FRANCE TRAVAIL – Les données personnelles de 43M de Français inscrits à Pôle Emploi compromises suite à une cyberattaque
Le 13 mars 2024, l’établissement public France Travail (ex-Pôle Emploi) a annoncé avoir été la cible d’une cyberattaque. Les données personnelles des demandeurs d’emploi actuels, des demandeurs d’emploi des vingt dernières années et de ceux ayant un espace personnel sur le site « francetravail.fr » (ex-« pole-emploi.fr ») sont « susceptibles d’être divulguées et d’être exploitées de manière illégale ».
Les données concernées sont : les noms et prénoms des personnes, les numéros de Sécurité sociale, les dates de naissance, les identifiants France Travail, adresses e-mail et postales, et les numéros de téléphone.
La CNIL a annoncé qu’elle allait « accompagne[r] l’organisme afin d’assurer la bonne information des personnes concernées », et qu’elle « a décidé de mener très rapidement des investigations afin de déterminer notamment si les mesures de sécurité mises en œuvre préalablement à l’incident et en réaction à celui-ci étaient appropriées au regard des obligations du Règlement général sur la protection des données (RGPD) ». La Commission estime, par ailleurs, que l’« attaque aurait potentiellement permis l’extraction de données de 43 millions d’usagers ».
L’organisme étatique Cyber Malveillance précise, de son côté, que l’« exfiltration des données personnelles » a eu lieu entre le 6 février et le 5 mars 2024, c’est-à-dire pendant près d’un mois.
L'avis d'eWatchers (par Morgan Schmiedt)
On peut accepter une défaillance des services informatiques d’un service public. Il est toutefois inacceptable que l’organisme ait conservé, manifestement en base active, les données des demandeurs d’emplois des vingt dernières années. Ces données auraient dues être supprimées ou archivées dans un espace restreint.
Une investigation de la CNIL est indispensable pour faire toute la lumière sur les pratiques de Pôle-Emploi. Un audit interne à l’organisme devrait également être réalisé, puis rendu public, pour rendre des comptes aux Français et déterminer les personnes responsables de ce fiasco.
Par ailleurs, le site Cyber Malveillance propose de déposer une plainte en ligne. Il est toutefois dommage que cette plainte ne vise pas Pôle Emploi, pour ses manquements manifestes à la protection des données.