France Travail crée un "méga-fichier" avec les données des allocataires, la CNIL s'inquiète

France Travail crée un "méga-fichier" avec les données des allocataires, la CNIL s'inquiète

France Travail va créer une immense base de données pour les allocataires, comprenant des informations particulièrement sensibles, dont certaines relatives à l'état de santé. De quoi inquiéter fortement la CNIL...

Depuis la rentrée 2024, la situation est particulièrement électrique pour les entreprises et les organismes français ! Que ce soient les hôpitaux, les banques, les opérateurs ou les institutions publiques, absolument personne n'est épargné par la vague de piratage qui ne semble plus finir. Des attaques en série qui soulèvent de nombreuses interrogations quant à la sécurisation des données. Et les organismes gouvernementaux n'y font pas exception !

En mars 2024, France Travail avait annoncé avoir subi une cyberattaque qui a touché pas moins de 43 millions de personnes (voir notre article). De plus, le hold-up avait été rendu possible par une "simple" usurpation d'identité de conseillers de Cap emploi, l'organisme en charge de la recherche d'emploi des personnes handicapées. Cela avait mis en lumière un cloisonnement insuffisant, voire absent, au sein du service, qui aurait permis d'éviter une consultation trop large des données ou bien des opérations massives dessus par des personnes malveillantes. 

Les choses ne vont pas en s'arrangeant avec les nouvelles règles que va devoir suivre France Travail. Comme le révèle Next, un décret paru le 1er janvier autorise désormais l'organisme à centraliser et traiter une importante quantité de données sur tous ses allocataires. Ces informations peuvent concerner le RSA, la prime d'activité, l'allocation adulte handicapée, mais aussi des données en lien avec leur situation économique et financière, leur situation familiale, leur scolarité ou encore leur état de santé. Une décision qui ne manque pas d'alerter la Commission nationale de l'informatique et des libertés (CNIL)...

Collecte France Travail : des données particulièrement sensibles

On doit ce changement à la loi appelée 'Pour le plein emploi", promulguée en décembre 2023. Le décret du 1er janvier autorise France Travail à modifier son système d'information pour l'adapter à ses nouvelles missions, et donc à stocker et à partager avec ses "partenaires" de nouvelles données personnelles, dont certaines sont particulièrement sensibles.

Le Système d'information de France Travail pourra donc rassembler des informations concernant le RSA, la prime d'activité, ainsi que des données relatives aux difficultés particulières rencontrées pour accéder à l'emploi, à la scolarité, au parcours de formation et au niveau de qualification et diplômes ainsi qu'aux compétences et aux "capacités en lecture". Jusque-là, cela semble plutôt logique. Mais sont également concernées les données relatives à l'Allocation aux adultes handicapés (AAH), l'état de santé des demandeurs d'emploi, ainsi que des données d'identification, de nationalité et titre de séjour, des données d'ordre économique et financier, fiscales, bancaires, la situation pénitentiaire, les données relatives au compte personnel de formation, les données relatives aux mesures de tutelle, de curatelle ou d'habilitation familiale, celles relatives au diagnostic, les contacts de la personne en charge de la protection juridique, données relatives à la situation familiale ou le type et l'origine du handicap. Et il s'agit là d'une liste non exhaustive...

Le ministère du Travail justifie l'utilisation de ces données pour six finalités de traitements. Ainsi, elles doivent servir les nouvelles missions comme la gestion du RSA et de la prime d'activité, mais aussi donner à France Travail de nouveaux moyens pour lutter contre la fraude, lui permettre de gérer les missions incombant auparavant à Pôle Emploi, et de réaliser les transmissions entre l'organisme et la Caisse nationale d'allocations familiales, l'évaluation du dispositif d'activité partielle créé par la loi et la plateforme de l'inclusion. Toutes ces données visent à mettre en place un "nouveau parcours rénové d'accompagnement des demandeurs d'emploi".

D'après le décret, ces données pourront être enregistrées "dans la mesure où elles sont nécessaires à la poursuite des finalités" prévues par la loi et conservées pendant six, dix, voire même vingt ans pour certains cas. Lors de la dernière fuite massive de France Travail, certaines des données dérobées dataient elles aussi de vingt ans. Dans le document détaillant sa politique et son cadre en matière de protection des données personnelle, l'organisme renvoie au Code du travail (R. 5312-44). Une telle durée doit permettre aux demandeurs d'emploi de reconstituer leur carrière à travers le temps, pour faire valoir leurs droits. Pour cela, il faut pouvoir garder différents éléments sur une longue période. Cela peut notamment être utile pour faire valoir son droit à la retraite, en récupérant des éléments liés à sa période de chômage, qu'il n'aurait pas forcément conservés. 

Données France Travail : une CNIL plus que mitigée, mais impuissante

Conformément à la loi, le Gouvernement a demandé à la CNIL son avis sur son projet de décret, sauf qu'il a publié ce dernier dans la foulée. Le gendarme du numérique n'a donc guère eu le temps d'étudier le dossier en profondeur, et l'indique clairement dès le début : "Au regard des conditions de saisine et notamment des délais laissés pour son analyse, l'avis de la CNIL et l'absence d'observation de sa part sur certaines dispositions du projet de décret, ne sauraient préjuger de la licéité de l'ensemble des traitements concernés".

Rien que ça ! Dans sa délibération datée du 5 décembre 2024, l'organisme s'inquiète de ce que l'ouverture massive de nouveaux accès au système d'information de France Travail, dans des délais extrêmement contraints, ne soit pas accompagnée par des mesures de sécurité adaptées aux risques, en particulier à court terme. Ses craintes portent notamment sur l'utilisation du numéro de sécurité sociale, le caractère proportionné des durées de conservation, ainsi que sur d'éventuelles fuites de données.

Face au peu de temps dont elle a disposé pour étudier le dossier, la CNIL ne peut que rappeler les principes fondateurs de la protection des données, à savoir "s'assurer du caractère nécessaire des données collectées au regard des finalités poursuivies" et "collecter et traiter ces données avec la plus grande précaution et en apportant des garanties particulières".