← Tous les articles

consultant

France Travail sanctionné 5 M€: l’article 32 RGPD sous contrôle

La CNIL a infligé 5 M€ à France Travail pour manquements à l’article 32 RGPD: des mesures de sécurité prévues dans l’AIPD mais non déployées. Un signal clair pour le Luxembourg.

Par Expertise Luxgap 19/06/2026

Excerpt — Le 22 janvier 2026, la CNIL a infligé 5 M€ à France Travail pour manquements à la sécurité (art. 32 RGPD), pointant un écart entre mesures prévues sur le papier (AIPD) et mesures réellement déployées. Un signal direct pour les organisations luxembourgeoises. cnil.fr

L’affaire

Le 22 janvier 2026, la formation restreinte de la CNIL a sanctionné FRANCE TRAVAIL (ex‑Pôle emploi) d’une amende de 5 000 000 € pour « ne pas avoir assuré la sécurité des données des personnes en recherche d’emploi », à la suite d’une violation massive survenue en 2024. La CNIL souligne que « la plupart des mesures de sécurité appropriées avaient été identifiées […] dans les analyses d’impact (AIPD), mais n’avaient pas été effectivement mises en œuvre ». Le fondement retenu est l’article 32 du RGPD (sécurité du traitement). La décision motive aussi la méthode de calcul: pour un manquement à la sécurité, le plafond légal ne dépend pas du chiffre d’affaires mais est fixé à 10 M€ (art. 83 §4 RGPD). cnil.fr

La décision complète SAN‑2026‑003 est publiée sur Légifrance et détaille les griefs, l’injonction assortie d’astreinte et l’analyse de proportionnalité des mesures. Elle confirme qu’une mise en demeure préalable n’est pas une condition du prononcé d’une sanction. legifrance.gouv.fr

Le raisonnement juridique

  • Le texte. L’article 32 RGPD impose des « mesures techniques et organisationnelles appropriées » en tenant compte de l’état de l’art, des coûts, de la nature et des risques pour les personnes, citant notamment le chiffrement, la résilience, la restauration et des tests réguliers. L’article 33 encadre la notification sous 72 h, mais ici l’axe principal est l’insuffisance des mesures de sécurité. eur-lex.europa.eu
  • L’interprétation de la CNIL. Identifier des mesures dans une AIPD ne suffit pas; il faut les déployer effectivement et en démontrer l’efficacité. Rappel de la fourchette de sanction pour la sécurité (10 M€ max, art. 83 §4), indépendamment du chiffre d’affaires. cnil.fr
  • Le cadre européen. Les lignes directrices du CEPD sur la notification des violations illustrent, par cas d’usage, les défaillances typiques: absence de MFA/segmentation, sauvegardes inopérantes, défaut de rotation d’identifiants, etc., et leur impact sur l’analyse de risque et les obligations corrélatives. Elles confirment l’attente d’un dispositif réellement opérationnel, testé et documenté. edpb.europa.eu
  • Position luxembourgeoise. La CNPD rappelle au Chapitre IV que le responsable « prend toutes les mesures requises en vertu de l’article 32 » et doit démontrer la conformité; le même standard s’applique. cnpd.public.lu. Côté NIS 2, l’ILR précise les mesures « appropriées et proportionnées » (art. 21) et la responsabilité des organes de direction (art. 20); lignes directrices du 4 mars 2026. ilr.lu. Pour le secteur financier, la CSSF articule ces attentes via ses circulaires (20/750, 22/806, mises à jour au 9 avril 2025 pour alignement DORA). cssf.lu

En synthèse: l’affaire France Travail consacre une approche « results‑based ». Ce n’est pas l’intention ni la conformité documentaire qui compte, mais la réalité opérationnelle et la capacité à prouver l’adéquation et l’efficacité des mesures.

