Por: Carlos A. FERREYROS SOTO

Doctor en Derecho

Universidad de Montpellier I Francia.

cferreyros@ferreyros-ferreyros.com

RESUMEN

La CNIL (Autoridad Nacional de Protección de Datos de Francia) multó a France Travail con una cifra récord de 5 millones de euros por una filtración de datos personales tras un ciberataque ocurrido en el primer trimestre de 2024.

Los atacantes utilizaron técnicas de ingeniería social para comprometer las cuentas de los asesores de Cap Emploi, obteniendo así acceso a los datos de todas las personas registradas en el servicio durante un período de 20 años y a los perfiles de los candidatos en francetravail.fr. La información comprometida incluía números de la seguridad social, direcciones de correo electrónico y números de teléfono, pero no archivos completos (excluyendo datos de salud).

La CNIL identificó debilidades técnicas y organizativas: autenticación deficiente para los asesores de Cap Emploi, registro insuficiente de comportamientos anormales y privilegios de acceso excesivamente amplios que permitían abordar excesivamente a los datos. Estas vulnerabilidades eran conocidas, pero no se habían implementado adecuadamente.

La multa de 5 millones de euros tiene en cuenta el volumen (entre 36 y 43 millones de personas afectadas), la sensibilidad de los datos y la condición pública de France Travail (con un límite de 10 millones de euros). Se fija una sanción de 5.000 euros diarios por incumplimiento de las medidas correctivas requeridas.

La institución pública ha reconocido la decisión sin apelar, reconoce la gravedad de los hechos, lamenta su gravedad y prioriza la ciberseguridad.

A fin de acceder a normas similares y estándares europeos, las empresas, organizaciones públicas y privadas interesadas en asesorías, consultorías, capacitaciones, estudios, evaluaciones, auditorías sobre el tema, sírvanse comunicar al correo electrónico: cferreyros@ferreyros-ferreyros.com

__________________________________________________________

Violación de datos: multa de 5 millones de euros a FRANCE TRAVAIL
29 de enero de 2026

El 22 de enero de 2026, la CNIL multó a FRANCE TRAVAIL (antes Pôle Emploi) con 5 millones de euros por no garantizar la seguridad de los datos de las personas que buscan empleo.

El contexto
En el primer trimestre de 2024, uno o más atacantes lograron infiltrarse en el sistema de información de FRANCE TRAVAIL. Utilizaron técnicas de ingeniería social que explotan la confianza, la ignorancia o la credulidad de las personas. Este método les permitió comprometer las cuentas de los asesores de CAP EMPLOI, organizaciones responsables de apoyar, supervisar y retener a las personas con discapacidad en el mercado laboral.

La investigación reveló que los atacantes accedieron a los datos de todas las personas registradas o que se habían registrado en los últimos 20 años, así como a los de quienes tenían un perfil de candidato en francetravail.fr (incluidos números de la seguridad social, direcciones de correo electrónico y postal, y números de teléfono). Sin embargo, no accedieron a los expedientes completos de los solicitantes de empleo, que podrían incluir datos de salud.

La auditoría de la CNIL reveló la insuficiencia de las medidas técnicas y organizativas implementadas para garantizar la seguridad de los datos personales tratados.

En consecuencia, el grupo restringido – órgano de la CNIL encargado de imponer sanciones – impuso una multa de 5 millones de euros a FRANCE TRAVAIL, teniendo en cuenta el incumplimiento de los principios esenciales de seguridad, el número de personas afectadas, el volumen y la sensibilidad de los datos tratados.

Además, el grupo restringido ordenó a FRANCE TRAVAIL justificar las medidas correctivas adoptadas, según un calendario de aplicación preciso.

En caso contrario, la organización deberá abonar una penalización de 5.000 euros por día de retraso.

Nota:

France Travail es un organismo público nacional cuyo presupuesto se determina por ley y se basa principalmente en las cotizaciones a la seguridad social (empleadores/empleados). En este sentido, el importe de la multa no se determina en función de la facturación, sino en un rango con un máximo de 10 millones de euros por una violación de la seguridad de los datos (artículo 32 del RGPD).

Todas las multas impuestas por la CNIL, ya se trate de agentes privados o públicos, son recaudadas por el Tesoro Público y abonadas en el presupuesto del Estado.

El incumplimiento a la obligación de garantizar la seguridad de los datos personales tratados (artículo 32 del RGPD)
El grupo restringido observó que FRANCE TRAVAIL no había implementado las medidas técnicas y organizativas que podrían haber dificultado el ataque. Cabe recordar que la implementación de medidas de seguridad adecuadas a los riesgos es una obligación legal según el artículo 32 del RGPD.

En particular, señaló que las modalidades de autenticación que permiten a los asesores de CAP EMPLOI acceder al sistema de información de FRANCE TRAVAIL no son suficientemente robustos.

Además, el grupo restringido destacó la insuficiencia de las medidas de registro diario para detectar comportamientos anormales en su sistema de información.

Por último, el grupo restringido señaló que los derechos de acceso a las cuentas de los asesores de CAP EMPLOI se habían definido de forma demasiado amplia, lo que permitía a los asesores de CAP EMPLOI acceder a los datos de personas a las que no apoyaban, lo que aumentaba el volumen de datos a los que podían acceder los atacantes.

Para determinar la sanción El grupo restringido tuvo en cuenta que la mayoría de las medidas de seguridad apropiadas habían sido identificadas por FRANCE TRAVAIL, antes de la implementación del tratamiento, en los análisis de impacto, sin que realmente se hubieran implementado.

El rol de la CNIL en relación a los denunciantes
La CNIL es el organismo regulador de los datos personales. Responde a las solicitudes de particulares y profesionales.

Cualquier persona puede presentar una reclamación ante la CNIL si tiene dificultades para ejercer sus derechos o para denunciar una infracción de la normativa de protección de datos personales. La CNIL puede controlar a las organizaciones y, en caso de infracción, sancionarlas.

Sin embargo, la CNIL no está autorizada a indemnizar a las personas que hayan presentado una denuncia ante ella. Estas personas pueden presentar una denuncia ante la policía o la gendarmería.

Más información

Texto de referencia
La deliberación
Deliberación SAN–2026-003 del 22 de enero de 2026 – Legifrance
Texto de referencia
Textos de referencia
Artículo 32 del RGPD (seguridad de los datos personales)
Texto de referencia

Para profundizar
El procedimiento sancionador
Violaciones de datos personales
Violaciones masivas de datos en 2024: ¿cuáles son las principales lecciones aprendidas y las medidas a tomar?
Texto de referencia
Recursos para ayudar a los profesionales a lograr el cumplimiento:
Todo el contenido de la CNIL sobre ciberseguridad
La guía para la seguridad de los datos personales
Contraseñas: recomendaciones para dominar tu seguridad
La CNIL publica una recomendación sobre las medidas de tala
Autenticación multifactor: recomendaciones de la CNIL para una mejor protección de datos
Texto de referencia
Recursos para individuos:
Todos los recursos para tu seguridad digital
Seguridad: Utilice la autenticación multifactor para sus cuentas en línea
#Sanción #Seguridad #Ciberseguridad #Violación de datos