Le piratage massif des données de 36 millions de personnes interroge la logique de centralisation et de conservation des informations personnelles par l’administration. Jusqu’où l’État peut-il étendre le fichage administratif sans accroître les risques pour la sécurité des citoyens et la confiance publique ?
En mars 2024, France Travail est victime d’une cyberattaque d’ampleur exceptionnelle. En usurpant les comptes de conseillers Cap Emploi grâce à des techniques d’ingénierie sociale1, des hackers parviennent à accéder aux bases de données de l’opérateur public et à exfiltrer les informations personnelles de 36 millions de personnes. Noms, prénoms, dates de naissance, numéros de Sécurité sociale, adresses, coordonnées téléphoniques, statut de demandeur d’emploi : un volume considérable de données sensibles se retrouve compromis.
Saisie du dossier, la Commission nationale de l’informatique et des libertés (Cnil) ouvre une procédure de sanction en juillet 2025. Elle reproche à France Travail de ne pas avoir mis en place, au moment des faits, des mesures de sécurité « à la hauteur du risque » pesant sur les données traitées. Résultat : une amende de cinq millions d’euros et une injonction à renforcer les dispositifs de protection, notamment l’authentification des agents et la surveillance des accès aux fichiers.
Selon la Cnil, l’attaque n’a pas reposé sur une faille technique complexe, mais sur l’exploitation de la confiance des agents. En se faisant passer pour le support informatique, les pirates ont réussi à réinitialiser des mots de passe et à usurper des comptes professionnels, ouvrant ainsi un accès quasi illimité à des informations hautement sensibles. Un scénario classique, mais redoutablement efficace, qui met en lumière les limites des dispositifs de sécurité lorsque les bases de données sont vastes et largement accessibles.
France Travail a reconnu sa responsabilité et annoncé qu’il ne formerait pas de recours contre la décision. L’établissement public affirme avoir depuis renforcé ses procédures : mots de passe robustes, double authentification, restriction de l’accès aux dossiers selon la zone géographique, formations régulières à la cybersécurité et outils de détection des comportements anormaux.
Aucun système n’est invulnérable
Mais cette affaire dépasse le cadre d’un simple manquement technique. Elle illustre une tendance plus large : l’intensification du fichage administratif, au nom de l’efficacité et du contrôle. En centralisant et en conservant des quantités toujours plus importantes de données personnelles, l’administration crée des fichiers dont la valeur attire inévitablement des acteurs malveillants. Et contrairement à une idée répandue, ces dispositifs profitent rarement aux citoyens eux-mêmes.
Car plus les données sont nombreuses, plus les conséquences d’une faille sont lourdes. L’exposition massive d’informations personnelles fragilise la confiance dans les institutions et place des millions de personnes face à des risques d’usurpation d’identité ou d’utilisation frauduleuse de leurs données. Elle rappelle surtout une réalité souvent sous-estimée : aucun système n’est invulnérable. En témoigne le piratage des serveurs informatiques du ministère de l’intérieur, en décembre dernier.
La sanction financière imposée à France travail répont-elle vraiment au problème ? Les cinq millions d’euros versés au titre de l’amende auraient-ils été plus utiles investis autrement ? Moins dans la multiplication des outils de contrôle et de surveillance, et davantage dans la mission première de France Travail : l’accompagnement des demandeurs d’emploi, la formation et l’insertion professionnelle.
A force de vouloir tout ficher, l’administration accroît les risques qu’elle prétend maîtriser. Réduire la collecte de données au strict nécessaire et recentrer les moyens sur le service rendu aux usagers serait plus avisé, autant pour la sécurité numérique que pour la confiance démocratique.
