← Tous les articles

consultant

France Travail: 5 M€ pour sécurité inadaptée (art. 32 RGPD)

Le 22 janvier 2026, la CNIL a infligé 5 M€ à France Travail pour manquements à l’article 32 RGPD. Enjeu clé: prouver la proportionnalité des mesures de sécurité et leur efficacité, notamment au Luxembourg.

Résumé — Le 22 janvier 2026, la CNIL a infligé 5 M€ à France Travail pour des manquements de sécurité (art. 32 RGPD). Enseignement clé pour les dirigeants au Luxembourg: documenter la proportionnalité de vos mesures et pouvoir la démontrer aux régulateurs.

L’affaire

La CNIL a sanctionné France Travail (ex‑Pôle emploi) d’une amende de 5 millions d’euros pour ne pas avoir assuré la sécurité des données des personnes en recherche d’emploi, à la suite d’une violation massive. La délibération (SAN‑2026‑003) relève des insuffisances dans les mesures techniques et organisationnelles, et ordonne des injonctions additionnelles. Point central: l’inadaptation des mesures au risque, au sens de l’article 32 du RGPD. La délibération est publiée sur Légifrance; la synthèse de la CNIL détaille les motifs et rappelle la sensibilité des données et l’ampleur de l’incident. Voir la présentation CNIL, « Violation de données : sanction de 5 millions d’euros à l’encontre de France Travail » et le texte intégral sur Légifrance (SAN‑2026‑003). CNIL, 22/01/2026; Légifrance, SAN‑2026‑003.

Contexte: le 13 janvier 2026, la CNIL a aussi sanctionné FREE et FREE MOBILE à hauteur de 42 M€ cumulés pour des procédures d’authentification et de VPN jugées insuffisamment robustes, confirmant une ligne stricte sur l’« adéquation » des contrôles d’accès et de l’authentification. CNIL, 13/01/2026.

Le raisonnement juridique

  • Le cadre: l’article 32 du RGPD impose des mesures techniques et organisationnelles « appropriées » pour garantir un niveau de sécurité « adapté au risque », en tenant compte de l’état de l’art, des coûts, de la nature/portée/contexte/finalités du traitement, et des risques pour les droits et libertés. Exemples: pseudonymisation/chiffrement, capacité à assurer la confidentialité/intégrité/disponibilité/résilience, tests d’efficacité, plan de reprise. Article 32 RGPD, EUR‑Lex.
  • Interprétation des autorités: la CNIL met l’accent sur la proportionnalité (« risk‑based »): plus les données sont sensibles, le volume important ou le public vulnérable, plus le niveau attendu est élevé, et plus la traçabilité de la justification des choix techniques est déterminante. La sanction peut intervenir sans mise en demeure préalable; l’analyse s’appuie sur la doctrine sécurité RGPD et la jurisprudence. Légifrance, SAN‑2026‑003.
  • Position européenne: l’EDPB ne fournit pas de « check‑list » fermée mais une méthode et des cas pratiques en matière d’incidents et de notification: détection précoce, confinement, journalisation probante, capacité d’investigation, notification sous 72 h avec contenus complets. Voir Guidelines 01/2021 et Guidelines 9/2022.
  • Point de vue Luxembourg (CNPD): la CNPD rappelle que l’article 32 commande des mesures « proportionnées au risque » et renvoie aux objectifs de confidentialité, intégrité, disponibilité et résilience, ainsi qu’aux tests réguliers d’efficacité. CNPD — Sécurité informatique; CNPD — Chapitre IV RGPD.
  • Articulation sectorielle LU: pour les entités NIS 2 ou DORA, la démonstration de « sécurité appropriée » s’appuie aussi sur les exigences de cybersécurité opérationnelle contrôlées par l’ILR (NIS 2) et la CSSF (DORA). ILR — NIS 2 FAQ; CSSF 26/906.

Ce que ça change concrètement

Pour les dirigeants, DPO et CISO au Luxembourg, France Travail confirme une application exigeante et opérationnelle.

  • La proportionnalité s’évalue et se prouve: il ne suffit pas de décrire des contrôles; il faut documenter pourquoi ils sont adéquats: modèles de menace, nature et volume des données, exposition internet/partenaires, publics vulnérables, dépendances tierces. CNIL, 22/01/2026.
  • Les basiques doivent être auditables: MFA résistante au phishing (VPN/privilégiés), gestion des habilitations (JML), segmentation, chiffrement en transit/au repos, journaux inviolables, supervision SOC, tests d’efficacité et exercices. L’affaire FREE/Free Mobile qualifie l’authentification non robuste de manquement à l’art. 32. CNIL, FREE.
  • Convergence RGPD–NIS 2–DORA: pour les « entités essentielles/ importantes » ou financières, l’ILR et la CSSF exigent une preuve structurée des mesures et de leur efficacité, renforçant votre capacité à justifier l’« appropriation » au sens de l’art. 32, y compris en cas de notification sous 72 h. ILR — NIS 2; EDPB, Guidelines 9/2022.

