Le 22 janvier 2026, la CNIL a infligé une amende de 5 millions d’euros à France Travail pour défaut de sécurisation des données personnelles de 36 millions de demandeurs d’emploi. Au-delà du montant, cette décision pose une question fondamentale : les sanctions pécuniaires du RGPD ont-elles réellement un effet dissuasif lorsqu’elles frappent un organisme public ?
Les opinions exprimées dans ce texte n’engagent que leur auteur
Les faits : une faille de sécurité aux conséquences massives
Au premier trimestre 2024, des attaquants se sont introduits dans le système d’information de France Travail en exploitant des techniques d’ingénierie sociale. En usurpant les comptes de conseillers Cap Emploi, ils ont accédé aux données de l’ensemble des personnes inscrites ou ayant été inscrites au cours des 20 dernières années : noms, prénoms, dates de naissance, numéros de sécurité sociale, adresses postales et électroniques, numéros de téléphone.
Le contrôle de la CNIL a mis en lumière trois manquements majeurs à l’article 32 du RGPD (sécurité du traitement) :
- Des modalités d’authentification insuffisamment robustes pour les conseillers Cap Emploi.
- Des mesures de journalisation trop faibles pour détecter les comportements anormaux.
- Des habilitations d’accès définies de manière trop large, permettant à des conseillers d’accéder à des données de personnes qu’ils n’accompagnaient pas.
Circonstance aggravante relevée par la formation restreinte : France Travail avait elle-même identifié la plupart de ces mesures de sécurité comme nécessaires dans ses propres analyses d’impact (AIPD), sans jamais les mettre en œuvre. Une négligence d’autant plus significative qu’elle révèle non pas un défaut d’expertise, mais un défaut de volonté ou de priorisation.
Secteur privé vs secteur public : le mécanisme de sanction ne produit pas les mêmes effets
C’est ici que la réflexion de fond commence. Si la sévérité de l’amende témoigne de la gravité de la faille, son impact réel soulève une interrogation structurelle : celle de la « neutralité » de la sanction pour une entité financée par l’argent public.
Dans le secteur privé, l’amende mord
Le mécanisme de sanction pécuniaire repose sur une logique de responsabilité claire et directe. Pour une grande entreprise, une amende conséquente dégrade les résultats financiers, impacte les dividendes et expose la direction à une mise en cause par les actionnaires. Pour une structure plus modeste (TPE, PME), la sanction peut menacer la viabilité même de l’entreprise, engageant de fait la responsabilité stratégique du dirigeant. Dans les deux cas, le levier financier agit comme un puissant aiguillon pour contraindre les décideurs à investir dans la mise en conformité.
Dans le secteur public, l’amende tourne en boucle
À l’inverse, cette courroie de transmission semble faire totalement défaut dans la sphère publique. Une amende infligée à un établissement public comme France Travail revient, d’un point de vue macroéconomique, à un transfert de fonds publics d’une ligne budgétaire vers le budget général de l’État. Le préjudice financier est dilué au sein de la collectivité. Ce sont les contribuables, pourtant premières victimes de la fuite de données, qui assurent indirectement le financement de la sanction.
France Travail le reconnaît d’ailleurs implicitement en déclarant « regretter la sévérité de cette sanction », tout en précisant qu’elle ne fera pas de recours. Sans actionnaires, sans risque de faillite, sans pression concurrentielle, le décideur public ne subit pas la même pression que son homologue du privé.
Le budget de France Travail est déterminé par la loi et repose principalement sur les cotisations sociales. La CNIL elle-même le reconnaît : pour un organisme public, le montant de l’amende ne s’effectue pas en fonction d’un chiffre d’affaires, mais d’une fourchette plafonnée à 10 millions d’euros. On est loin du potentiel de 4 % du chiffre d’affaires mondial qui pèse sur les entreprises privées.
Quelles pistes pour rendre la sanction publique réellement dissuasive ?
Cette asymétrie de responsabilité invite à explorer de nouvelles pistes. Pour que la protection des données devienne une véritable priorité de gestion dans le secteur public, plusieurs évolutions pourraient être envisagées.
Vers une responsabilité personnelle des gestionnaires publics
Plutôt qu’une obligation de résultat, difficilement applicable en matière de cybersécurité, une obligation de moyens renforcée pourrait être instaurée pour les décideurs publics. Il s’agirait de rendre les responsables personnellement comptables de la démonstration des mesures de protection mises en œuvre.
Le cas France Travail est d’ailleurs emblématique : les mesures de sécurité avaient été identifiées dans les AIPD mais n’avaient pas été déployées. Une telle négligence, si elle engageait la responsabilité personnelle du dirigeant (ou du DSI, ou du DPO), produirait un tout autre effet que le simple transfert d’une ligne budgétaire.
Faciliter l’indemnisation des victimes : le levier manquant
L’équilibre du système repose aussi sur la capacité des citoyens à obtenir une réparation effective. C’est un terrain encore semé d’embûches.
La jurisprudence commence à consacrer le « préjudice d’anxiété » en matière de violation de données personnelles. Mais le parcours pour le faire reconnaître demeure long et complexe. Isolé, l’usager fait face à une asymétrie de moyens colossale face à l’État. Les actions de groupe, bien que prévues par le droit français, restent lourdes à mettre en œuvre et soumises à des critères de recevabilité stricts qui découragent le plus souvent les initiatives.
Pourtant, c’est précisément par la simplification des procédures d’indemnisation que le risque juridique deviendra un coût concret et fléché pour l’organisation défaillante. Le jour où chaque fuite de données se traduira par un coût d’indemnisation réel et identifiable dans les comptes de l’organisme concerné, la cybersécurité cessera d’être perçue comme un centre de coût pour devenir ce qu’elle est vraiment : une assurance contre un risque financier et juridique majeur.
Ce que cette affaire nous enseigne
La sanction de France Travail est un cas d’école pour tout DPO intervenant dans le secteur public. Elle rappelle plusieurs fondamentaux :
L’AIPD n’est pas un exercice théorique. Identifier les risques dans une analyse d’impact sans déployer les mesures correctives est un facteur aggravant explicitement retenu par la CNIL.
La sécurité des accès tiers est un angle mort critique. L’attaque a transité par les comptes Cap Emploi, rappelant que la chaîne de sécurité est aussi solide que son maillon le plus faible.
Le volume de données exposées pèse lourd dans la sanction. L’accès à 20 ans d’historique de demandeurs d’emploi a considérablement aggravé la situation.
La conformité RGPD dans le public exige un changement culturel. Tant que la sanction sera perçue comme indolore par les décideurs, la protection des données restera une préoccupation secondaire face aux urgences opérationnelles.
La CNIL a assorti sa décision d’une injonction de mise en conformité sous astreinte de 5 000 euros par jour de retard. C’est peut-être ce volet, plus que l’amende elle-même, qui contraindra France Travail à agir concrètement. Car c’est bien là tout le paradoxe : dans le secteur public, ce n’est pas la punition qui fait bouger les lignes, mais la contrainte permanente.
