Le gouvernement a doté France Travail d'une gigantesque base de données personnelles qui regroupe les informations médicales, financières et sociales de ses allocataires. La CNIL s'inquiète des risques potentiels de cette centralisation massive.

France Travail va pouvoir se constituer une immense base de données qui n'est pas tout à fait du goût de la CNIL © Alexandre Boero / Clubic
France Travail va pouvoir se constituer une immense base de données qui n'est pas tout à fait du goût de la CNIL © Alexandre Boero / Clubic

Un décret gouvernemental paru le 1er janvier 2025 au Journal officiel autorise France Travail (ex-Pôle Emploi) à collecter et centraliser une quantité considérable de données sensibles sur ses allocataires. La démarche fait suite à la loi « Pour le plein emploi » de décembre 2023, certes, mais elle inquiète assez fortement la Commission nationale de l'informatique et des libertés (CNIL), sur la question des données personnelles. Et vous allez voir qu'il y a de quoi !

France Travail dispose d'un méga-fichier de données sensibles sans précédent

Le nouveau système d'information de France Travail, repéré par nos confrères de Next va, il faut le dire, bien au-delà de la simple gestion des demandeurs d'emploi. À partir de maintenant, l'établissement pourra collecter des données particulièrement sensibles.

Parmi elles, on retrouve les informations médicales, la situation financière détaillée, les données bancaires et fiscales, mais aussi des indications sur la situation familiale et même pénitentiaire. Cette centralisation sans précédent touche tout simplement tous les aspects de la vie des allocataires.

Et figurez-vous qu'elle s'accompagne de durées de conservation exceptionnellement longues, pouvant aller jusqu'à 6, 10 ou 20 ans pour certaines données. France Travail justifie ce choix par la nécessité de permettre aux demandeurs d'emploi de reconstituer leur carrière et faire valoir leurs droits, notamment pour leur retraite.

Le ministère du Travail, lui, avance différentes finalités principales pour justifier ce traitement massif de données. Il évoque la gestion du RSA et de la prime d'activité, la lutte contre la fraude, la coordination avec la CAF, l'évaluation du dispositif d'activité partielle et la gestion de la plateforme d'inclusion. Des objectifs qui nécessitent, selon lui, cette fameuse centralisation.

Une alerte de la CNIL sur la sécurité des données

La CNIL, elle, n'a pas caché son inquiétude face à ce projet d'envergure. Dans son avis rendu le 5 décembre 2024, le gendarme des données pointait notamment le manque de temps accordé pour analyser en profondeur les implications d'un tel système, puisqu'il n'a disposé que d'un mois pour étudier le dossier.

L'autorité indépendante s'interroge particulièrement sur l'utilisation du numéro de Sécurité sociale, la proportionnalité des durées de conservation et les risques de fuites de données. Des préoccupations d'autant plus pertinentes que France Travail a déjà été victime d'une importante cyberattaque en mars 2024, touchant 43 millions de personnes.

Les « antécédents » de l'organisme en matière de sécurité informatique soulèvent donc quelques questions, disons, légitimes. La précédente attaque avait d'ailleurs révélé d'importantes failles dans le cloisonnement des données, permettant notamment des usurpations d'identité de conseillers Cap emploi.

De vrais risques de partage massif des données, qu'il ne faut pas sous-estimer

Mais qui aura accès à ce nouveau système ? Plusieurs acteurs, comme on peut le lire dans le décret, et ce n'est pas forcément très rassurant. Les agents de France Travail, mais aussi les partenaires externes comme les missions locales ou les organismes de placement spécialisés, sans oublier les Allocations familiales, les communes ou encore les départements, y auront accès.

De façon assez mécanique, cette multiplication des points d'accès va augmenter les risques de fuite ou d'utilisation inappropriée des données.

La CNIL ne se prive pas pour rappeler dans son avis les principes fondamentaux de la protection des données que sont la nécessité de s'assurer du caractère nécessaire des informations collectées, et l'obligation de les traiter avec la plus grande précaution. Des recommandations qui semblent difficiles à garantir, avec un déploiement aussi rapide.

Alors, la question de la proportionnalité se pose. Si l'objectif d'améliorer l'accompagnement des demandeurs d'emploi est sur le papier tout à fait louable, la centralisation d'autant de données sensibles représente un risque qu'il convient de ne pas négliger, surtout dans un contexte de cyberattaques multiples.

Source : Next