La Cnil inflige une amende de 5 millions d'euros à France Travail
La Commission nationale de l'informatique et des libertés (Cnil) a récemment sanctionné France Travail d'une amende de 5 millions d'euros suite à une fuite de données personnelles touchant 36,8 millions d'utilisateurs. Cet incident, survenu en mars 2024, a mis en lumière des manquements graves en matière de sécurité des données.
Les enjeux de la sécurité des données
La sanction de la Cnil prend en compte la méconnaissance des principes essentiels en matière de sécurité, le nombre de personnes concernées, ainsi que le volume et la sensibilité des données traitées. En effet, l'opérateur a révélé avoir été la cible de pirates informatiques qui ont extrait des informations d'identification de demandeurs d'emploi inscrits à France Travail, mais aussi de personnes précédemment inscrites au cours des 20 dernières années.
Techniques d'ingénierie sociale utilisées
Les attaquants ont utilisé des techniques d'ingénierie sociale, exploitant la confiance et la crédulité des personnes pour usurper des comptes de conseillers Cap Emploi. Ces conseillers, qui ont accès aux bases de données de France Travail, sont chargés de l'accompagnement et du suivi des personnes en situation de handicap.
Responsabilité de France Travail
Dans sa délibération, la Cnil souligne que le fait de permettre aux attaquants de tester 50 mots de passe différents avant de bloquer le compte augmente le risque d'accès non autorisé. La Cnil demande à France Travail de justifier la mise en conformité par l'implémentation d'une politique de mots de passe plus stricte.
Mesures correctrices mises en place
France Travail a reconnu sa responsabilité en matière de protection des données et a déclaré avoir mis en place des mesures correctrices, telles que la double authentification, depuis près de deux ans. L'opérateur a également exprimé son regret quant à la sévérité de la sanction, tout en affirmant sa volonté de se conformer aux exigences de la Cnil.
Injonction et astreinte
La Cnil a assorti son injonction de restrictions d'accès pour les conseillers Cap Emploi d'une astreinte de 5 000 euros par jour de retard, à compter d'un mois après la notification de l'amende. Cette décision souligne l'importance de la sécurité des données et les responsabilités des entreprises dans la protection des données personnelles.
En conclusion, cet incident rappelle aux entreprises l'importance de mettre en œuvre des mesures de sécurité robustes pour protéger les données de leurs utilisateurs et éviter des sanctions de la Cnil.
