La Commission Nationale de l’Informatique et des Libertés (CNIL) ne ralentit pas.

Après avoir épinglé Free, elle vient d’infliger une amende record à France Travail (ex-Pôle Emploi) pour manquements graves à la sécurité des données.

📉 Ce qu’il s’est passé

• Date de l’attaque : mars 2024

• Type d’incident : cyberattaque par ingénierie sociale

• Méthode : usurpation de comptes de conseillers CAP EMPLOI

• Données compromises : noms, prénoms, numéros de sécurité sociale, adresses email et postales, numéros de téléphone

• Personnes concernées : 36,8 millions d’utilisateurs, dont certains inscrits depuis plus de 20 ans

⚖️ La sanction de la CNIL

• Montant de l’amende : 5 millions d’euros

Motifs :

• Insuffisance des mesures techniques et organisationnelles

• Méconnaissance des principes essentiels du RGPD

• Manque de réactivité face à l’ampleur de la fuite

• Absence de cloisonnement des accès internes

La CNIL a tenu compte du volume de données exposées, de la durée d’exposition, et du manque de rigueur dans la sécurisation des systèmes

🔍 Pourquoi c’est un signal fort

• La CNIL montre qu’elle ne tolère plus les négligences, même chez les opérateurs publics.

• Elle rappelle que la cybersécurité est une obligation légale, pas une option.

• Elle envoie un message clair à toutes les structures traitant des données sensibles : la conformité RGPD doit être active, documentée et auditable.

🧠 Ce que les entreprises doivent retenir

• L’ingénierie sociale est aujourd’hui l’un des vecteurs d’attaque les plus efficaces.

• Les accès internes doivent être cloisonnés, surveillés et révoqués dès qu’un doute existe.

• La traçabilité des actions, la segmentation des bases, et la formation des équipes sont des piliers de la sécurité.

✅ Conclusion

La CNIL ne chôme pas. Et France Travail vient d’en faire les frais. Cette sanction de 5 millions d’euros est un rappel brutal : la protection des données n’est pas une formalité administrative — c’est une responsabilité stratégique.