Veille Juridique n°91 – janvier 2026. 

 

Protezione dei dati alla luce della sanzione "France Travail".

La sanction adoptée le 29 janvier dernier par la CNIL à l’encontre de France Travail est exemplaire en ce qu’elle nous rappelle les éléments essentiels d’une politique de sécurité efficace.

Dans un contexte de multiplication des violations de données massives, la CNIL met l’accent sur trois aspects fondamentaux de la protection des données :

• Une authentification robuste,
• Une journalisation efficace,
• Une politique d’habilitation adaptée aux responsabilités des agents.

La sanction de la CNIL, d’un montant de 5 millions d’euros, est le dernier acte d’une affaire ayant débuté en 2024 quand des hackers ont réussi à accéder aux comptes de conseillers de Cap Emploi.

Cet accès leur a permis de se connecter aux données de l’ensemble des personnes inscrites auprès de France Travail, ou qui l’ont été au cours des 20 dernières années, ainsi que des personnes ayant un espace candidat sur francetravail.fr.

Ce sont ainsi les données de plus de 36 millions de personnes qui ont pu être téléchargées par les pirates informatiques.

En matière de responsabilité, on retiendra que si la CNIL n’élude pas celle des conseillers de Cap Emploi, elle insiste sur la responsabilité principale de France Travail.

• C’est de France Travail que relève « l’initiative du déploiement et du pilotage des mesures destinées à assurer la sécurité du système d’information, dont il a ouvert l’accès aux Cap Emploi (…) ».
• C’est également France Travail qui a décidé de passer outre les recommandations préalables de l’analyse d’impact en matière d’authentification.

Des contraintes de temps, liées aux difficultés techniques de mise en place l’auraient poussé  à passer outre ces précautions.

La CNIL rappelle à cet égard sa doctrine en matière d’authentification et précise que l’utilisation de mots de passe doit être complétée de mesures additionnelles (captcha, temporisation d’accès ou blocage du compte après un maximum de dix tentatives erronées), sauf si le mot de passe est composé : soit d’au minimum 12 caractères comprenant des majuscules, des minuscules, des chiffres et des caractères spéciaux; soit d’au minimum 14 caractères comprenant des majuscules, des minuscules et des chiffres, sans caractère spécial obligatoire ; soit d’une phrase comprenant au minimum 7 mots.

Dans le cas d’espèce, le mot de passe n’était que de huit caractères, et la politique d’authentification prévoyait un seuil de 50 tentatives infructueuses avant de verrouiller l’accès aux machines virtuelles des conseillers. 

France Travail traitant de nombreuses données sensibles, portant par exemple sur l’origine du handicap, les contraintes d’un poste de travail, l’évolution de la situation de handicap, les conditions d’accès auraient dû être beaucoup plus strictes.

Elles auraient notamment dû prévoir une authentification multi facteur, doctrine qui selon la CNIL s’impose en particulier pour les traitements de données sensibles et les traitements ou les opérations à risque pour les personnes concernées.

« La difficulté du recours à un téléphone comme second facteur, du fait de l’indépendance des Cap Emploi, aurait pu être surmontée par d’autres mesures, par exemple par la distribution de calculettes OTP ( » One-Time Password « ) aux employés (…). »

La CNIL insiste en outre sur le rôle essentiel des mesures de journalisation.

Celles-ci ne permettaient pas de détecter les comportements anormaux sur le système d’information, ici des volumes de téléchargement de données hors normes.

Le rapporteur de la CNIL reproche à France Travail l’absence de contrôle régulier automatique des journaux permettant de détecter et d’analyser les incidents de sécurité et de leur apporter une réponse rapide et efficace.

« Les opérations réalisées présentaient un caractère hautement anormal au regard des horaires et de la fréquence des requêtes, du volume considérable de données extraites (25 Go de données de type « texte »), du taux d’erreur de certaines requêtes (69 % sur un des comptes usurpés (…), et du fait même que les données ont été extraites alors que l’activité des conseillers Cap Emploi ne nécessite ni une consommation importante de ressources, ni une extraction importante de données (par exemple, rien que le mardi 6 février 2024, 9 Go de données ont été extraites, ce qui correspondrait à plus de 13 millions de fiches pour un seul conseiller en une seule journée). »

Enfin, la CNIL insiste sur l’importance de limiter les habilitations d’accès aux besoins et aux fonctions des employés.

Elle relève que celles des comptes des conseillers avaient été définies de manière trop large, leur permettant d’accéder aux données de personnes qu’ils n’accompagnaient pas, ce qui a accru le volume de données accessibles par les attaquants.

