/t:r(unknown)/fit-in/300x2000/filters:format(webp)/filters:quality(100)/radios/vibration/images/logo_A88whB8Nny.png){kind=logo}
Cyberattaque contre France Travail : pourquoi la victime a été sanctionnée
Publié : 2 février 2026 à 9h59 par Alicia Méchin
Se faire pirater peut coûter cher, parfois bien plus qu’on ne l’imagine. France Travail en a récemment fait l’expérience.
En mars 2024, l’organisme public a été la cible d’une cyberattaque d’ampleur, ayant entraîné l’exfiltration des données personnelles de 36 millions de personnes. Un an plus tard, la Commission nationale de l’informatique et des libertés (Cnil) a prononcé une sanction exemplaire : une amende de cinq millions d’euros pour manquements à la protection des données.
Comment une organisation victime d’un piratage peut-elle être tenue pour responsable ?
Le Règlement général sur la protection des données (RGPD) ne se contente pas d’imposer une réaction rapide en cas d’incident. Il exige, en amont, que les organismes mettent en œuvre toutes les mesures techniques et organisationnelles nécessaires pour garantir la sécurité des données qu’ils traitent. Autrement dit, la loi ne sanctionne pas uniquement l’existence d’une faille ou l’intervention d’un pirate informatique, mais l’insuffisance des dispositifs de prévention.
Dans le cas de France Travail, l’enjeu juridique ne portait pas uniquement sur la cyberattaque elle-même, mais sur la capacité de l’organisme à démontrer que ses systèmes étaient conçus pour limiter les risques. Sécurisation des accès, gestion des habilitations, surveillance des systèmes, mises à jour régulières : autant d’éléments que les responsables de traitement doivent anticiper et documenter. En l’absence de garanties jugées suffisantes, la responsabilité de l’organisme est engagée, indépendamment de l’origine de l’attaque.
Cette décision de la Cnil envoie un signal clair à l’ensemble des acteurs publics et privés. La cybersécurité n’est pas une option ni une simple question technique, mais une obligation légale. Les sanctions financières peuvent être lourdes, mais les conséquences en termes d’image et de confiance le sont souvent encore davantage.
En conclusion, l’affaire France Travail rappelle une règle essentielle : en matière de données personnelles, la prévention prime sur la réaction. Un système mal conçu ou insuffisamment sécurisé en amont peut, à lui seul, justifier une sanction, même lorsque l’organisation se considère avant tout comme une victime.
/t:r(unknown)/fit-in/400x225/filters:format(webp)/medias/Vsj0LZpM34/image/Laam_Cindy_20001770108228882-format16by9.png)
/t:r(unknown)/fit-in/400x225/filters:format(webp)/medias/Vsj0LZpM34/image/Capture_d_e_cran_2025_08_29_a__13_20_041756466436536-format16by9.png)
/t:r(unknown)/fit-in/400x225/filters:format(webp)/medias/Vsj0LZpM34/image/bff2d179_c53f_482f_b3e3_00464a94d576_jpg1770104074869-format16by9.webp)
/t:r(unknown)/fit-in/400x225/filters:format(webp)/medias/Vsj0LZpM34/image/C_amir21770038715447-format16by9.jpg)
/t:r(unknown)/fit-in/400x225/filters:format(webp)/medias/Vsj0LZpM34/image/35737403593_5217e083f2_b1770033474382-format16by9.jpg)
/t:r(unknown)/fit-in/400x225/filters:format(webp)/medias/Vsj0LZpM34/image/christine_and_the_queen_ah_ya1770024116225-format16by9.png)
/t:r(unknown)/fit-in/500x281/filters:format(webp)/medias/Vsj0LZpM34/image/marche1770021435039-format16by9.jpg)
/t:r(unknown)/fit-in/500x281/filters:format(webp)/medias/Vsj0LZpM34/image/grandsparents1770024584666-format16by9.jpg)
/t:r(unknown)/fit-in/500x281/filters:format(webp)/medias/Vsj0LZpM34/image/jardinage1769765967002-format16by9.jpg)