France Travail : sanction CNIL 5 M€ (fuite 36,8 M personnes)

Le 22 janvier 2026, la formation restreinte de la CNIL a prononcé une amende de 5 millions d’euros à l’encontre de France Travail (ex-Pôle Emploi), au titre de la délibération SAN-2026-003. L’autorité reproche à l’opérateur un manquement à son obligation de sécurité des données personnelles (article 32 du RGPD), à la suite d’une cyberattaque survenue au premier trimestre 2024 (exfiltration située entre le 6 février et le 5 mars 2024 selon la décision).

Selon la CNIL, un ou plusieurs attaquants ont utilisé des techniques d’ingénierie sociale pour usurper des comptes de conseillers de CAP Emploi et accéder au système d’information. L’incident a exposé les données de 36 820 828 personnes, soit l’ensemble des personnes inscrites, ou l’ayant été au cours des vingt dernières années, ainsi que les titulaires d’un espace candidat. Environ 25 Go de données ont été exfiltrés, comprenant numéros de sécurité sociale (NIR), états civils, adresses postales et électroniques, numéros de téléphone et statut vis-à-vis de l’emploi.

Pour justifier la sanction, la CNIL relève une authentification insuffisamment robuste (absence d’authentification multifacteur), des mesures de journalisation et de supervision inadéquates, et des habilitations d’accès définies trop largement. La décision s’accompagne d’une injonction de mise en conformité assortie d’une astreinte de 5 000 euros par jour de retard, ainsi que d’une publication de la décision pendant deux ans.

Les faits sont confirmés par des sources de premier rang : le communiqué officiel de la CNIL et la délibération publiée sur Légifrance, recoupés par la presse spécialisée (L’Usine Digitale, Franceinfo). La fiche présente un niveau de confiance élevé, le chiffre de 36 820 828 personnes étant établi par la décision elle-même.