Votre recherche

Popular Tags

Paris

5.3°C
Clear Sky Humidity: 95%
Wind: W at 2.57 M/S

Cnil : sanction de 5 millions d'euros contre France Travail pour violation de données

Protection de la vie privée

La Cnil a sanctionné France Travail d’une amende de 5 millions d’euros pour ne pas avoir assuré la sécurité des données des personnes en recherche d’emploi.

Au premier trimestre 2024, un ou plusieurs attaquants sont parvenus à s’introduire dans le système d’information de France Travail. A cette occasion, ils ont utilisé des techniques dites "d’ingénierie sociale", consistant à exploiter la confiance, l’ignorance ou la crédulité des personnes.
Cette méthode leur a permis d’usurper des comptes de conseillers de Cap Emploi, c’est-à-dire les structures chargées de l’accompagnement, du suivi et du maintien dans l'emploi des personnes en situation de handicap.

Les investigations ont permis d’établir que les attaquants ont accédé aux données de l’ensemble des personnes inscrites, ou qui l’ont été au cours des 20 dernières années, ainsi que des personnes ayant un espace candidat sur francetravail.fr (dont les numéros de sécurité sociale, les adresses mail et postales ainsi que les numéros de téléphone). Toutefois, les attaquants n’ont pas accédé aux dossiers complets des demandeurs d’emploi, qui peuvent notamment comprendre des données de santé.

Le contrôle réalisé par la Cnil a révélé l’insuffisance des mesures techniques et organisationnelles mises en œuvre afin d’assurer la sécurité des données personnelles traitées.

Elle a notamment relevé :
- que les modalités d’authentification permettant aux conseillers Cap Emploi d’accéder au système d’information de France Travail n’étaient pas suffisamment robustes ;
- que les mesures de journalisation permettant de détecter les comportements anormaux sur son système d’information étaient insuffisantes ;
- que les habilitations d’accès des comptes des conseillers Cap Emploi avaient été définies de manière trop large, permettant aux conseillers Cap Emploi d’accéder aux données de personnes qu’ils n’accompagnaient pas, ce qui a accru le volume de données accessibles par les attaquants.

Pour déterminer la sanction, la formation restreinte a tenu compte du fait que la plupart des mesures de sécurité adéquates avaient été identifiées par France Travail, en amont de la mise en œuvre du traitement, dans les analyses d’impact, sans pour autant avoir été effectivement mises en œuvre.

En (...)

Cet article est réservé aux abonné(e)s LegalNews
Vous êtes abonné(e) ?
Identifiez-vous
Vous n'êtes pas abonné(e) à LegalNews
Découvrez nos formules d'abonnement
Image
Back To Top

Actualisé quotidiennement, le Monde du Droit est le magazine privilégié des décideurs juridiques. Interviews exclusives, les décryptages des meilleurs spécialistes, toute l’actualité des entreprises, des cabinets et des institutions, ainsi qu’une veille juridique complète dans différentes thématiques du droit. De nombreux services sont également proposés : annuaire des juristes d’affaires, partenariats de rubriques (affichez votre expertise sur Le Monde du Droit), création d’émissions TV diffusées sur 4Change (Interviews, talkshows, chroniques...), valorisation de vos différentes actions (deals, nominations, études, organisations d’événements, publication de contributions, récompenses, création de votre cabinet...)