Les faits
Au premier trimestre 2024, un ou plusieurs attaquants sont parvenus à s'introduire dans le système d'information de France Travail en utilisant des techniques d'ingénierie sociale, c'est-à-dire qui exploitent la psychologie humaine telle que la confiance, l'ignorance ou la crédulité de personnes. Concrètement, les attaquants ont usurpé des comptes de conseillers Cap Emploi pour accéder au système d'information de France Travail.
Les informations exposées comprenaient notamment des numéros de sécurité sociale, des adresses e-mail, des adresses postales et des numéros de téléphone. La CNIL relève toutefois que les dossiers complets des demandeurs d'emploi — susceptibles de contenir des éléments de santé — n'auraient pas été consultés lors de cette attaque. Néanmoins, l'ampleur de la population concernée et la sensibilité de certaines données d'identification suffisent à faire de cette fuite un événement majeur.
A noter que la CNIL avait déjà, par une délibération de 2022, averti France Travail de l'importance de se doter d'un bon système de journalisation pour détecter, analyser et pallier rapidement les incidents de sécurité.
La décision de la CNIL
Selon la décision de la CNIL, France Travail n'a pas mis en place des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, comme l'exige l'article 32 RGPD. En particulier :
- Les modalités d'authentification permettant aux conseillers Cap Emploi d'accéder au système d'information de France Travail n'étaient pas suffisamment robustes ;
- Les mesures de journalisation permettant de détecter les comportements anormaux sur le système d'information étaient inadéquates face au risque, comme en témoignent l'échec de la détection et l'absence de déclenchement d'alertes ;
- Les habilitations d'accès des comptes des conseillers Cap Emploi avaient été définies de manière trop large, tant sur le plan fonctionnel que géographique, leur permettant d'accéder aux données de tous les assurés inscrits dans le système d'information, ce qui a accru le volume de données accessibles pour les attaquants.
Pour déterminer la sanction, la formation restreinte a tenu compte du fait que la plupart des mesures de sécurité adéquates avaient été identifiées par France Travail en amont, dans ses analyses d'impact (AIPD), sans pour autant avoir été effectivement mises en œuvre. Elle a prononcé une sanction administrative de 5 millions d'euros et une injonction visant à assurer la mise en œuvre effective des mesures de remédiation.
Analyse
L'efficacité discutable d'une sanction financière contre un établissement public
France Travail est un établissement public autonome dont les finances sont garanties par des cotisations sociales et des fonds provenant du budget de l'État. Dans ces conditions, l'on peut s'interroger sur l'efficacité d'une sanction financière à son encontre.
L'effet pervers potentiel de la circonstance aggravante
En retenant comme motif aggravant le fait que les mesures avaient été identifiées dans les AIPD mais sans avoir été mises en œuvre, la CNIL pourrait involontairement provoquer un effet pervers : certains responsables de traitement pourraient être tentés de minimiser ou d'édulcorer leurs AIPD pour éviter de fournir une preuve écrite de leur connaissance préalable du risque.
La responsabilité de Cap Emploi sous-examinée
Par ailleurs, la décision impute l'intégralité de la responsabilité à France Travail en tant que responsable du traitement, ce qui est en principe correct : le responsable du traitement reste responsable même en cas de défaillance du tiers ayant accès aux données. Cependant, la compromission initiale provenant d'une usurpation de comptes de conseillers Cap Emploi, un réseau associatif distinct, avec sa propre gouvernance de sécurité, la décision ne semble attacher aucune conséquence distincte à la responsabilité propre de Cap Emploi (formation du personnel face à l'ingénierie sociale, par exemple). La décision de la CNIL risque de masquer un problème systémique de sécurité partagée entre France Travail et Cap Emploi ou d'autres organismes éventuels du service public de l'emploi.
Le montant de la sanction — signal politique plutôt que proportionnalité
Le montant de 5 millions d'euros n'est pas convaincant non plus, en particulier au regard des sanctions nettement plus lourdes infligées aux entreprises privées (pour une comparaison voir : Clarence Tocchio, Violation de données : La CNIL sanctionne les sociétés FREE MOBILE et FREE à hauteur de 42 millions d'euros, 4 mars 2026, in www.swissprivacy.law/397). Le choix de cette somme semble ainsi relever d'un signal politique plutôt que d'une évaluation rigoureuse de la proportionnalité propre au cas d'espèce.
