C’est une infraction aux données personnelles à l’ampleur rarement égalée, en tout cas en France. Mercredi 13 mars 2024, France Travail (ex-Pôle emploi) reconnaissait avoir été victime d’une grave compromission, manifestement à la suite d’une cyberattaque informatique. Un incident qui n’est pas le premier pour la plateforme.
Grave, elle l’est en raison du nombre de personnes potentiellement touchées : 43 millions, selon les estimations données par France Travail C’est aussi vaste que deux tiers de la population française. Surtout, c’est la découverte de la durée de conservation des données qui a sidéré une partie du public : celle-ci peut grimper jusqu’à vingt ans, à une époque où l’ANPE existait encore.
La fuite concernerait « des personnes actuellement inscrites, des personnes précédemment inscrites au cours des 20 dernières années ainsi que des personnes non inscrites sur la liste des demandeurs d’emploi […]. C’est donc potentiellement les données personnelles de 43 millions de personnes qui ont été exfiltrées », est-il expliqué.
Une durée de conservation sur 20 ans qui est soutenue par des finalités légitimes
Très vite, cette durée de rétention des informations a été mise en accusation, avec le Règlement général de la protection des données (RGPD) brandi au fil des argumentaires. N’est-ce pas une durée qui excède les règles du droit en matière de minimisation ? La Cnil, qui enquête désormais, ne devrait-elle pas prononcer une sanction ?
Dans les faits, les choses apparaissent moins définitives. D’abord, parce que cette durée n’est pas tout à fait une surprise — elle figure dans le document détaillant la politique et le cadre de France Travail en matière de protection des données personnelles (même si c’est typiquement le genre de lien que personne ne lit)
Avec U-Cyber 360°, la société française Mailinblack vous permet de protéger votre organisation et d’éduquer vos collaborateurs à la cybersécurité.
Du gestionnaire de mots de passe à la sécurisation des e-mails en passant par la formation continue ou les simulations d’attaques, cette solution regroupe tous les outils pour prévenir les risques cyber.
Cette durée pouvant atteindre deux décennies est mentionné :
« Pour les personnes inscrites sur la liste des demandeurs d’emploi, les espaces personnels et les données sont conservés pendant une durée maximale de 20 ans après la cessation d’inscription sur la liste des demandeurs d’emploi. » France Travail renvoie à son tour au droit, en citant le Code du travail (R. 5312-44).
Il y a une première finalité qui rend légitime une conservation sur vingt ans : celle de donner la possibilité aux Françaises et aux Français de reconstituer leur carrière à travers le temps, pour faire valoir leurs droits. Autrement dit, pour reconstituer le parcours professionnel d’un tiers, il faut pouvoir garder différents éléments sur une longue période.
Cet objectif a été confirmé par la plateforme à TF1 le 14 mars. Cela offre l’opportunité « aux personnes qui veulent faire valoir leur droit à la retraite de récupérer par exemple les éléments liés à leur période de chômage, que les personnes n’auraient pas nécessairement conservé. France Travail est régulièrement sollicité pour ces cas-là. »
D’autres raisons plaident en faveur d’une durée de conservation longue. C’est ce que développe Alexandre Archambault, avocat spécialiste des sujets liés au droit dans l’espace numérique. Dans le cadre de la lutte contre la fraude, qui est un objectif de valeur constitutionnelle, des durées tout aussi étendues sont mentionnées.
On le voit avec le Code du travail (L.5422-5), où l’action en remboursement de l’allocation d’assurance peut grimper à dix ans, en cas de fraude ou de fausse déclaration. On le voit également avec le Code civil (2232), qui prévoit une fenêtre d’action large de vingt ans, signale l’avocat. Et cela donne lieu occasionnellement à des décisions de justice.
Un problème de sécurisation plus que de durée
Le choc provoqué par l’ampleur de l’incident qui affecte France Travail est susceptible toutefois de faire rater un élément clé : plus que la durée de conservation des données, ce sont les conditions de cette rétention qui sont à interroger, en particulier la manière dont les accès de France Travail sont sécurisés et compartimentés.
C’est ce que notait un ancien conseiller de Pôle emploi sur X (ex-Twitter), évoquant une expérience passée : « Si quelqu’un avait pris connaissance de mes identifiants de connexion à l’intranet de Pôle emploi, il aurait pu aussi, de son canapé, voler toutes les données personnelles de 43 millions de Français. » Y compris les célébrités en tout genre.
Il apparait que le mode opératoire a été une « simple » usurpation d’identité de conseils de Cap emploi, l’organisme en charge de la recherche d’emploi des personnes handicapées, rappelait Le Monde. Pas de cyberattaque de pointe, donc, mais une action qui a probablement mobilisé des techniques classiques d’ingénierie sociale et de (spear) phishing.
C’est peut-être ici que réside vraiment le cœur du problème. Au-delà de la durée de conservation, c’est véritablement la sécurisation des données qui semble gravement être en tort ici, avec un cloisonnement insuffisant ou bien absent, pour éviter par exemple une consultation trop large des données ou bien des opérations massives dessus.
(mise à jour de l’article pour préciser le caractère ancien du témoignage de l’ex-conseiller)
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !