL sanctionne France Travail pour ne pas avoir protégé 20 ans de données à caractère personnel

protection des données
Written By Nathalie Pouderoux

Début 2024, France Travail, l'institution publique nationale chargée des services de l'emploi, a subi une importante violation de données affectant les informations personnelles collectées au cours des 20 dernières années. Les pirates ont exploité des failles grâce à l'ingénierie sociale, une technique qui consiste à manipuler la confiance humaine pour obtenir un accès non autorisé. Dans ce cas précis, les attaquants ont compromis les comptes des conseillers CAP EMPLOI, les professionnels chargés d'accompagner et de suivre l'emploi des personnes en situation de handicap.

Bien que la violation n'ait pas concerné l'intégralité des dossiers des demandeurs d'emploi, qui auraient pu contenir des informations sensibles sur leur santé, elle a exposé un volume important de données à caractère personnel, notamment les numéros d'assurance sociale, les coordonnées et les identifiants liés à l'emploi. Cela a touché des milliers de personnes inscrites sur francetravail.fr.

À la suite d'une enquête, l'autorité française chargée de la protection des données, la CNIL, a conclu que les mesures techniques et organisationnelles mises en œuvre par France Travail étaient inadéquates. Parmi les principales faiblesses figuraient des procédures d'authentification insuffisantes, des autorisations d'accès trop larges et un suivi et une journalisation inadéquats pour détecter les activités anormales. Il convient de noter que, bien que l'organisation ait identifié bon nombre de ces mesures de protection dans ses analyses d'impact avant le traitement, celles-ci n'avaient pas été mises en œuvre dans la pratique.

La commission restreinte de la CNIL a souligné la gravité de la violation, compte tenu du volume et de la sensibilité des données concernées, et a infligé une amende de 5 millions d'euros. France Travail a également été contrainte de présenter un plan de correction détaillé assorti d'un calendrier de mise en œuvre précis. Tout manquement à cette obligation pourrait entraîner des sanctions supplémentaires de 5 000 euros par jour.

Cette affaire montre que les obligations en matière de sécurité des données prévues par le RGPD, en particulier l'article 32, qui impose aux organisations de mettre en œuvre des mesures techniques et organisationnelles adaptées au risque, s'appliquent de la même manière aux entités publiques et privées. Elle montre également que le fait de ne pas agir face à des risques identifiés peut avoir des conséquences importantes sur le plan réglementaire et en termes de réputation.

Leçons clés pour les entreprises

La violation de France Travail fournit des indications claires aux entreprises sur la manière de renforcer la protection des données et de réduire le risque d'incidents similaires. Voici les principales leçons à retenir :

1. Renforcer l'authentification et les contrôles d'accès

L'accès aux données à caractère personnel doit être limité aux seules personnes qui en ont réellement besoin dans le cadre de leurs fonctions. La violation de France Travail a été aggravée par des autorisations trop larges accordées aux conseillers de CAP EMPLOI, qui ont permis aux pirates d'accéder à beaucoup plus de données que nécessaire. Les entreprises doivent mettre en place des procédures de connexion robustes, une authentification multifactorielle et des contrôles d'accès basés sur les rôles afin de réduire leur exposition.

2. Mettre en place une surveillance et une journalisation actives

La sécurité ne se limite pas à la prévention, elle implique également la détection. La violation a mis en évidence l'absence de systèmes de journalisation et de surveillance adéquats, qui auraient pu signaler plus tôt les activités suspectes. Les entreprises doivent investir dans des systèmes qui suivent les modèles d'accès et alertent les équipes en cas d'anomalies, afin de garantir que les attaques potentielles soient identifiées et atténuées rapidement.

3. Donner suite aux évaluations des risques

La réalisation d'évaluations d'impact est une étape cruciale, mais le cas de France Travail montre qu'il ne suffit pas d'identifier les risques sans mettre en œuvre les mesures recommandées. Les organisations doivent transformer les évaluations des risques en actions concrètes, en documentant les mesures mises en place et en vérifiant qu'elles sont activement appliquées.

4. Maintenir une responsabilité et une gouvernance claires

Il est essentiel de désigner les responsables de la protection des données et d'établir des cadres de gouvernance. L'échec de France Travail souligne l'importance de rôles, d'une surveillance et d'une responsabilité clairs en matière de pratiques de sécurité. La mise en place de comités internes de protection des données ou de comités d'éthique peut contribuer à garantir une conformité continue et à promouvoir une culture de sensibilisation à la sécurité.

Cet incident nous rappelle que la sécurité des données dépend autant des personnes et des processus que de la technologie.


Comment Gerrish Legal peut vous aider?

Gerrish Legal est un cabinet juridique numérique et dynamique. Nous sommes fiers de prodiguer des conseils juridiques experts et de haute qualité à nos précieux clients. Nous sommes spécialisés dans de nombreux aspects du droit numérique tels que le RGPD, la confidentialité des données, le droit numérique et technologique, le droit commercial et la propriété intellectuelle.

Nous offrons aux entreprises le soutien dont elles ont besoin pour gérer leurs activités avec succès et en toute confiance tout en se conformant aux réglementations légales, sans avoir à se plier aux exigences numériques en constante évolution.

Nous sommes là pour vous aider, contactez-nous dès aujourd’hui pour plus d’informations. 

Article de Nathalie Pouderoux, Consultante pour Gerrish Legal

Nathalie Pouderoux
Next

Le gouvernement britannique lance une formation gratuite à l'IA pour améliorer les compétences de la main-d'œuvre d'ici 2030