La vulnérabilité particulière des personnes touchées
À cela s'ajoute la vulnérabilité des personnes touchées : en tant que demandeurs d'emploi, l'inscription à France Travail est une condition sine qua non au versement de leurs allocations. Ces personnes ne peuvent ni quitter France Travail ni engager une action en réparation au titre de l'article 82 RGPD, démarche qui leur est peu accessible en raison de leur situation de précarité.
Quid pour la Suisse ?
N'étant pas membre de l'Union européenne (UE) et appliquant sa propre législation nationale en matière de protection des données, la Suisse pourrait néanmoins s'inspirer des pratiques des autorités de contrôle des États membres de l'UE. Il convient de garder à l'esprit que la Suisse se montre beaucoup plus libérale en matière de mesures coercitives. Cela ne doit rien au hasard, mais découle de son système politique et économique ainsi que de son histoire. Cette approche est généralement considérée comme étant particulièrement adaptée au contexte du pays.
Cela dit, le PFPDT pourrait — si ce n'est déjà fait — exiger désormais explicitement, à l'instar de la CNIL, que les acteurs publics et privés, traitant des données sensibles et/ou de données personnelles à grande échelle, mettent en œuvre des standards plus stricts comme le chiffrement des données (tant pour la transmission que la conservation), l'authentification multifacteur pour les accès administrateurs, en particulier lorsque la connexion est accessible à distance, ainsi que des audits de sécurité proactifs (tests d'intrusion) réguliers, même en l'absence de toute violation de données. Le Préposé pourrait désormais qualifier l'absence de telles mesures de manquement à l'obligation de sécurité, compte tenu des ressources à disposition de ces acteurs et de l'élévation générale des standards en la matière.
Facts
In the first quarter of 2024, one or more attackers managed to infiltrate France Travail's information system using social engineering techniques — that is, techniques that exploit human psychology such as trust, ignorance or credulity. Specifically, the attackers impersonated Cap Emploi advisors' accounts to access France Travail's information system.
The exposed data included in particular social security numbers, email addresses, postal addresses and telephone numbers. The CNIL noted, however, that the complete files of job seekers — which may contain health-related information — were reportedly not accessed during the attack. Nonetheless, the scale of the population affected and the sensitivity of certain identifying data are sufficient to make this breach a major event.
It should be noted that the CNIL had already, through a 2022 decision, warned France Travail of the importance of having a robust logging system to rapidly detect, analyse and address security incidents.
The CNIL's decision
According to the CNIL's decision, France Travail had not implemented appropriate technical and organisational measures to ensure a level of security appropriate to the risk, as required by Article 32 GDPR. In particular:
- The authentication methods enabling Cap Emploi advisors to access France Travail's information system were not sufficiently robust;
- The logging measures for detecting abnormal behaviour within the information system were inadequate given the risk, as evidenced by the failure to detect the intrusion and the absence of triggered alerts;
- The access rights assigned to Cap Emploi advisors' accounts had been defined too broadly, both functionally and geographically, allowing them to access the data of all insured persons registered in the information system, thereby increasing the volume of data accessible to the attackers.
In determining the sanction, the Restricted Committee took into account the fact that most of the adequate security measures had been identified by France Travail in advance, in its impact assessments (DPIAs), without however having been effectively implemented. It imposed an administrative fine of €5 million and an injunction aimed at ensuring the effective implementation of remediation measures.
Analysis
The questionable effectiveness of a financial sanction against a public body
France Travail is an autonomous public body whose finances are guaranteed by social security contributions and state budget funds. In these circumstances, the effectiveness of a financial sanction against it may be questioned.
The potential perverse effect of the aggravating circumstance
By treating the fact that the measures had been identified in the DPIAs but not implemented as an aggravating factor, the CNIL may inadvertently create a perverse incentive: some data controllers may be tempted to minimise or water down their DPIAs in order to avoid providing written evidence of their prior awareness of the risk.
Cap Emploi's responsibility under-examined
Furthermore, the decision attributes full responsibility to France Travail as the data controller, which is in principle correct: the data controller remains responsible even in the event of a failure by a third party having access to the data. However, since the initial breach resulted from the impersonation of Cap Emploi advisors' accounts — Cap Emploi being a distinct network of associations with its own security governance — the decision appears to attach no distinct consequence to Cap Emploi's own responsibility (such as staff training on social engineering). The CNIL's decision risks masking a systemic problem of shared security between France Travail and Cap Emploi or other organisations within the public employment service.
