( AFP / JEAN-CHRISTOPHE VERHAEGEN )
En mars 2024, les données de 36,8 millions de demandeurs d'emploi ont été piratées dans les bases de données de l’opérateur public.
France Travail a été condamné par la Commission nationale informatique et libertés (Cnil) à une amende de cinq millions d'euros après une fuite de données de 36,8 millions d'utilisateurs en mars 2024, a annoncé la Cnil jeudi.
L'opérateur avait alors révélé avoir été la cible de pirates informatiques qui avaient extrait d'une base de données personnelles des informations d'identification des demandeurs d'emploi alors inscrits à France Travail mais aussi "des personnes précédemment inscrites au cours des 20 dernières années", soit "potentiellement" 43 millions de personnes .
Après vérifications et élimination de doublons, ce nombre a été ramené à 36,8 millions , a indiqué France Travail à l' AFP .
La sanction tient "compte de la méconnaissance des principes essentiels en matière de sécurité, du nombre de personnes concernées, du volume et de la sensibilité des données traitées", selon la Cnil.
La commission explique que les pirates "ont utilisé des techniques dites 'd’ingénierie sociale', consistant à exploiter la confiance, l’ignorance ou la crédulité des personnes. Cette méthode leur a permis d’usurper des comptes de conseillers de Cap Emploi, c’est-à-dire les structures chargées de l’accompagnement, du suivi et du maintien dans l'emploi des personnes en situation de handicap". Ces conseillers de Cap Emploi ont accès aux bases de données de France Travail dans le cadre d'un partenariat entre les deux organismes.
France Travail regrette "la sévérité" de cette décision
Dans sa délibération publiée sur le site Légifrance, la Cnil relève notamment que "le fait de permettre aux attaquants de tester 50 mots de passe différents avant de bloquer le compte accroit d’autant le risque qu’une de ses tentatives lui donne accès au compte".
"S’agissant de la robustesse des mots de passe", la Cnil demande à France Travail "de justifier de la mise en conformité par la mise en œuvre d’une politique de mots de passe prévoyant des mécanismes de restriction d’accès au compte" .
Dans un communiqué, l'opérateur dit avoir "pleinement conscience de la gravité des faits survenus et de la responsabilité qui est la nôtre en matière de protection des données." France Travail ajoute ne pas "contester la décision de la CNIL" mais en regretter "la sévérité".
"Sans attendre la décision de la CNIL, nous avons d’ores et déjà mis en place les mesures correctives demandées avec notamment la double-authentification depuis près de deux ans", assure l'opérateur.
La Cnil a demandé des restrictions d'accès pour les conseillers de Cap Emploi, assortissant cette injonction d'une astreinte de 5.000 euros par jour de retard à l'issue d'un délai d'un mois après le 22 janvier , date de la notification de l'amende.
11 commentaires
Vous devez être membre pour ajouter un commentaire.
Vous êtes déjà membre ? Connectez-vous
Pas encore membre ? Devenez membre gratuitement
Signaler le commentaire
Fermer