C’est une infraction aux données personnelles à l’ampleur rarement égalée, en tout cas en France. Mercredi 13 mars 2024, France Travail (ex-Pôle emploi) reconnaissait avoir été victime d’une grave compromission, manifestement à la suite d’une cyberattaque informatique. Un incident qui n’est pas le premier pour la plateforme.
Grave, elle l’est en raison du nombre de personnes potentiellement touchées : 43 millions, selon les estimations données par France Travail C’est aussi vaste que deux tiers de la population française. Surtout, c’est la découverte de la durée de conservation des données qui a sidéré une partie du public : celle-ci peut grimper jusqu’à vingt ans, à une époque où l’ANPE existait encore.
La fuite concernerait « des personnes actuellement inscrites, des personnes précédemment inscrites au cours des 20 dernières années ainsi que des personnes non inscrites sur la liste des demandeurs d’emploi […]. C’est donc potentiellement les données personnelles de 43 millions de personnes qui ont été exfiltrées », est-il expliqué.
Une durée de conservation sur 20 ans qui est soutenue par des finalités légitimes
Très vite, cette durée de rétention des informations a été mise en accusation, avec le Règlement général de la protection des données (RGPD) brandi au fil des argumentaires. N’est-ce pas une durée qui excède les règles du droit en matière de minimisation ? La Cnil, qui enquête désormais, ne devrait-elle pas prononcer une sanction ?
Dans les faits, les choses apparaissent moins définitives. D’abord, parce que cette durée n’est pas tout à fait une surprise — elle figure dans le document détaillant la politique et le cadre de France Travail en matière de protection des données personnelles (même si c’est typiquement le genre de lien que personne ne lit)
Cette durée pouvant atteindre deux décennies est mentionné :
« Pour les personnes inscrites sur la liste des demandeurs d’emploi, les espaces personnels et les données sont conservés pendant une durée maximale de 20 ans après la cessation d’inscription sur la liste des demandeurs d’emploi. » France Travail renvoie à son tour au droit, en citant le Code du travail (R. 5312-44).
Il y a une première finalité qui rend légitime une conservation sur vingt ans : celle de donner la possibilité aux Françaises et aux Français de reconstituer leur carrière à travers le temps, pour faire valoir leurs droits. Autrement dit, pour reconstituer le parcours professionnel d’un tiers, il faut pouvoir garder différents éléments sur une longue période.
Cet objectif a été confirmé par la plateforme à TF1 le 14 mars. Cela offre l’opportunité « aux personnes qui veulent faire valoir leur droit à la retraite de récupérer par exemple les éléments liés à leur période de chômage, que les personnes n’auraient pas nécessairement conservé. France Travail est régulièrement sollicité pour ces cas-là. »
D’autres raisons plaident en faveur d’une durée de conservation longue. C’est ce que développe Alexandre Archambault, avocat spécialiste des sujets liés au droit dans l’espace numérique. Dans le cadre de la lutte contre la fraude, qui est un objectif de valeur constitutionnelle, des durées tout aussi étendues sont mentionnées.
On le voit avec le Code du travail (L.5422-5), où l’action en remboursement de l’allocation d’assurance peut grimper à dix ans, en cas de fraude ou de fausse déclaration. On le voit également avec le Code civil (2232), qui prévoit une fenêtre d’action large de vingt ans, signale l’avocat. Et cela donne lieu occasionnellement à des décisions de justice.
Un problème de sécurisation plus que de durée
Le choc provoqué par l’ampleur de l’incident qui affecte France Travail est susceptible toutefois de faire rater un élément clé : plus que la durée de conservation des données, ce sont les conditions de cette rétention qui sont à interroger, en particulier la manière dont les accès de France Travail sont sécurisés et compartimentés.
C’est ce que notait un ancien conseiller de Pôle emploi sur X (ex-Twitter), évoquant une expérience passée : « Si quelqu’un avait pris connaissance de mes identifiants de connexion à l’intranet de Pôle emploi, il aurait pu aussi, de son canapé, voler toutes les données personnelles de 43 millions de Français. » Y compris les célébrités en tout genre.
Il apparait que le mode opératoire a été une « simple » usurpation d’identité de conseils de Cap emploi, l’organisme en charge de la recherche d’emploi des personnes handicapées, rappelait Le Monde. Pas de cyberattaque de pointe, donc, mais une action qui a probablement mobilisé des techniques classiques d’ingénierie sociale et de (spear) phishing.
C’est peut-être ici que réside vraiment le cœur du problème. Au-delà de la durée de conservation, c’est véritablement la sécurisation des données qui semble gravement être en tort ici, avec un cloisonnement insuffisant ou bien absent, pour éviter par exemple une consultation trop large des données ou bien des opérations massives dessus.
(mise à jour de l’article pour préciser le caractère ancien du témoignage de l’ex-conseiller)
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !
