43 millions ! C’est le nombre record de personnes « potentiellement » concernées par la dernière cyberattaque d’un service public et l’exfiltration de leurs données personnelles : nom, prénom, date et lieu de naissance, numéro de Sécurité sociale, identifiant France Travail (Pôle emploi), adresses email et postale, numéro de téléphone. La totale ! Ou presque : côté administration française, on a tenu à préciser que les coordonnées bancaires n’ont pas été dérobées.

Quelle que soit la cause du piratage, ces données personnelles, qui permettent de tous nous identifier, doivent être protégées, dans tous les cas et à plus forte raison lorsqu’il s’agit de services de l’État ! Le piratage de France Travail et de Cap Emploi, un organisme de placement spécialisé, en l’occurrence ici chargé d’une mission de service public dans le champ de l’insertion professionnelle des personnes handicapées, n’est que le dernier d’une liste qui commence à être longue et interroge sur la sécurité de nos données personnelles au sein même d’administrations qui grâce à la collecte, au traitement et au partage de ces mêmes données, savent tout de nous, ou quasiment.

Nos données personnelles dans la nature, la liste s’allonge

En janvier 2023, on apprenait que les données personnelles de plus de 10 000 allocataires de la CAF de Gironde étaient disponibles sur le site d’un prestataire privé pendant presque deux ans.

En août 2023, une cyberattaque visant un prestataire privé de Pôle Emploi, Majorel en l’occurrence (spécialisé dans la gestion de la relation client), aboutit au vol des données personnelles de 10 millions d’usagers… et à la mise en vente de leurs noms et prénoms, numéro de Sécurité sociale et statut de demandeur d’emploi sur le darknet.

Précisons à ce stade que le principal risque d’un vol de données personnelles est l’usurpation d’identité, avec son cortège de galères : comptes personnels perdus, réception d’emails et de SMS d’hameçonnage, tentatives d’escroquerie, ouverture de comptes bancaires au nom des victimes…

Ajoutons — même si cette cyberattaque-là ne concerne pas des services publics, mais des complémentaires santé — le vol des données (état civil, date de naissance, numéro de sécurité sociale, nom de l’assureur…) d’au moins 33 millions d’assurés sociaux en février dernier. Cette fois-ci, des géants de la gestion du tiers payant — et ainsi de nos cartes vitales — ont été les cibles des hackers.

Et donc en mars 2023, c’est le tout nouveau France Travail (ex-Pôle Emploi) qui nous signale que les données personnelles de 43 millions de personnes se sont évaporées dans la nature. Y compris celles d’anciens demandeurs d’emploi… jusqu’à 20 ans en arrière. France Travail justifie cette durée de conservation par une « conformité au Code du travail » pour permettre aux demandeurs d’emploi de constituer leur dossier retraite en temps voulu.

Conserver aussi longuement des données personnelles interroge toutefois vis-à-vis d’un principe de base du RGPD (Règlement général de la protection des données) : la stricte limitation de la durée de conservation des données personnelles.

Dire que cela commence à faire — vraiment — beaucoup est un euphémisme

Doit-on rappeler aux administrations ici citées — et aux autres — que la loi Informatique et Libertés ainsi que le RGPD, dans ses articles 33 et 34, leur impose de « prévenir toute violation de données personnelles » ? C’est-à-dire de mettre en place des processus de sécurité dignes d’un organisme étatique, qui en sait beaucoup sur nos concitoyennes et concitoyens. Et que cette violation est définie par la CNIL comme « Tout incident de sécurité, d’origine malveillante ou non et se produisant de manière intentionnelle ou non, ayant comme conséquence de compromettre l’intégrité, la confidentialité ou la disponibilité de données personnelles » ?

Pire, France Travail comme l’était Pôle Emploi et comme le sont tous les organismes sociaux, fait partie des Opérateurs de Services Essentiels (OSE) soumis à des règles particulières en matière de sécurité de leurs réseaux informatiques. L’organisme de service public est tenu de suivre les « recommandations pour la protection des systèmes d’information essentiels » issues d’une directive européenne (Network and Information System Security) et transmises par l’ANSSI, l’Agence nationale de sécurité des systèmes informatiques. Nous voilà « rassurés » !

Et pourtant, ce n’est manifestement pas faute d’avoir prévenu, et notamment France Travail. L’organisme a été créé au 1er janvier 2024 pour se substituer à Pôle Emploi et intégrer en plus des demandeurs d’emploi, les allocataires du RSA (pour les fameuses 15 heures d’activité) ainsi que leurs conjoints, et encore les jeunes inscrits dans une Mission locale en recherche d’emploi et les personnes en situation de handicap suivies par Cap emploi. De quoi aiguiser certains appétits ?

Sur les réseaux sociaux, des failles de sécurité dans les outils numériques des administrations (et autres) sont régulièrement dénoncées par des passionnés spécialistes de cybersécurité. Certains s’étaient d’ailleurs exprimés fin février, invitant France Travail à corriger des dysfonctionnements dans le système d’information, « avant qu’un drame national n’arrive ».