La CNIL justifie le montant de la sanction par le choix opéré par France Travail de ne pas mettre en œuvre les recommandations de son analyse d’impact, qui a conduit à la compromission des données à caractère personnel de plus 36,8 millions de personnes, y compris de données faisant l’objet d’une protection particulière comme le NIR, qui présente des risques spécifiques d’usurpation ou d’interconnexion en raison de sa nature signifiante, unique et pérenne.

Cela peut sembler une évidence de conclure qu’il ne faut pas attendre une violation de données pour assurer la sécurité d’un système.

Précisons encore que la CNIL sanctionne régulièrement des manquements à l’obligation de sécurité sans que ceux-ci soient nécessairement à l’origine d’une violation de données, tels qu’une politique de mot de passe insuffisamment robuste.

La sécurité des données faisait d’ailleurs partie en 2025 des principaux sujets de sanction de l’autorité de contrôle, comme l’indique son bilan publié au début du mois de février.

 

Une fuite de données passée inaperçue pendant dix-huit mois frappe l’un des principaux tiers de confiance du numérique en France.

La plateforme de vérification d’identité et de lutte contre la fraude Sumsub indique avoir subi « un incident de sécurité » en juillet 2024.

L’entreprise vient de prendre connaissance de l’intrusion à la suite d’un audit de sécurité, réalisé en janvier 2026. La cyberattaque repose, comme dans le cas de France Travail, sur la compromission d’un tiers.

Parmi les données compromises, on trouve des noms, des adresses électroniques et des numéros de téléphone.

Le 30 décembre 2025, la CNIL a infligé une sanction de 3,5 millions d’euros à une société dont elle tait malheureusement le nom, pour avoir transmis à intervalles réguliers, pendant six ans, les données de membres de son programme de fidélité à un réseau social à des fins de ciblage publicitaire, sans consentement valable.

À l’issue d’une consultation publique, la CNIL a publié le 16 janvier ses recommandations sur le recueil du consentement multi-terminaux (cross-device) dans le cadre de l’utilisation de cookies et autres traceurs.

L’objectif est d’aider les acteurs à recueillir un consentement conforme aux exigences du RGPD, et d’assurer en particulier un recueil transparent du consentement.

La Commission a également publié le 14 janvier deux cartes qui recensent les certifications et les codes de conduite approuvés par les autorités nationales ou par le comité européen de la protection des données (EDPB) depuis l’entrée en application du RGPD, pour faciliter l’identification des outils de conformité disponibles.

Enfin, dans le contexte des élections municipales des 15 et 22 mars prochains, la CNIL rappelle les bonnes pratiques en matière de démarchage politique et réactive son observatoire des élections.

Mis en place en 2012, celui-ci a pour objectif de s’assurer que les partis politiques et les candidats prennent en compte la législation sur la protection des données dans leurs pratiques.

Il permet notamment d’assurer le suivi des sollicitations adressées à la CNIL dans le cadre des campagnes électorales telles que les demandes de conseil des candidats ou les signalements des mauvaises pratiques.

L’État a pris début février trois engagements en faveur de la souveraineté numérique :

• En matière de données de santé, il a lancé un appel d’offres pour confier les données de santé des Français à une « plateforme sécurisée européenne ».
• De façon plus générale, l’État s’engage à orienter massivement ses achats publics vers des solutions françaises et européennes, en y investissant ⁠4,5 milliards d’euros.

Selon David Amiel, ministre délégué chargé de la Fonction publique, « Il y a urgence à se désintoxiquer des solutions américaines ».

• Enfin, une Circulaire du Premier ministre récemment publiée précise que les administrations doivent privilégier les solutions du marché (plutôt que développer en interne) à condition qu’elles répondent aux critères de souveraineté et de sécurité.

Le Conseil d’Etat a donné raison à la CNIL le 30 janvier 2026, dans le contexte d’un litige en matière de surveillance algorithmique qui l’opposait à la ville de Nice.

Il confirme que le traitement algorithmique des images des caméras de vidéosurveillance placées à l’entrée des écoles, mis en place par la commune, n’est pas autorisé en l’état actuel de la loi. 

S’il permet la mise en œuvre de systèmes de vidéosurveillance des voies publiques, le Code de sécurité intérieur ne saurait, dans son silence, « être interprété comme autorisant la mise en œuvre de traitements algorithmiques permettant une analyse systématique et automatisée des images collectées dans des espaces publics au moyen de tels systèmes. Aucune autre disposition n’autorise, par ailleurs, la mise en œuvre de tels traitements. »

Les Américains « accidentels » demandent à la CNIL de suspendre le transfert de leurs données bancaires vers les Etats-Unis.

