Voilà une histoire qui va ternir l’image de Pôle Emploi. L’un de ses prestataires a été victime d’un vol massif de données personnelles et 10 millions de demandeurs d'emploi pourraient être concernés. Le prestataire en question, Majorel, se présente comme un « leader international de gestion de la relation client » et conçoit, élabore et gère les dispositifs et solutions dédiés à l’expérience client. Le groupe luxembourgeois est par ailleurs côté en bourse a fait 1,7 milliard d'euros de chiffre d'affaires en 2021. Il est d’ailleurs en passe d’être racheté par Teleperformance pour 3 milliards d'euros. Dans cette affaire, l’entreprise est chargée de la numérisation et du traitement de tous les documents transmis par les demandeurs d’emploi. Seulement voilà, même en se présentant comme « un des leaders de la modération, de la sécurité et de la véracité des contenus en ligne », il semble que Majorel ait mal sécurisé les données personnelles des inscrits à Pôle Emploi.

Dans un court communiqué, Pôle Emploi indique : « Suite à un acte de cyber-malveillance dont l’un des prestataires de Pôle emploi a été victime, des informations personnelles concernant des demandeurs d’emploi sont susceptibles d’être divulguées. Les nom et prénom, le statut actuel ou ancien de demandeur d’emploi ainsi que le numéro de sécurité sociale de demandeurs d’emploi pourraient être concernés. Les adresses e-mail, numéros de téléphone, mots de passe et coordonnées bancaires ne sont en revanche pas concernés » est-il précisé. Problème : le numéro de sécurité sociale permet non seulement d'avoir des informations sur une personne, pour tenter par exemple de mieux l’arnaquer, mais permet également d'accéder à sa place à France Connect.

Si l’on ne connait pas, pour l’heure, le nombre de personnes réellement touchées, « cela pourrait, selon le prestataire, concerner 10 millions de personnes, c’est-à-dire celles inscrites à Pôle emploi en février 2022 et celles en cessation d’inscription depuis moins de 12 mois à cette date-là », détaille la direction de Pôle emploi à notre confrère Le Parisien. Cela représenterait donc respectivement 6 et 4 millions de personnes.

Les victimes concernées contactées et une notification faite à la Cnil

Si l’établissement public fait part de cette nouvelle, il ne s’est, en revanche, pas donné la peine de dater l’information, on ne sait donc pas à quand remonte la découverte de l’incident. Pôle emploi indique qu’il prendra contact avec l’ensemble des demandeurs d'emploi concernés par cet acte de malveillance par mail dans les meilleurs délais. « Si cet incident ne présente pas de risque sur l’indemnisation ni sur l’accès à l’espace personnel de pole-emploi.fr, nous vous invitons toutefois à rester vigilants face à tout type de démarche ou proposition qui pourrait paraître frauduleuse » est-il précisé. Conformément à ses obligations au titre du RGPD, l’organisation a également procédé à une notification auprès de la Commission Nationale de l’Informatique et des Libertés (Cnil).

Des enquêtes sont par ailleurs en cours chez ce sous-traitant pour connaître l’origine de l’évènement. Pour mémoire, ce n’est pas la première fois que Pôle Emploi doit faire face à une fuite de données. En juin 2021, à la suite de la publication, sur un forum de hack, d'une base de données contenant a priori 1,2 million de lignes de données personnelles d'inscrits à Pôle Emploi, l'agence publique a lancé une enquête. Un hack par supply chain impliquant l'un de ses prestataires avait alors été évoqué parmi les raisons de cette fuite.