CNIL, la autoridad de protección de datos de Francia, sancionó con 5 millones de euros a France Travail, el organismo público de empleo, tras una filtración de información personal de millones de solicitantes de trabajo con datos de al menos dos décadas.
La Comisión Nacional de Informática y Libertades (CNIL), la autoridad de control de la protección de datos en Francia, impuso una multa de 5 millones de euros a France Travail, el organismo nacional de empleo, por no haber garantizado la seguridad de la información personal de millones de solicitantes de empleo frente a una brecha de datos ocurrida en marzo de 2024.
La decisión, adoptada el 22 de enero de 2026, responde a fallas técnicas y organizativas que permitieron que atacantes accedieran a sistemas internos mediante técnicas de ingeniería social, es decir, mediante la manipulación de empleados para obtener credenciales de acceso. Los atacantes comprometieron cuentas de consejeros de Cap Emploi, una red vinculada a France Travail que atiende a personas con capacidades diferentes en la búsqueda de empleo.
Una vez dentro del sistema, los intrusos pudieron extraer datos personales de individuos que se habían registrado en France Travail en los últimos 20 años, así como de quienes tenían un perfil de candidato en el sitio web de la agencia. Entre la información obtenida se encontraban nombres, números de seguridad social, direcciones de correo electrónico, direcciones postales y números de teléfono de las personas afectadas.
Las cifras relacionadas con el alcance de la brecha han variado según las fuentes consultadas. Mientras que algunas estimaciones sitúan el número de personas potencialmente afectadas en casi 43 millones, las autoridades, tras depurar duplicados, lo redujeron aproximadamente a 36,8 millones de registros comprometidos.
La CNIL señaló que no se detectó la exfiltración de contraseñas ni de datos financieros sensibles, como información bancaria o de acceso a cuentas, lo cual es un aspecto que la agencia tomó en cuenta al evaluar la gravedad de la violación. Sin embargo, la gran cantidad de datos personales expuestos y la ausencia de mecanismos de protección adecuados -como autenticación reforzada y límites estrictos de intentos de inicio de sesión- fueron factores determinantes en la sanción.
En su resolución, la CNIL concluyó que las medidas de seguridad implementadas por France Travail no eran proporcionales al tipo y volumen de datos procesados, lo que vulneró el Artículo 32 del Reglamento General de Protección de Datos (GDPR), que exige a las organizaciones adoptar salvaguardas técnicas y organizativas apropiadas para proteger la información personal.
Además de la multa, la autoridad francesa ordenó a France Travail a demostrar que ha aplicado acciones correctivas dentro de un plazo establecido, con la amenaza de sanciones adicionales diarias de 5 mil euros en caso de incumplimiento.
France Travail reconoció públicamente la sanción y aceptó la decisión, afirmando que comprende la gravedad de los hechos y su responsabilidad en materia de protección de datos. La agencia también ha declarado que ya ha comenzado a reforzar sus sistemas y controles internos tras el incidente.