France Travail (ex-pôle Emploi) subira-t-il d’autres cyberattaques en 2025, après celle de mars 2024 ? C’est visiblement ce que veut éviter la Commission nationale de l’informatique et des libertés (CNIL), à la lecture de sa délibération publiée le 1ᵉʳ janvier dernier au Journal officiel. L’autorité indépendante, chargée de protéger notre vie privée, y fait part de son « inquiétude », alors qu’elle passait au crible, à la demande du ministère du Travail et de l’Emploi, le projet de mises à jour des systèmes d’information de France Travail.
Pour rappel, la loi pour le plein emploi de décembre 2023, qui est venue réformer l’organisme dédié aux chômeurs, a prévu un « nouveau parcours rénové d’accompagnement des demandeurs d’emploi » dont une partie repose sur l’analyse de données. Pour ce faire, France Travail met en place six nouveaux traitements de données personnelles. Ces derniers impliqueront des partages de données des demandeurs d’emploi avec différents organismes, tous décrits dans un décret aussi publié le 1ᵉʳ janvier dernier au Journal officiel.
À lire aussi : France Travail (ex Pôle emploi) épinglé par la Quadrature du Net pour son recours aux algorithmes
Les données des demandeurs d’emploi accessibles à davantage d’entités
Et ce sont justement ces futurs traitements de données, et ces nouveaux partages, qui inquiètent la CNIL. L’organisme en charge de l’aide à l’emploi et à la réinsertion va en effet permettre à des « partenaires » du « réseau pour l’emploi » d’accéder aux données d’au moins six millions de personnes. Parmi ces partenaires, on trouve « les régions, les départements, les communes et groupements de communes, les missions locales pour l’insertion professionnelle et sociale des jeunes (missions locales), les Cap emploi », la Caisse nationale d’allocations familiales ainsi que la Caisse centrale de la mutualité sociale agricole.
Ce qui signifie que les données des demandeurs d’emploi, jusque-là majoritairement cantonnées aux agents de Pôle emploi, seront accessibles à un plus grand nombre d’organismes. Si la CNIL ne critique pas en soi cet accès et ce partage de données, elle rappelle qu’ils doivent s’accompagner de « mesures de sécurité adaptées aux risques ».
Car les nouveaux systèmes d’informations de France Travail vont être ouverts massivement, et « dans des délais extrêmement contraints » à ces nouvelles entités, note-t-elle. « Cette extension accroît les risques de sécurité auxquels les traitements sont exposés » puisqu’ils sont potentiellement autant de nouveaux points d’entrée des pirates informatiques. En particulier si les principes de cybersécurité ne sont pas suivis à la lettre.
En mars 2024, les pirates étaient passés par… un partenaire de France Travail
Et les exemples d’organismes du secteur social insuffisamment protégés, et ciblés par des cyberattaques, ne manquent malheureusement pas. En 2024, la CAF mais aussi et surtout France Travail ont subi des piratages. En mars 2024, les données de 43 millions de Français ont été potentiellement exfiltrées des systèmes informatiques de l’ex-Pôle emploi.
Et selon une enquête du Parquet de Paris, les pirates informatiques s’étaient justement introduits dans les systèmes de l’ex-Pôle emploi en passant par « un partenaire » de France Travail : Cap emploi, un organisme dédié à l’accompagnement de personnes en situation de handicap.
Ce qui explique que l’autorité indépendante « invite », dans un avis non contraignant, « le ministère (du Travail et de l’Emploi, NDLR) à exiger la mise en œuvre de mesures de sécurité effectives pour l’ensemble des structures du réseau pour l’emploi avant toute mise à disposition de nouveaux outils (…) ». Elle suggère par exemple de mettre fin aux « dérogations aux exigences de sécurité (…) accordées dès la mise en œuvre des traitements concernés ».
L’autorité indépendante demande ni plus ni moins au ministère de s’assurer que l’organisme public a bien mis en place des dispositifs de sécurité suffisants, avant de lancer les nouveaux traitements informatiques – et avant de partager les données des demandeurs d’emploi.
De très nombreuses données accessibles
Il faut dire que les données collectées « à grande échelle » sont particulièrement stratégiques : il s’agit de « données dites sensibles (celles relatives notamment à la santé), des “données relatives à des condamnations pénales, infractions ou mesures de sûreté connexes”, ainsi qu’à des données dites “hautement personnelles” (données bancaires) ». « Le responsable de traitement devra veiller à collecter et traiter ces données avec la plus grande précaution et en apportant des garanties particulières », insiste l’autorité.
Les data que les traitements informatiques envisagent d’aspirer et de traiter sont-elles réellement indispensables ? La CNIL rappelle aussi que seule la nécessité doit entraîner la collecte de données.
Pour la CNIL, le dossier n’est pas clos
À côté de ces éléments de fond, l’organisme indépendant regrette aussi la façon dont il a été saisi par le ministère du Travail et de l’Emploi. Le projet de France Travail est « d’une telle envergure » que la CNIL ne peut pas, via une procédure d’urgence et en une seule et unique saisine – « instruire correctement les projets de textes adressés », regrette-t-elle. Dit autrement, l’autorité déplore que le Gouvernement n’ait pas divisé sa demande d’appréciation en plusieurs parties. « L’absence d’observation (…) sur certaines dispositions du projet de décret ne sauraient préjuger de la licéité de l’ensemble des traitements concernés », déclare-t-elle.
En d’autres termes, la CNIL compte bien suivre le dossier dans les prochains mois. Elle « invite (d’ailleurs) le ministère à revenir vers elle aux fins de poursuivre les échanges sur la mise en conformité des différents traitements » de données personnelles. L’invitation lancée sera-t-elle suivie d’effet ?
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