Conformément au Foreign Account Tax Compliance Act (FATCA), les établissements bancaires français doivent transmettre à l’administration fiscale américaine de nombreuses données sensibles les concernant, afin de lutter contre de possibles fraudes – les Américains doivent en effet déclarer leurs revenus aux États-Unis quel que soit leur lieu de résidence dans le monde.

L’association des Américains accidentels dénonce l’accord actuel entre les Etats-Unis et la France qui règle les conditions du partage de ces informations.

 

istituzioni e organismi europei

Le 20 janvier 2026, la Commission européenne a proposé un nouveau paquet de mesures en matière de cybersécurité visant à renforcer la résilience de l’UE et à améliorer sa capacité à gérer les menaces.

Le projet comprend une proposition de révision du règlement sur la cybersécurité, qui renforce la sécurité des chaînes d’approvisionnement des technologies de l’information et de la communication (TIC) de l’UE.

Il garantit que les produits destinés aux citoyens de l’UE sont cybersécurisés dès leur conception grâce à un processus de certification simplifié.

Il facilite également le respect des règles existantes de l’UE en matière de cybersécurité et renforce l’Agence européenne chargée de la cybersécurité (ENISA) dans son rôle de soutien aux États membres et à l’UE dans la gestion des menaces liées à la cybersécurité.

La Commission européenne et le Brésil ont adopté le 27 janvier deux décisions d’adéquation mutuelles, confirmant que leurs niveaux de protection des données sont comparables.

« Reconnaissant les normes élevées en matière de protection des données qui protègent les consommateurs et les citoyens des deux côtés, ces accords permettent désormais aux entreprises, aux autorités publiques et aux chercheurs d’échanger librement des données entre l’UE et le Brésil. »

La Commission a ouvert le 26 janvier une nouvelle enquête officielle à l’encontre de X dans le cadre du Règlement sur les services numériques (DSA).

Elle soupçonne que les fonctionnalités Grok intégrées à X comportent des risques non évalués et non atténués de générer et diffuser des contenus illégaux, tels que des images manipulées sexuellement explicites, y compris des contenus pouvant constituer du matériel pédopornographique.

Elle a également prolongé la procédure formelle engagée en décembre 2023 à l’encontre de X afin de déterminer si la société a correctement évalué et atténué tous les risques systémiques liés à ses systèmes de recommandation de contenu.

Le 26 janvier également, la Commission européenne a officiellement désigné WhatsApp comme une très grande plateforme en ligne (VLOP) au titre du DSA, car sa fonctionnalité « Channels » atteint le seuil requis d’au moins 45 millions d’utilisateurs dans l’UE.

Meta dispose de quatre mois, soit jusqu’à la mi-mai 2026, pour s’assurer que WhatsApp se conforme aux obligations supplémentaires imposées par le DSA.

Ces obligations comprennent l’évaluation et l’atténuation de tout risque systémique, tel que les violations des droits humains fondamentaux et de la liberté d’expression, la manipulation électorale, la diffusion de contenus illégaux et les problèmes de confidentialité, découlant de ses services.

Le Comité européen de la protection des données (EDPB) et le Contrôleur européen de la protection des données (EDPS) ont adopté le 21 janvier un avis conjoint sur la proposition de la Commission européenne relative au « Digital Omnibus on AI », qui vise à simplifier la mise en œuvre de certaines règles harmonisées prévues dans le règlement sur l’IA afin d’en garantir l’application effective.

Les deux autorités soutiennent l’objectif visant à relever les défis pratiques liés à la mise en œuvre du texte mais soulignent que la simplification administrative ne doit pas réduire la protection des droits fondamentaux. Certaines modifications proposées pourraient selon les régulateurs compromettre la protection des personnes dans le contexte de l’IA.

 

Notizie dai paesi membri dell'Unione europea.

En Grèce, l’autorité de protection des données (APD) a émis un avertissement contre le déploiement d’un système de « police intelligente » impliquant l’utilisation d’appareils portables intelligents par les patrouilles pour déterminer et vérifier l’identité des citoyens soumis à des contrôles sur place à l’aide de données biométriques. L’APD considère ce traitement comme étant illégal car non spécifiquement prévu par la législation en vigueur.

L’APD espagnole a infligé une amende de 1 200 000 € au groupe IDCQ Hopitaux et Santé pour avoir supprimé trop rapidement les données de patients, ce qui l’a empêché de remplir son obligation d’informer les personnes concernées.

