Les données personnelles de près de 37 millions de demandeurs d'emploi exposées après une fuite chez France Travail

Published: 30 janvier 2026
a surreal image _think edvard munch_ of people stressing out because of filling in excel sheets

La CNIL a infligé une amende de 5 millions d'euros à France Travail pour avoir compromis les données personnelles de plus de 36,8 millions de personnes inscrites auprès de l'opérateur public.

En mars 2024, un ou plusieurs pirates informatiques sont parvenus à s'introduire dans les systèmes d'information de France Travail en recourant à des techniques d'ingénierie sociale. Ils ont ainsi pu accéder aux comptes de Cap Emploi, la structure chargée d'accompagner les personnes en situation de handicap vers l'emploi.

Ces pirates ont d'abord réussi à obtenir les informations nécessaires pour réinitialiser le mot de passe d'un compte Cap Emploi. Pour ce faire, ils se sont fait passer pour des agents de Cap Emploi auprès du service d'assistance informatique, sollicitant une réinitialisation de mot de passe.

ADVERTISEMENT

Dans un second temps, les pirates ont contacté l'employé dont ils venaient d'usurper l'identité, se faisant cette fois passer pour le support technique, afin de lui soutirer son nouveau mot de passe. Un stratagème qui leur a permis de se connecter au système.

Selon les investigations menées, les hackers ont exfiltré les données de personnes ayant été inscrites à l'agence pour l'emploi au cours des vingt dernières années, ou ayant déposé leur CV sur le site de l'organisme. Les informations dérobées, représentant environ 25 Go, comprennent les numéros de sécurité sociale, les adresses électroniques, les adresses postales et les numéros de téléphone de quelque 37 millions de demandeurs d'emploi.

Fuite de données chez France Travail
Image by Cybernews.

Les attaquants n'ont toutefois pas réussi à s'emparer de l'intégralité des dossiers, qui contenaient des informations sensibles telles que des données de santé.

Selon la Commission nationale de l'informatique et des libertés (CNIL), l'autorité française de protection des données, l'opérateur public a manqué à son obligation de mettre en place des mesures techniques et organisationnelles garantissant la sécurité des données personnelles qu'il traite, une infraction à l'article 32 du Règlement général sur la protection des données (RGPD).

jurgita justinasv Izabelė Pukėnaitė vilius Ernestas Naprys Gintaras Radauskas
Don't miss our latest stories on Google News. Add us as your Preferred Source on Google
Follow us

La CNIL pointe notamment l'insuffisance du dispositif d'authentification utilisé par les agents de Cap Emploi. Des mots de passe de seulement huit caractères étaient autorisés, l'authentification multifactorielle n'était pas déployée, et on pouvait compter pas moins de cinquante tentatives de connexion infructueuses avant qu'un compte ne soit bloqué.

Compte tenu de l'ampleur de la fuite, de la sensibilité des données traitées et des lacunes manifestes en matière de sécurité informatique, la CNIL a prononcé une sanction de 5 millions d'euros. L'organisme dispose d'un mois pour prendre les mesures correctives exigées, sous peine d'une astreinte de 5 000 euros par jour de retard.

ADVERTISEMENT

Découvrez plus de contenu exclusif à Cybernews sur YouTube.

Share
Post
Share
Share
Share
ADVERTISEMENT