The amount of the sanction — political signal rather than proportionality
The €5 million figure is also unconvincing, particularly in light of the significantly heavier sanctions imposed on private companies (for a comparison, see: Clarence Tocchio, Violation de données : La CNIL sanctionne les sociétés FREE MOBILE et FREE à hauteur de 42 millions d'euros, 4 March 2026, at www.swissprivacy.law/397). The choice of this amount appears to reflect a political signal rather than a rigorous assessment of proportionality in the specific case.
The particular vulnerability of those affected
Added to this is the vulnerability of those affected: as job seekers, registration with France Travail is a sine qua non condition for receiving their benefits. These individuals can neither leave France Travail nor bring a compensation claim under Article 82 GDPR — a course of action that is largely inaccessible to them given their precarious situation.
What about Switzerland?
Not being a member of the European Union and applying its own national data protection legislation, Switzerland could nonetheless draw inspiration from the practices of EU member state supervisory authorities. It should be kept in mind that Switzerland is considerably more liberal when it comes to enforcement measures. This is no accident, but flows from its political and economic system and its history. This approach is generally considered particularly well-suited to the country's context.
That said, the FDPIC could — if not already done — now explicitly require, following the CNIL's example, that public and private actors processing sensitive data and/or personal data on a large scale implement stricter standards such as data encryption (both for transmission and storage), multi-factor authentication for administrative access — particularly when remote access is possible — and regular proactive security audits (penetration tests), even in the absence of any data breach. The Commissioner could henceforth qualify the absence of such measures as a breach of the security obligation, given the resources available to these actors and the general elevation of standards in this area.
Sachverhalt
Im ersten Quartal 2024 gelang es einem oder mehreren Angreifern, in das Informationssystem von France Travail einzudringen, indem sie Techniken des Social Engineering einsetzten, d.h. Techniken, die menschliche Psychologie wie Vertrauen, Unwissenheit oder Leichtgläubigkeit ausnutzen. Konkret usurpierten die Angreifer Konten von Cap-Emploi-Beratern, um auf das Informationssystem von France Travail zuzugreifen.
Zu den offengelegten Informationen gehörten insbesondere Sozialversicherungsnummern, E-Mail-Adressen, Postadressen und Telefonnummern. Die CNIL stellte jedoch fest, dass die vollständigen Dossiers der Arbeitssuchenden — die möglicherweise Gesundheitsdaten enthielten — beim Angriff offenbar nicht eingesehen wurden. Dennoch machen das Ausmass der betroffenen Bevölkerung und die Sensibilität bestimmter Identifizierungsdaten diesen Datenleck zu einem Ereignis von erheblicher Tragweite.
Zu beachten ist, dass die CNIL France Travail bereits durch eine Entscheidung aus dem Jahr 2022 auf die Wichtigkeit eines soliden Protokollierungssystems zur raschen Erkennung, Analyse und Behebung von Sicherheitsvorfällen hingewiesen hatte.
Die Entscheidung der CNIL
Gemäss der CNIL-Entscheidung hatte France Travail keine geeigneten technischen und organisatorischen Massnahmen getroffen, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten, wie es Artikel 32 DSGVO verlangt. Insbesondere:
- Die Authentifizierungsmodalitäten, die Cap-Emploi-Beratern den Zugriff auf das Informationssystem von France Travail ermöglichten, waren nicht ausreichend robust;
- Die Protokollierungsmassnahmen zur Erkennung anomaler Verhaltensweisen im Informationssystem waren dem Risiko nicht gewachsen, wie das Ausbleiben von Erkennung und Alarmen belegt;
- Die Zugriffsberechtigungen der Konten von Cap-Emploi-Beratern waren sowohl funktional als auch geografisch zu weit gefasst und ermöglichten den Zugriff auf die Daten aller im Informationssystem registrierten Versicherten, was das für die Angreifer zugängliche Datenvolumen erhöhte.
Bei der Festsetzung der Sanktion berücksichtigte der eingeschränkte Ausschuss, dass die meisten geeigneten Sicherheitsmassnahmen von France Travail vorab in seinen Datenschutz-Folgenabschätzungen (DSFA) identifiziert, aber nicht effektiv umgesetzt worden waren. Er verhängte eine Verwaltungsbusse von 5 Millionen Euro und eine Anordnung zur wirksamen Umsetzung der Abhilfemassnahmen.
