France Travail : 36,8 millions de victimes, puis 5 M€ d'amende

Incident public — sources citées

Cette étude porte sur un incident réel et public. Aucune donnée client de Cyber Access n'est concernée : nous analysons un cas documenté pour en tirer des enseignements.

Les faits

Entre février et mars 2024, des attaquants ont extrait des données d'une base de France Travail (ex-Pôle emploi) et de Cap emploi. L'incident a touché 36,8 millions de personnes (jusqu'à 43 millions évoqués initialement) : noms, prénoms, numéros de Sécurité sociale, identifiants France Travail, adresses e-mail et postales, numéros de téléphone.

La double peine

En janvier 2026, la CNIL a infligé une amende de 5 millions d'euros, en tenant compte « de la méconnaissance des principes essentiels en matière de sécurité, du nombre de personnes concernées, du volume et de la sensibilité des données ». Autrement dit : victime de l'attaque, et sanctionnée pour la sécurité insuffisante qui l'a précédée. Comprendre la double peine →

Ce que notre approche aurait éclairé

• Révéler : un audit d'exposition cartographie les actifs et les accès sensibles avant qu'un attaquant ne le fasse.
• Former : la majorité des intrusions commencent par l'humain ; l'entraînement réduit la surface.
• Protéger : MFA, surveillance, et surtout des preuves de diligence prêtes — la meilleure défense contre la seconde peine.

Sources : CNIL (communiqué et délibération, janvier 2026) ; France Bleu / Siècle Digital ; assemblee-nationale.fr (questions écrites). Données publiques, à titre d'analyse.

Comprendre la double peine → · Mesurer mon exposition →

Questions fréquentes