Ce que ça change concrètement

  • Les AIPD « pro forma » deviennent un risque direct. Si vos analyses identifient la MFA forte, la segmentation réseau ou la purge d’accès orphelins mais que rien n’est déployé dans les délais, vous reproduisez le schéma sanctionné. Attendez‑vous à des demandes de preuves (journaux, rapports de tests, tickets de remédiation). cnil.fr
  • La proportionnalité se démontre. Reliez chaque mesure aux risques pour les personnes: MFA résistante au phishing pour comptes à privilèges; chiffrement at‑rest/in‑transit et cloisonnement pour données sensibles; sauvegardes immuables et restaurations testées avec RTO/RPO tenus; garanties « miroir » chez les sous‑traitants (art. 28) avec preuves (attestations, audits) cohérentes avec CSSF 22/806. eur-lex.europa.eu et cssf.lu
  • L’organe de direction est comptable du niveau de sécurité. Sous NIS 2, il doit approuver les mesures (art. 20) et peut être tenu responsable (art. 21). Alignez votre gouvernance RGPD sur ce standard: comité bimestriel, indicateurs d’efficacité (déploiement MFA, remédiation vulnérabilités, couverture sauvegardes) et arbitrages tracés. ilr.lu
  • L’amende n’est pas réservée aux opérateurs privés. Un organisme public peut être sanctionné sur la base de l’art. 32, avec un plafond à 10 M€ pour la sécurité (art. 83 §4). Les organismes luxembourgeois de droit public sont exposés de la même manière. cnil.fr

Pièges fréquents observés en audit

  1. AIPD listant des mesures « prévues » sans plan daté ni preuves de déploiement: exigez un owner, un jalon et un artefact de preuve par mesure. cnil.fr
  2. MFA partielle (VPN/messagerie) absente des consoles d’admin, SI RH/CRM et outils d’accès à privilèges: une authentification faible accroît le risque et alourdit les obligations en cas d’incident. edpb.europa.eu
  3. Sauvegardes non testées et non isolées: l’article 32 vise la « capacité de restaurer »; sans tests réguliers, la résilience est présumée défaillante. eur-lex.europa.eu
  4. Comptes orphelins non purgés: un accès dormant est une voie d’entrée classique et requalifie la gravité; pilotez un indicateur > 90 jours. edpb.europa.eu
  5. Externalisations sans garanties vérifiables: clauses art. 28 à refléter dans le dispositif CSSF 22/806 (due diligence, réversibilité, reporting incidents); sans preuves, la proportionnalité est contestable. cssf.lu

Aller plus loin (Luxembourg)

Pour structurer la gouvernance et le pilotage des contrôles sécurité, un CISO externalisé pour le pilotage cyber peut accélérer la mise en conformité opérationnelle et la preuve d’efficacité des mesures.

Si vous êtes concernés par NIS 2, alignez vos contrôles avec les attentes locales décrites et votre plan d’audit interne avec les obligations d’organe de direction; consultez notre page directive NIS 2 et entités essentielles pour cadrer vos priorités au Luxembourg. Pour la conformité RGPD locale, voyez aussi les exigences CNPD au Luxembourg.

Sources officielles

  • CNIL — Violation de données: sanction de 5 M€ (22/01/2026). cnil.fr
  • Légifrance — Délibération SAN‑2026‑003 (22/01/2026). legifrance.gouv.fr
  • RGPD (art. 32 et 83). eur-lex.europa.eu
  • EDPB — Exemples de notification de violations (01/2021). edpb.europa.eu
  • CNPD Luxembourg — Chapitre IV RGPD. cnpd.public.lu
  • ILR — Mesures de sécurité et supervision sous NIS 2; organes de direction. ilr.lu et ilr.lu
  • CSSF — Circulaire 22/806 (MAJ 09/04/2025) et communiqué d’alignement DORA. cssf.lu et cssf.lu

Enseignement clé pour mai‑juin 2026: les autorités européennes — y compris au Luxembourg — regardent désormais au‑delà des politiques. Elles vérifient l’exécution, la traçabilité et l’efficacité des mesures article 32. L’écart entre AIPD et réalité opérationnelle devient, à lui seul, un motif de sanction.

Article d'expertise Luxgap. Pour un cadrage personnalise sur ce sujet, contactez-nous ou configurez votre devis en ligne.

expertise reglementaire rgpd cnil article-32 nis-2 luxembourg
NEWSLETTER LUXGAP

Recevez nos analyses des qu'elles sortent.

Articles d'expertise RGPD, NIS 2, IA, et invitations aux webinaires + formations gratuites Luxgap. 1 a 2 emails par semaine maximum, desabonnement en un clic.

Vos données ne sont jamais partagées. Conformité RGPD garantie (logique : on est DPO).

Une question sur ce sujet ?

Notre équipe répond généralement sous 24 h ouvrées. Configurez votre devis ou écrivez-nous.

Configurer mon devis →