Analyse
Die fragliche Wirksamkeit einer Geldbusse gegen eine öffentliche Einrichtung
France Travail ist eine autonome öffentliche Einrichtung, deren Finanzen durch Sozialabgaben und staatliche Haushaltsmittel gesichert sind. Unter diesen Umständen ist die Wirksamkeit einer Geldbusse in Frage zu stellen.
Der mögliche Gegeneffekt des erschwerenden Umstands
Indem die CNIL den Umstand, dass die Massnahmen in den DSFA identifiziert, aber nicht umgesetzt worden waren, als erschwerenden Faktor wertet, könnte sie ungewollt einen Gegeneffekt auslösen: Manche Verantwortliche könnten versucht sein, ihre DSFA zu minimieren oder zu verwässern, um keinen schriftlichen Nachweis ihrer vorherigen Kenntnis des Risikos zu liefern.
Die Verantwortlichkeit von Cap Emploi unzureichend untersucht
Ausserdem weist die Entscheidung die gesamte Verantwortung France Travail als Verantwortlichem zu, was grundsätzlich korrekt ist: Der Verantwortliche bleibt auch bei einer Panne des zugriffsberechtigten Dritten verantwortlich. Da die ursprüngliche Kompromittierung jedoch von einer Usurpation der Konten von Cap-Emploi-Beratern ausging — einem eigenständigen Netzwerk von Vereinigungen mit eigener Sicherheits-Governance —, scheint die Entscheidung keine gesonderten Konsequenzen an die eigene Verantwortlichkeit von Cap Emploi zu knüpfen (z.B. Mitarbeiterschulung gegenüber Social Engineering). Die CNIL-Entscheidung riskiert, ein systemisches Problem der gemeinsamen Sicherheit zwischen France Travail und Cap Emploi zu verdecken.
Der Bussgeldbetrag — politisches Signal statt Verhältnismässigkeit
Auch der Betrag von 5 Millionen Euro überzeugt nicht, insbesondere angesichts der deutlich höheren Sanktionen gegen private Unternehmen (vgl. Clarence Tocchio, Violation de données : La CNIL sanctionne les sociétés FREE MOBILE et FREE à hauteur de 42 millions d'euros, 4. März 2026, unter www.swissprivacy.law/397). Die Wahl dieser Summe scheint eher einem politischen Signal zu entspringen als einer strengen Verhältnismässigkeitsprüfung.
Die besondere Verwundbarkeit der Betroffenen
Hinzu kommt die Verwundbarkeit der Betroffenen: Als Arbeitssuchende ist die Anmeldung bei France Travail eine unabdingbare Voraussetzung für den Erhalt ihrer Leistungen. Diese Personen können France Travail weder verlassen noch eine Schadensersatzklage nach Artikel 82 DSGVO einleiten — ein Vorgehen, das ihnen aufgrund ihrer prekären Lage kaum zugänglich ist.
Was bedeutet das für die Schweiz?
Die Schweiz ist kein EU-Mitglied und wendet ihr eigenes nationales Datenschutzrecht an, könnte sich aber dennoch von den Praktiken der Aufsichtsbehörden der EU-Mitgliedstaaten inspirieren lassen. Es ist zu beachten, dass die Schweiz in Bezug auf Durchsetzungsmassnahmen deutlich liberaler ist. Dies ist kein Zufall, sondern ergibt sich aus ihrem politischen und wirtschaftlichen System sowie ihrer Geschichte. Dieser Ansatz gilt allgemein als besonders gut an den Kontext des Landes angepasst.
Dennoch könnte der EDÖB — sofern noch nicht geschehen — nunmehr ausdrücklich verlangen, wie die CNIL, dass öffentliche und private Akteure, die sensible Daten und/oder personenbezogene Daten in grossem Massstab verarbeiten, strengere Standards umsetzen, wie die Datenverschlüsselung (sowohl für die Übertragung als auch die Speicherung), die Multi-Faktor-Authentifizierung für Administratorzugriffe, insbesondere wenn der Zugang aus der Ferne möglich ist, sowie regelmässige proaktive Sicherheitsaudits (Penetrationstests), auch ohne Datenschutzverletzung. Der Beauftragte könnte das Fehlen solcher Massnahmen nunmehr als Verletzung der Sicherheitspflicht qualifizieren, angesichts der diesen Akteuren zur Verfügung stehenden Ressourcen und der allgemeinen Anhebung der Standards in diesem Bereich.