Amende RGPD de France Emploi quand une faille oubliée coûte plus cher que les pirates
France Travail se retrouve au cœur d’une affaire emblématique des failles de cybersécurité dans le secteur public. La CNIL a infligé à l’organisme une amende lourde, bien que limitée à la moitié du plafond prévu par le RGPD, après une fuite massive de données personnelles impliquant son partenaire Cap Emploi.
Derrière les chiffres impressionnants, cette sanction met surtout en lumière une accumulation de choix techniques discutables et une responsabilité juridique difficilement évitable.
Une intrusion discrète aux conséquences massives
Tout commence début février 2024, sans alerte apparente. Pendant près d’un mois, du 6 février au 5 mars, une activité malveillante se déroule dans les systèmes de France Travail sans être détectée. Ce n’est que le 29 février qu’un pic d’activité anormal finit par attirer l’attention.
Voir cette publication sur Instagram
Les attaquants ont procédé avec méthode. En récupérant les informations nécessaires à la réinitialisation du mot de passe d’un conseiller Cap Emploi, ils ont sollicité le support technique pour obtenir un nouveau mot de passe. Puis, se faisant passer pour l’assistance, ils ont contacté la victime afin de lui transmettre ce mot de passe, sous prétexte de résoudre un problème d’accès. Une manœuvre suffisamment crédible pour ne pas éveiller les soupçons.
Grâce à cet accès, les pirates ont pu consulter et extraire des données particulièrement sensibles : identité, coordonnées, statut de demandeur d’emploi, dates de suivi. En tout, près de 25 gigaoctets de données ont été exfiltrés, concernant environ 36,8 millions de personnes. Un volume difficilement compatible avec l’activité normale d’un conseiller, mais qui n’a pas été immédiatement repéré.
Des accès trop larges et une sécurité minimale
L’enquête de la CNIL met en évidence un point central : près de 2 300 agents de Cap Emploi pouvaient accéder aux données de France Travail via un simple navigateur web. Cet accès étendu, qualifié d’« open bar » dans le jargon de la cybersécurité, allait bien au-delà des besoins réels des missions confiées aux conseillers.
Si certaines négligences semblent imputables à Cap Emploi, la CNIL rappelle que la responsabilité finale incombe à France Travail. En tant que responsable de traitement, l’organisme devait s’assurer que ses partenaires disposaient de garanties de sécurité suffisantes avant de leur ouvrir l’accès à des volumes aussi sensibles.
Cette logique est au cœur du RGPD : déléguer une opération ne signifie pas déléguer la responsabilité juridique. Or, dans ce cas précis, la maîtrise technique et le contrôle effectif des accès apparaissent insuffisants au regard de la sensibilité des données concernées.
Mots de passe, authentification et angles morts techniques
La politique de mots de passe constitue un autre point de friction avec la CNIL. Si France Travail imposait un minimum de huit caractères avec des symboles, le seuil autorisant jusqu’à cinquante tentatives infructueuses avant blocage des comptes Cap Emploi a été jugé excessif. Un tel seuil augmente mécaniquement le risque d’attaque par force brute ou par essais successifs.
France Travail a tenté de relativiser ce manquement, estimant que les attaquants disposaient déjà de mots de passe valides. Un argument rejeté par la CNIL, qui évalue les mesures de sécurité indépendamment de la manière dont l’attaque s’est produite.
L’absence d’authentification multifacteur constitue une autre faiblesse majeure. Bien que recommandée, voire indispensable pour les accès externes, elle n’était pas déployée chez Cap Emploi.
L’organisme ne disposait pas du matériel nécessaire, notamment de terminaux secondaires comme des smartphones, ce qui aurait impliqué un déploiement rapide et coûteux. Pourtant, des solutions alternatives existaient, comme des dispositifs matériels dédiés générant des codes temporaires.
Une détection tardive et une sanction lourde de sens
La question de la journalisation et de la surveillance en temps réel des accès a également pesé dans la décision de la CNIL. Collecter des logs ne suffit pas si ces données ne sont pas analysées pour détecter les comportements anormaux. France Travail a invoqué la complexité de son système d’information pour expliquer l’absence de détection rapide.
Un argument partiellement balayé par la CNIL, qui rappelle le rôle des centres opérationnels de sécurité. Une exfiltration de 25 Go de données, à des horaires inhabituels et accompagnée d’un taux d’erreur élevé, aurait dû déclencher une alerte, même en présence de comptes légitimes.
Au final, la CNIL a retenu une amende équivalente à la moitié du plafond maximal applicable à un organisme public, soit un montant jugé proportionné au regard de la gravité des manquements et du volume de données concernées. Plus qu’une sanction financière, cette décision rappelle une règle simple mais implacable : en matière de données personnelles, ce ne sont pas les portes forcées qui coûtent le plus cher, mais celles laissées ouvertes.
