Le 22 janvier 2026, la Commission nationale de l’informatique et des libertés a prononcé une sanction financière de cinq millions d’euros à l’encontre de France Travail. Cette décision fait suite à une cyberattaque survenue en 2024 ayant entraîné la compromission de données personnelles à grande échelle, dans un contexte où France Travail occupe une position centrale dans la gestion de l’emploi et des parcours professionnels.

France Travail face à ses obligations en matière de sécurité des données

France Travail est soumis, comme tout responsable de traitement, aux exigences de l’article 32 du règlement général sur la protection des données. Ces obligations imposent la mise en œuvre de mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté aux risques, notamment lorsque les traitements concernent un volume élevé de données sensibles.

Dans sa décision, la Cnil relève que France Travail n’a pas déployé des dispositifs suffisants pour prévenir l’accès non autorisé à ses systèmes d’information. L’attaque a été rendue possible par l’usurpation de comptes de conseillers issus d’organismes partenaires, ce qui a permis un accès frauduleux aux bases de données internes. La Cnil souligne que certaines failles identifiées étaient connues et n’avaient pas donné lieu à des actions correctrices adéquates, selon la délibération publiée le 29 janvier 2026.

L’autorité de contrôle insiste sur le caractère structurant de ces manquements. France Travail traite quotidiennement des données personnelles liées à l’identité, à la situation administrative et à l’emploi de millions de personnes. À ce titre, le niveau d’exigence en matière de sécurité est particulièrement élevé, rappelle la Cnil dans sa décision officielle.

Une sanction proportionnée à la gravité des manquements constatés

« La formation restreinte a prononcé une amende de 5 millions d’euros à l’encontre de France Travail, tenant compte de la méconnaissance des principes essentiels en matière de sécurité », précise la Cnil dans sa délibération du 29 janvier 2026. Selon les éléments retenus par l’autorité, entre 36,8 et 43 millions de personnes pourraient avoir été concernées par la fuite de données. Les informations compromises incluaient notamment des noms, prénoms, numéros de sécurité sociale, coordonnées postales et électroniques, ainsi que des identifiants internes, selon Franceinfo.

La Cnil rappelle également que le plafond maximal applicable aux organismes publics en cas de manquement aux obligations de sécurité peut atteindre dix millions d’euros. La sanction prononcée représente ainsi un niveau intermédiaire, traduisant la gravité des faits tout en tenant compte du statut public de France Travail.

Un signal fort pour la gouvernance et la responsabilité des organismes publics

La décision de la Cnil comporte une injonction imposant à France Travail de renforcer ses mesures de sécurité dans des délais encadrés. En cas de non-respect, une astreinte financière journalière pourrait être appliquée, selon les précisions rapportées par KultureGeek.

Cette décision s’inscrit dans une dynamique plus large de renforcement des exigences en matière de gouvernance des données, y compris pour les établissements publics. La Cnil souligne que le respect des principes de sécurité ne constitue pas une obligation secondaire, mais un pilier de la conformité au RGPD et de la confiance des usagers, selon Le Télégramme. Pour les acteurs engagés dans une démarche de responsabilité sociétale, cette sanction rappelle que la protection des données personnelles relève pleinement des enjeux de gouvernance, de gestion des risques et de respect des parties prenantes, au même titre que les obligations sociales et environnementales.