Le 22 janvier 2026, la Commission nationale de l’informatique et des libertés (Cnil) a prononcé une amende administrative de 5 millions d’euros à l’encontre de FRANCE TRAVAIL (anciennement Pôle emploi) (1) à la suite d’une violation de données révélant un manquement grave à son obligation d’assurer la sécurité des données à caractère personnel, au sens de l’article 32 du Règlement général sur la protection des données (RGPD).
Contexte
Au premier trimestre 2024, un ou plusieurs attaquants ont réussi à s’introduire dans le système d’information de FRANCE TRAVAIL en recourant notamment à des techniques d’ingénierie sociale, visant à exploiter la confiance et la crédulité du personnel habilité.
Les assaillants ont ainsi usurpé des comptes de conseillers de CAP EMPLOI, structures chargées de l’accompagnement des personnes en situation de handicap, et ont accédé à un volume très important de données à caractère personnel.
Selon les éléments de l’enquête de la Cnil, les données compromises comprenaient notamment :
• les numéros de sécurité sociale ;
• les adresses électroniques et postales ;
• les numéros de téléphone ;
• les données relatives à l’inscription ou au maintien sur la plateforme.
Les investigations ont montré que cette atteinte touchait potentiellement l’ensemble des personnes inscrites, ou ayant été inscrites au cours des 20 dernières années.
Manquements à l’article 32 du RGPD : une violation de données lourdement sanctionnée
La Cnil a considéré que FRANCE TRAVAIL n’avait pas mis en place les mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté aux risques, comme l’exige l’article 32 du RGPD (obligation de moyens renforcée).
Parmi les insuffisances relevées figurent notamment :
• des modalités d’authentification insuffisamment robustes pour accéder au système d’information ;
• des habilitations d’accès trop larges permettant à des conseillers d’accéder à des données qu’ils n’étaient pas censés traiter ;
• une journalisation des accès et événements incapable de détecter ou prévenir des comportements anormaux.
Sanction prononcée par la Cnil
Sur la base de ces constats, la formation restreinte de la Cnil a considéré que lesdits manquements constituaient une violation grave et durable de l’obligation de sécurité prévue par le RGPD, caractérisant une violation de données.
La sanction retenue est une amende de 5 millions d’euros, qui :
• tient compte de la méconnaissance de principes essentiels de protection des données ;
• prend en considération le nombre élevé de personnes concernées ;
• mesure le volume et la sensibilité des données exposées.
La Cnil a également enjoint FRANCE TRAVAIL à présenter des mesures correctrices selon un calendrier précis, assorti d’une astreinte de 5.000 euros par jour de retard.
Il est rappelé que, dans le cas d’un établissement public national comme FRANCE TRAVAIL, le montant de l’amende n’est pas calculé en fonction du chiffre d’affaires, mais est plafonné à 10 millions d’euros pour un manquement à la sécurité des données.
Conséquences et enseignements pratiques
Au-delà de l’impact financier, cette sanction constitue un avertissement fort pour les organismes publics et privés traitant de larges volumes de données sensibles. Elle met en exergue l’importance pour les responsables de traitement de :
• garantir des mécanismes d’authentification forte ;
• limiter les droits d’accès aux seules données nécessaires à la mission ; et
• disposer d’une surveillance et d’une journalisation efficaces du système d’information.
La présente décision s’inscrit dans une série de décisions récentes de la Cnil (cf. amendes contre Free Mobile / Free à hauteur de 42 millions d’euros (2), ou 1,7 million d’euros contre Nexpublica France), qui affirment la fermeté de l’autorité sur les questions de sécurité.
- Cnil, « Violation de données : sanction de 5 millions d’euros à l’encontre de FRANCE TRAVAIL », 29-1-2026.
- Cnil, « Violation de données : sanction de 42 millions d’euros à l’encontre des sociétés FREE MOBILE et FREE », 14-1-2026.
Avocate,
Directrice du pôle Contentieux du numérique
Avocate
Collaborateur Contentieux numérique