Exemples d’applications immédiates

  • Télétravail et accès tiers: activez une MFA FIDO2/WebAuthn pour l’accès à distance, révisez les exceptions héritées, tracez et testez l’efficacité (tentatives bloquées, OTP détournés). CNIL, FREE. Pour accélérer la mise en œuvre opérationnelle, un CISO externalisé peut piloter la feuille de route authentification et accès.
  • Centres de contacts, santé, social: si vous traitez des volumes massifs ou des publics vulnérables, re‑cartographiez vos risques, durcissez contrôle d’accès et chiffrement côté prestataires, et formalisez les preuves d’efficacité (rapports de tests, métriques SOC). CNIL, France Travail. Côté conformité, structurez la justification au regard de l’article 32 du RGPD et, si applicable, des exigences NIS 2 au Luxembourg.

Pièges fréquents

  1. Confondre « existence » et « efficacité » des mesures — L’article 32 exige des « tests réguliers » et la capacité à démontrer l’efficacité (taux d’échec MFA, délai de révocation, couverture de chiffrement). Article 32, EUR‑Lex.
  2. Sous‑estimer la justification (« état de l’art » et coût) — L’arbitrage coût/risque doit être écrit, daté et aligné sur l’état de l’art (ex.: MFA OTP vs FIDO2; VPN split‑tunnel vs ZTNA). CNPD — Sécurité informatique. Un mandat DPO aide à cadrer cette traçabilité décisionnelle.
  3. Limiter le « post‑incident » à la notification — L’EDPB attend détection précoce, qualification rapide et notification complète (art. 33). L’insuffisance de préparation (playbooks, journaux) aggrave l’exposition. Guidelines 01/2021; Guidelines 9/2022.
  4. Négliger l’angle sectoriel NIS 2 / DORA — Pour les acteurs NIS 2 (ILR) et financiers (CSSF), la gouvernance ICT (ex. circulaire CSSF 26/906) et la conformité opérationnelle servent de preuves d’appropriation RGPD et doivent être cohérentes. ILR — FAQ NIS 2; CSSF 26/906.
  5. Oublier la formation et l’hygiène des accès — Comptes orphelins, privilèges étendus et alertes ignorées demeurent des causes majeures: JML strict, revues périodiques, rotation des secrets, supervision SOC traçable.

Sources officielles

  • CNIL — « Violation de données : sanction de 5 millions d’euros à l’encontre de France Travail » (22 janvier 2026) — synthèse officielle: https://www.cnil.fr/fr/violation-de-donnees-sanction-5millions-france-travail
  • Légifrance — Délibération SAN‑2026‑003 (22 janvier 2026): https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000053408671
  • CNIL — « Violation de données : sanction de 42 M€ à l’encontre de FREE MOBILE et FREE » (13 janvier 2026): https://cnil.fr/fr/sanction-free-2026
  • EUR‑Lex — Règlement (UE) 2016/679, article 32 « Sécurité du traitement »: https://eur-lex.europa.eu/eli/reg/2016/679/art_32/oj/eng
  • EDPB — Guidelines 01/2021 on Examples regarding Personal Data Breach Notification: https://www.edpb.europa.eu/documents/guideline/guidelines-012021-on-examples-regarding-personal-data-breach-notification_en
  • EDPB — Guidelines 9/2022 on personal data breach notification under GDPR: https://www.edpb.europa.eu/documents/guideline/guidelines-92022-on-personal-data-breach-notification-under-gdpr_en
  • CNPD (Luxembourg) — « Enjeux de la sécurité informatique, objectifs et moyens »: https://cnpd.public.lu/fr/dossiers-thematiques/securite-informatique/enjeux-objectifs.html
  • ILR — NIS 2 (FAQ, obligations et principes de proportionnalité): https://www.ilr.lu/secteurs-activites/niss/nis-2/faq/
  • CSSF — Circulaire 26/906 (gouvernance, ICT): https://www.cssf.lu/fr/2026/01/nouvelle-circulaire-cssf-26-906-administration-centrale-gouvernance-interne-et-gestion-des-risques-applicable-aux-etablissements-de-paiement-et-de-monnaie-electronique/

En synthèse, France Travail rappelle que « approprié » ne veut pas dire « minimal »: l’appropriation se mesure au risque et se démontre par des choix documentés, testés et efficaces. Au Luxembourg, alignez vos preuves avec la doctrine CNPD et les contrôles NIS 2/CSSF. Pour un accompagnement opérationnel et conformité, contactez-nous via la page Luxgap.

Article d'expertise Luxgap. Pour un cadrage personnalise sur ce sujet, contactez-nous ou configurez votre devis en ligne.

NEWSLETTER LUXGAP

Recevez nos analyses des qu'elles sortent.

Articles d'expertise RGPD, NIS 2, IA, et invitations aux webinaires + formations gratuites Luxgap. 1 a 2 emails par semaine maximum, desabonnement en un clic.

Vos données ne sont jamais partagées. Conformité RGPD garantie (logique : on est DPO).

Une question sur ce sujet ?

Notre équipe répond généralement sous 24 h ouvrées. Configurez votre devis ou écrivez-nous.

Configurer mon devis →