Shutterstock
Le point d’entrée du piratage de France Travail en début d’année 2024 avait été l’utilisation d’accès conférés à des partenaires. De quoi siphonner les données personnelles des allocataires. Le sujet est donc désormais observé de près par la CNIL.
Celle-ci a rendu public son avis sur la question. Et elle s’inquiète « de ce que l’ouverture massive de nouveaux accès au système d’information de France Travail, dans des délais extrêmement contraints, ne soit pas accompagnée par des mesures de sécurité adaptées aux risques. »
Car il y a du neuf côté données chez France Travail.
Mise en réseau des données
En fin d’année 2024, ce sont les décrets d’application de la loi de décembre 2023 pour le plein emploi qui ont été publiés. Cette loi fait office d’acte de naissance de France Travail. Le successeur de Pôle Emploi officialise également la mise en place d’un « Réseau pour l’emploi ». Ce réseau doit renforcer la coopération entre France Travail, l’État, les collectivités locales, les missions locales ou encore Cap Emploi.
L’idée ? Accompagner les demandeurs d’emplois et titulaires du RSA dans leur retour à l’emploi. Et cela d’un point de vue informatique se traduit par l’une ouverture du système d’information de France Travail à de nouveaux acteurs tiers.
Six nouveaux traitements de données doivent assurer des échanges de données entre les membres du réseau. Et cela concerne « au moins 6 millions de personnes. » La CNIL souligne le caractère sensible d’une partie des données concernées.
Gestion des accès : ne pas mettre la charrue avant les bœufs
La Commission invite donc les organismes concernés à la plus grande prudence sur la gestion des identités et des accès. Surtout que la CNIL n’a pas été consultée en amont, par exemple sur « les exigences minimales de sécurité ».
Des obligations de sécurité sont prévues pour les partenaires. Mais la Commission rappelle que celles-ci sont des « cibles à atteindre » au premier trimestre 2025, et non des obligations préalables à l’accès aux données de France Travail.
La Commission renvoie d’ailleurs à ce sujet aux récentes publications de l’Anssi sur la sécurité des organisations du secteur social. Dans ce retour d’expérience, l’agence de sécurité de l’information recommandait par exemple d’accorder une attention toute particulière afin de s’assurer que les accès soient bien révoqués lorsqu’une personne quitte son poste ou qu’une mission s’acheve.