Le 26 février justement, le vol des données personnelles était en cours, puisque la cyberattaque se serait déroulée entre le 6 février et le 5 mars. Dans un communiqué, France Travail explique que le piratage a été rendu possible par une « usurpation d’identité de conseillers Cap Emploi ». Cela révèle donc que par les outils informatiques d’un « simple » conseiller Cap Emploi, il est possible d’accéder aux données des actuels et anciens usagers de France Travail, qu’ils soient ou non en situation de handicap (le public de Cap Emploi), qu’ils soient ou non accompagnés par l’organisme (sa mission).

43 millions de personnes !

Comme le précise la CGT DSI de France Travail (via Yann Gaudin sur X), ces usurpations d’identité résultent bien de l’exploitation de failles de sécurité dans le système d’information de France Travail, et notamment dans l’interconnexion avec les prestataires. La CGT DSI révèle ainsi que l’analyse des risques réalisée lors du projet de connexion du partenaire Cap Emploi en 2022 identifiait déjà le risque d’usurpation d’identité avec un indice d’alerte 4 (maximum). La préconisation pour pallier ce risque de mettre en place une identification à deux facteurs, conformément aux exigences de l’ANSSI, n’a jamais été mise en place.

Comment justifier une telle désinvolture dans la gestion des accès aux données ?

La responsabilité de France Travail dans cette cyberattaque est également minimisée dans la communication et dans les suites données à l’affaire. Le juriste spécialisé en droit du numérique Guillaume Champeau relève sur LinkedIn que cybermalveillance.gouv.fr présente France Travail comme « victime d’une attaque informatique », et que l’enquête préliminaire de la police judiciaire de Paris porte sur les « infractions d’atteintes à des systèmes de traitement automatisé de données, collecte frauduleuse de données à caractère personnel et recel de bien provenant d’un délit ». La communication désigne donc France Travail comme une pure et innocente victime.

Sur la forme toujours, et comme la réglementation les y oblige, France Travail et Cap Emploi ont notifié cette violation de données à la CNIL dans un délai de 72 heures, c’est-à-dire le 8 mars. L’affaire n’a été rendue publique que cinq jours plus tard, alors que l’information des personnes concernées doit se faire « dans les meilleurs délais » à partir du moment où la violation entraîne un « risque élevé pour les droits et libertés des personnes concernées » — ce qui est manifestement le cas. Depuis, notons que France Travail a ouvert une ligne téléphonique dédiée via le 3949 pour informer les personnes inquiètes… dans la mesure des connaissances des conseillers qui répondent.

Le ministère de l’Intérieur propose également une lettre-plainte sous forme de formulaire en ligne, mais là encore, la responsabilité de France Travail n’est pas mentionnée. Il s’agit d’une plainte contre X, l’enquête et le formulaire « Lettre de plainte » proposé sur Démarches-Simplifiées.fr portent sur les personnes ayant commis l’attaque. Or, comme le rappelle Guillaume Champeau sur LinkedIn, le fait de procéder à un traitement de données personnelles sans l’encadrer de mesures de sécurité suffisantes est puni par le Code pénal (article 226-17). Ce délit pénal est puni de 5 ans de prison et de 300 000 euros d’amende.

Les vraies victimes sont les demandeurs et anciens demandeurs d’emploi, quel est leur degré d’information ?

Sur son site, la CNIL précise que « France Travail informera individuellement, dans les jours à venir, l’ensemble des personnes susceptibles d’avoir été touchées par cette fuite de données. »

En août dernier, Pôle Emploi s’était contenté d’envoyer un email type a des usagers pour les informer qu’ils étaient « potentiellement concernés » (et débrouillez-vous avec ça).

Cette fois, l’information soi-disant individuelle a pris la forme d’une fenêtre « pop up » qui apparait sur l’écran d’accueil des espaces personnels France Travail. Une précision : ce message est à conserver avec précaution, car il constitue un élément de preuve en cas d’usurpation d’identité (voir notre encadré en fin de billet). Quant aux personnes qui ont sans doute pour beaucoup oublié qu’elles avaient des données stockées chez Pôle Emploi et même à l’ANPE… elles apprécieront.

Le texte suivant apparait : Information. À la suite d’une cyberattaque dont nous avons été victimes, vos données personnelles sont compromises. Vos nom, prénom, identifiant France Travail, numéro de sécurité sociale, date de naissance, adresses électronique et postale, sont susceptibles d’être divulgués et exploités à des fins illégales. Votre mot de passe et vos coordonnées bancaires ne sont pas concernés. Nous vous recommandons la plus grande vigilance quant aux risques d’hameçonnage ou de tentatives d’usurpation d’identité. Retrouvez toutes les informations au 3949 ou sur notre site.
Capture d’écran de la fenêtre qui apparait sur l’espace Candidat de France Travail.

