Trois ans après la fuite de données, on sait désormais comment des données personnelles de chômeurs français se sont retrouvées en juin 2021 sur RaidForums, un site controversé alors incontournable dans la vente de bases de données. Comme le signale un arrêt de la cour d’appel d’Amiens du 28 mars 2024, repéré par la consultante en protection des données Léah Perez, les données avaient en fait été extraites de l’informatique de Pôle emploi – désormais dénommé France Travail – par un agent de l’établissement public.
Ce dernier, en charge du bassin d’emploi de Creil, dans l’Oise, avait pris l’habitude depuis quelques années de télécharger depuis l’outil interne des données sur des chômeurs.
Une façon, expliquait-il, d’inviter des demandeurs d’emploi à des forums ou des événements de job dating. Ce filtrage était plus aisé et plus pertinent à faire sur Excel que via l’informatique interne, justifiait-il.
Stockées sur un serveur vulnérable
Seul problème: ce genre de bricolage rendait les données des chômeurs vulnérables. Après avoir téléchargé des données de plusieurs dizaines de milliers de chômeurs entre février et mai 2021, le conseiller de Pôle emploi les adresse à une agence d’intérim. Cette dernière, à l’identité inconnue, les sauvegarde alors sur un serveur non protégé. Ce qui a finalement “permis la subtilisation des données personnelles appartenant à 58 124 demandeurs d’emploi”, signale l’arrêt de la cour d’appel d’Amiens, une allusion aux données mises ensuite en vente sur RaidForums.
A l’époque, l’affaire avait fait grand bruit. L’annonce postée sur le forum de fuite de données affirmait mettre en vente un fichier d’enregistrements relatifs à Pôle emploi censé contenir 1,2 million d’entrées.
La fuite de données sera confirmée par Pôle emploi, mais révisée à la baisse. L’établissement public estimera alors le nombre de chômeurs concernés à une fourchette comprise entre 120 000 à 150 000 personnes.
Licenciement pour faute grave validé
S’il on peut désormais connaître le fin mot de l’histoire, c’est parce que l’ancien salarié de Pôle emploi a contesté son licenciement pour faute grave. L’enquête interne l’avait mis en cause dès le 18 juin 2021. La direction de l’établissement public l’avait ensuite viré en août. Dans un premier temps, le conseil de prud’hommes de Creil avait jugé que la faute reprochée n’était pas grave. Un motif finalement retenu par les magistrats de la cour d’appel.
Ce n’est toutefois certainement pas la fin des polémiques sur la gestion interne des risques informatiques à France Travail. Début avril, un courriel interne de la CGT accusait la direction de ne pas avoir mis en place les mesures sécuritaires adéquates.
L’accusation faisait suite à la fuite de données déplorée en mars, qui pourrait concerner jusqu’à 43 millions d’usagers. Soit la quatrième fuite de données ayant affecté France Travail, la démonstration d’un niveau de sécurité informatique insuffisant, remarquait le syndicat.