VOL DE DONNÉES DE DEMANDEURS D’EMPLOI

Des informations personnelles concernant des demandeurs d’emploi ont été volées, selon un communiqué de Pôle emploi[1].

Environ 10 millions de personnes pourraient être concernées par ce vol[2]…

« Suite à un acte de cyber-malveillance dont l’un des prestataires de Pôle emploi a été victime, des informations personnelles concernant des demandeurs d’emploi sont susceptibles d’être divulguées.

Les nom et prénom, le statut actuel ou ancien de demandeur d’emploi ainsi que le numéro de sécurité sociale de demandeurs d’emploi pourraient être concernés.

Les adresses e-mail, numéros de téléphone, mots de passe et coordonnées bancaires ne sont en revanche pas concernés. »[3] – Pôle emploi.

Pôle emploi devrait informer l’ensemble des demandeurs d’emploi concernés par Mél. pour les informer des risques « de démarche ou proposition qui pourrait paraître frauduleuse » en lien avec les informations les concernant.

La section cybercriminalité du parquet de Paris a été informée par la Cnil[4] et a saisi la brigade de lutte contre la cybercriminalité, qui appartient à la police judiciaire parisienne.

Elle aurait ouvert une enquête pour « introduction et maintien frauduleux dans un système de traitement automatisé de données », selon le parquet de Paris.

UNE MESURE DES RISQUES S’IMPOSE

Ce récent vol de données sur des demandeurs d’emploi en cours, ou plus anciens, fait apparaitre des problèmes actuels (2023) et à venir (à partir de 2024). 

PRESTATAIRE

D’une part, Pôle emploi a confiée la gestion des données à un prestataire.

L’entreprise Majorel est en charge de la numérisation et du traitement de tous les documents transmis par les demandeurs d’emploi.

L’établissement public n’assure pas directement la gestion des données de ses inscrits.

La délégation des plateformes et algorithmes de France travail semble probable, en dépit de moyens et d’effectifs propres à l’établissement.

FRAGILITÉ

D’autre part, ce vol de données vient confirmer la fragilité de la gestion numérique actuelle.

L’exploitation des données volées peut donner lieu à des tentatives d’escroquerie, selon le communiqué de Pôle emploi.

Et encore, sur ce vol, la nature des données volées semble seulement concerner l’identité des personnes et non à leur situation bancaire, mais cela aurait sans doute pu l’être le cas !

Il y a eu un précédent en 2021.

Les données d’environ 120 000 chômeurs avaient été piratées dans le système informatique de Pôle emploi[5].

Les données concernaient alors les numéros de téléphone, les adresses Mél., les adresse de domicile, les noms des anciens employeurs

FUTUR FICHIER UNIQUE

Pour conclure, la future gestion numérique via un « fichier unique des inscrits à France travail (Pôle emploi) » (chômeurs, Bénéficiaires du RSA, jeunes) devra être protégée à la fois :

• Des fraudes (fausses identités et déclarations inexactes), le système automatique envisagé présente un risque important de fraude sociale à anticiper dès l’origine,

• Des vols de données.

Le contrôle sera difficile d’autant que le nombre de personnes ayant accès aux informations a vocation à être massif.

LES CRITIQUES SE MULTIPLIENT A L’OCCASION DE CE VOL.

Par exemple, la CGT juge que la

« numérisation à marche forcée au seul service de la diminution des coûts et la mise en concurrence d’acteurs privés induisent une perte de contrôle concernant les outils pouvant garantir la sécurité des données ».

Elle appelle à « développer la numérisation en utilisant les compétences des services internes, seuls capables de définir une politique de cybersécurité et de développement de services numériques et de matériels adaptés aux besoins des usagers »[6].

[1] https://www.pole-emploi.fr/candidat/soyez-vigilants/acte-de-cyber-malveillance-soyez.html

[2] « c’est-à-dire celles inscrites à Pôle Emploi en février 2022 ou en cessation d’inscription depuis moins de 12 mois à cette date-là. » selon Le Parisien.

[3] Si cet incident ne présente pas de risque sur l’indemnisation ni sur l’accès à l’espace personnel de pole-emploi.fr, nous vous invitons toutefois à rester vigilants face à tout type

[4] Commission nationale de l’informatique et des libertés.

« Conformément à ses obligations au titre du RGPD, Pôle emploi a procédé à une notification auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL). »

[5] C’est le 10 juin, date confirmée par Pôle emploi, que cette offre de vente de la base de données a été mise en ligne pour 1 000 dollars (environ 840 euros) et retirée le week-end.

[6] Vols de données des privés d emploi inscrits à Pôle emploi, que chacun prenne ses responsabilités – CGT – Publié le 24 août 2023