Le message appelle les usagers et usagères à la prudence, mais (ce n’est plus surprenant à ce stade) il ne suggère rien sur les possibilités de porter plainte. Il faut cliquer sur le lien « sur notre site » pour les découvrir. 

Dans le fond on ne le répétera jamais assez : il est impératif que les administrations offrent toutes les sécurités nécessaires à la protection de nos données personnelles, sans attendre l’incident. Des données personnelles qu’elles utilisent au quotidien, dont elles ne sont pas propriétaires, et pour lesquelles on rappellera quelques principes de base du RGPD, en plus de la sécurisation :

  • La minimisation — Ne collecter que les données nécessaires à la finalité d’un traitement automatisé
  • La transparence — Informer chaque personne de l’utilisation qui est faite de ses données personnelles (et des données détenues)
  • La durée de conservation réduite au temps de réalisation nécessaire à l’objectif poursuivi — ici l’accompagnement des demandeurs d’emploi.

Objectivement, on n’y est pas !

Nous exigeons des garanties suffisantes de protection de nos données personnelles

L’arrestation de quelques hackers n’y suffira pas. Si la cyberattaque a pu se produire, c’est qu’il y avait des failles de sécurité, comme révélées par la CGT DSI.

Nous demandons que toute la lumière soit faite sur les conditions qui ont permis cette fuite de données (notamment les actions prises suite au piratage d’août 2023) et sur la responsabilité de France Travail et de ses prestataires en cybersécurité.

Nous exigeons que, plus généralement, les administrations fournissent des garanties suffisantes de protection des données personnelles aux administrés.

La question de la cybersécurité doit être prise en compte de manière sérieuse dans la mise en œuvre de ces politiques publiques. À ce titre, nous renvoyons aux revendications de la CGT DSI, qui peuvent et doivent s’appliquer à tout organisme public, notamment dans le cadre du respect du principe de proportionnalité.

Rappelons enfin qu’aucun système informatique n’est sécurisé à 100 %, notamment du fait de failles humaines, comme observées dans cette affaire. Or, la tendance est à la dématérialisation toujours plus importante de nos services publics, à l’utilisation croissante de données sur chacun d’entre nous et à l’interconnexion des fichiers des différentes administrations. Citons le dernier exemple en date : les CAF qui ont désormais accès au Dispositif de ressources mensuelles, ou DRM, soit les revenus et revenus de remplacement des chacun d’entre nous, y compris à des fins de contrôle (voir l’article de la Quadrature du Net sur ce sujet).

Ce constat devrait nous mettre en garde contre l’utilisation de plus en plus importante de données personnelles et leur interconnexion dans le cadre de services publics (notamment pour penser la « solidarité à la source » si chère au gouvernement), et encourager à suivre le principe de minimisation posé par le RGPD.

Gardons à l’esprit que nous n’avons pas le choix de confier ou non nos données personnelles à l’État et que les exceptions au droit d’opposition (de collecte et de traitement de ses données) sont nombreuses. Pour les personnes les plus vulnérables, qui sont souvent plus en lien avec les services publics, c’est la double peine, car les administrations ont davantage d’informations sur elles. Elles sont donc d’autant plus exposées à des piratages. Il appartient à l’État d’être à la hauteur de ces enjeux.

Victimes : portez plainte en rappelant la responsabilité de France Travail

Si vous pensez avoir été victime de la fuite de données, nous vous encourageons à porter plainte via le formulaire de Lettre de plainte en ligne.

Dans le champ « Je souhaite apporter les précisions ci-dessous », vous pouvez indiquer :

« Je souhaite que des poursuites soient entamées non seulement sur les fondements annoncés par le parquet, mais aussi sur le fondement de l’article 226-17 du Code pénal contre toute personne identifiée par l’enquête. »

Les champs suivants apparaissent sur la capture d’écran : Votre adresse actuelle en France / Votre numéro de téléphone / Case à cocher : « J’ai été informé(e) par France Travail d’une fuite de données susceptible d’affecter mes données à caractère personnel détenues par France Travail (anciennement Pôle Emploi) » / Je souhaite apporter les précisions ci-dessous.
Extrait du formulaire Lettre de plainte en ligne

Dans tous les cas, protégez-vous !

  • Prenez une capture d’écran du message sur votre espace France Travail ;
  • Soyez particulièrement vigilant et vigilante aux emails, appels et SMS dans les prochaines semaines (faux messages de livraison de colis, d’institutions publiques, d’opérateur téléphonique, etc.). Certaines personnes sont susceptibles d’utiliser les données personnelles qu’elles détiennent déjà sur vous pour vous en subtiliser d’autres. Vérifiez bien les expéditeurs de ces messages et, dans le doute, ne cliquez pas sur les liens.

Si vous êtes concerné(e) et intéressé(e) pour aller plus loin dans cette démarche de plainte contre France Travail, nous vous invitons à contacter le groupe de travail numérique de Changer de Cap (coordination@changerdecap.net) avec en objet : « France Travail ».