La négligence d’un agent est à l’origine du vol des données de Pôle Emploi de 2021

La consultante en protection de données Léah Perez a mis en évidence, le 24 avril 2024, une décision de justice éclairant l’affaire des données volées à Pôle Emploi en juin 2021. À l’époque, des cybercriminels avaient publié des échantillons de données personnelles de demandeurs d’emploi sur le forum cybercriminel RaidForums.

Ils prétendaient détenir des informations sur 1,2 million de personnes, qu’ils proposaient à la vente. Pôle Emploi (devenu depuis France Travail) avait reconnu l’intrusion, en estimant qu’elle ne concernait qu’environ 150 000 à 200 000 demandeurs d’emploi.

Un décision de la cour d’appel de la chambre prud’homale d’Amiens, le 28 mars 2024, indique que l’incident avait pour origine la négligence d’un agent de Pôle Emploi. Entre 2016 et 2021, ce dernier avait téléchargé sur son ordinateur les données personnelles de dizaines de milliers de demandeurs d’emploi, pour les traiter plus facilement sur un tableur.

Ce document lui permettait d’envoyer des invitations à des forums ou des événements de job dating, ou de transmettre des listes de profils à des sociétés tierces. L’une de ces sociétés, une agence d’intérim, a ainsi sauvegardé, sur un serveur non sécurisé, une base de données de 58 124 demandeurs d’emploi. C’est ce document que des cybercriminels ont volé, et mis en vente sur RaidForums en juin 2021.

Une enquête interne de Pôle Emploi a ensuite permis d’identifier l’agent fautif. Licencié pour faute grave, il a contesté cette décision devant le conseil des prud’hommes, et a obtenu, dans un premier temps, gain de cause. Pôle Emploi a alors fait appel de ce jugement.

La Cour d’appel d’Amiens a finalement validé le licenciement. De nombreux manquement aux obligations de confidentialité et de protection des données justifient, selon le tribunal, la qualification de « faute grave ».