Décision CNIL du 29 janvier 2026
Le 29 janvier 2026, la CNIL a prononcé une sanction de 5 millions d’euros à l’encontre de France Travail pour manquements graves aux obligations de sécurité prévues par le RGPD.
Cette décision illustre une réalité de plus en plus fréquente : identifier les risques ne suffit pas, encore faut-il mettre en œuvre concrètement les mesures de protection.
👉 Décision et analyse complètes de la CNIL
Les faits : des accès trop larges et des contrôles insuffisants
L’enquête de la CNIL a révélé plusieurs failles majeures dans le système d’information de France Travail. Les modalités d’authentification des conseillers CAP EMPLOI n’étaient pas suffisamment robustes pour prévenir les accès non autorisés. Les mécanismes de journalisation ne permettaient pas de détecter efficacement des comportements anormaux ou abusifs. Enfin, les habilitations accordées aux conseillers étaient excessivement larges, leur donnant accès aux données de personnes qu’ils n’accompagnaient pas.
Ces défaillances ont exposé des données personnelles sensibles à des risques d’accès injustifiés, dans un contexte où l’organisme traite des volumes très importants d’informations concernant des publics parfois vulnérables.
Un point central : des risques identifiés… mais pas traités
L’un des éléments les plus sévèrement critiqués par la CNIL concerne les analyses d’impact relatives à la protection des données (AIPD).
France Travail avait correctement identifié la plupart des mesures de sécurité nécessaires pour réduire les risques. Toutefois, ces mesures n’avaient pas été effectivement mises en œuvre.
La CNIL rappelle ici un principe fondamental du RGPD :
une analyse d’impact n’est pas un document théorique, mais un outil opérationnel qui doit conduire à des actions concrètes.
Identifier un risque sans agir revient, juridiquement, à accepter ce risque.
Les manquements au regard du RGPD
La CNIL a considéré que France Travail avait manqué à son obligation de mettre en place des mesures techniques et organisationnelles appropriées, au sens de l’article 32 du RGPD.
Les insuffisances relevées concernaient à la fois la prévention (authentification, limitation des accès) et la détection (journalisation et surveillance des usages).
Ces manquements sont d’autant plus graves qu’ils concernent un acteur public majeur, dépositaire de données personnelles à grande échelle.
Ce que doivent retenir les dirigeants
Cette sanction délivre plusieurs messages très clairs aux dirigeants, tous secteurs confondus.
D’abord, la sécurité des données ne se limite pas à une politique écrite ou à une analyse de risques bien rédigée. Elle suppose des choix techniques, des arbitrages budgétaires et une mise en œuvre réelle.
Ensuite, le principe de moindre privilège est essentiel : les collaborateurs ne doivent accéder qu’aux données strictement nécessaires à leurs missions. Des droits trop larges constituent un risque majeur.
Enfin, la capacité à détecter les comportements anormaux est désormais un élément central de la conformité. Sans journalisation efficace, il est impossible de prouver que les accès sont maîtrisés.
Un signal fort pour les clients et les usagers
Pour les usagers, cette décision rappelle que les autorités de contrôle restent vigilantes, y compris face aux grandes institutions publiques. La protection des données personnelles n’est pas négociable, même lorsqu’elle concerne des missions d’intérêt général.
La sanction vise aussi à restaurer la confiance : elle montre que des manquements peuvent être sanctionnés lourdement lorsque les données ne sont pas suffisamment protégées.
Conclusion : la sécurité ne peut plus rester théorique
La sanction de 5 millions d’euros infligée à France Travail marque une étape importante. Elle rappelle que le RGPD exige une sécurité effective, mesurable et opérationnelle.
Disposer d’analyses d’impact sans en tirer de conséquences concrètes expose désormais à des sanctions significatives.
