Depuis fin août, les données personnelles de millions de demandeurs d’emploi sont échangées sur le darkwebcontre quelques centaines de dollars comme conséquence d’une cyberattaque ayant visé une entreprise prestataire de Pôle emploi. Très inquiétant, cet incident, qui n’est pas le premier dans son genre, interroge sur la nature des obligations de Pôle emploi, et des opérateurs de services essentiels de son type, au regard du droit de la cybersécurité. La responsabilité ne repose-t-elle vraiment que sur son prestataire ?
Depuis la fin du mois d’août, les données personnelles de millions de demandeurs d’emploi sont échangées sur le darkwebcontre quelques centaines de dollars1 comme conséquence d’une cyberattaque ayant visé une entreprise prestataire de Pôle emploi.
Les nom, prénom, adresse de courrier électronique2 et numéro de sécurité sociale des demandeurs d’emploi sont concernés, l’établissement public indiquant par ailleurs que les numéros de téléphone, mots de passe et coordonnées bancaires ne le seraient pas.
Si Pôle emploi a rapidement indiqué avoir « procédé à une notification auprès de la CNIL », conformément à ses obligations au regard du règlement général sur la protection des données, il n’a rien mentionné sur le terrain de la cybersécurité, rejetant d’ailleurs toute la responsabilité sur son prestataire3.
Pourtant, cet acte de cybermalveillance n’est pas le premier dans son genre. À l’été 2021 déjà, l’organisme avait été victime d’un hacker isolé4 qui avait été capable de récupérer les données de plus d’un million de demandeurs d’emploi.
Alors, aussi inquiétante que soit cette fuite de données personnelles, ce nouvel incident interroge : Pôle emploi agissant en tant qu’opérateur de services essentiels (I), quelles sont ses obligations au regard du droit de la cybersécurité ? Peut-il être désigné « garant » des règles de sécurité appliquées par l’un ou l’autre de ses sous-traitants (II) ? Les nouvelles règles communes européennes à venir seront-elles en mesure d’empêcher ce type d’incidents (III) ?