L’APD norvégienne a infligé une amende de 250 000 NOK (environ 25 000 €) à Timegrip AS pour avoir illégalement refusé à d’anciens employés l’accès à leurs registres de temps de travail après la faillite de leur employeur et pour s’être présentée à tort comme un simple sous-traitant alors qu’elle exerçait un contrôle effectif sur les données à caractère personnel.

Timegrip avait notamment assumé le statut de responsable après la faillite, étant la seule entité exerçant un contrôle technique et pratique sur les données.

Le président de l’APD polonaise a infligé une amende administrative de 978 000 PLN (250 000 €) à Poczta Polska S.A. pour ne pas avoir garanti l’indépendance du délégué à la protection des données (DPO).

L’autorité de contrôle a constaté que l’entreprise avait permis un conflit d’intérêts dans l’exercice des fonctions du DPO.

Au Royaume-Uni, l’APD a infligé une amende de 105 000 livres sterling (120 000 euros) à la société ZMLUK Limited, une agence de courtage financier et de publicité, pour avoir envoyé plus de 67 millions de courriels de marketing direct non sollicités, sans le consentement des personnes concernées ou sans exception valable.

L’APD suédoise a infligé une amende de 6 000 000 SEK (560 000 €) à un sous-traitant, Sportadmin i Skandinavien AB, fournisseur de services numériques pour le compte de clubs et d’associations sportifs, après qu’une cyberattaque ait exposé les données personnelles de plus de 2,1 millions de personnes.

Le sous-traitant ait été jugé coupable de ne pas avoir mis en place des mesures de sécurité suffisantes, en violation de l’article 32 du RGPD.

Le gouvernement suisse souhaite étendre la surveillance en ligne en révisant une ordonnance sur la surveillance de la correspondance postale et des télécommunications.

La proposition augmenterait significativement la quantité de données personnelles conservées en imposant aux grands fournisseurs de services de communication l’obligation de conserver les métadonnées et en prévoyant des exigences d’identification des utilisateurs à pratiquement tous les fournisseurs de services.

Ceux-ci devraient conserver ces données pendant au moins six mois et aider les forces de l’ordre à décrypter leur contenu. 19 organisations de la société civile ont adressé une lettre au Département fédéral suisse de justice et police pour exprimer leurs préoccupations.

 

Au Royaume-Uni, l’APD a infligé une amende de 105 000 livres sterling (120 000 euros) à la société ZMLUK Limited, une agence de courtage financier et de publicité, pour avoir envoyé plus de 67 millions de courriels de marketing direct non sollicités, sans le consentement des personnes concernées ou sans exception valable.

Le gouvernement suisse souhaite étendre la surveillance en ligne en révisant une ordonnance sur la surveillance de la correspondance postale et des télécommunications.

La proposition augmenterait significativement la quantité de données personnelles conservées en imposant aux grands fournisseurs de services de communication l’obligation de conserver les métadonnées et en prévoyant des exigences d’identification des utilisateurs à pratiquement tous les fournisseurs de services.

Ceux-ci devraient conserver ces données pendant au moins six mois et aider les forces de l’ordre à décrypter leur contenu.

19 organisations de la société civile ont adressé une lettre au Département fédéral suisse de justice et police pour exprimer leurs préoccupations.

Le 3 février 2026, la commission judiciaire de la Chambre des représentants des États-Unis a publié un rapport attaquant le règlement européen sur les services numériques (DSA) en le qualifiant d’outil de censure : « La menace de la censure étrangère, partie II : la campagne menée depuis dix ans par l’Europe pour censurer l’Internet mondial et ses conséquences néfastes sur la liberté d’expression aux États-Unis »

Dans ce rapport, plusieurs ONGs européennes dont Bits of Freedom et Justice for Prosperity sont qualifiés d’ « ONG censeurs ».

Cinq sanctions, rapportées précédemment dans cette lettre d’actualités, ont déjà été imposées sous forme d’interdictions d’entrée sur le territoire américain à l’encontre d’Européens impliqués dans l’application du DSA, la recherche et la critique du pouvoir des plateformes.

La Commission européenne a réagi via son porte-parole en rappelant que le DSA replace la responsabilité là où elle doit être, c’est-à-dire sur les plateformes en ligne.

L’interdiction des réseaux sociaux aux mineurs de moins de 16 ans en Australie est devenue un modèle de référence au niveau international, malgré les lacunes identifiées dans les premiers temps de sa mise en œuvre. L’Union européenne, le Royaume-Uni et les Etats-Unis suivent ainsi de près l’expérience australienne, certains pays ayant déjà introduit des propositions de loi similaires recensées par l’IAPP (International Association of Privacy Professionals) dans un article du 5 février.