Cyberattaque: pourquoi France Travail conserve vos données sur 20 ans?

43 millions de personnes. Le piratage de très grande ampleur par France Travail (anciennement Pôle Emploi) fait partie des plus importants en France, en partie parce que les données conservées couvraient les 20 dernières années.

Pourtant, le RGPD prévoit, en théorie, la suppression des données personnelles inactives, en général 36 mois (3 ans) pour une base de données personnelles. C'est le principe du droit à l'oubli.

Alors pourquoi France Travail conservait des données sur deux décennies?

Contacté par Tech&Co, la direction de France Travail a confirmé être "en droit de conserver les données enregistrées pendant 20 ans après la dernière cessation d'inscription," citant pour cela l'article R. 5312-44 alinéa 1 du code du Travail.

A l'issue de cette période, et à partir de la dernière cessation d'inscription, "la suppression est automatique," précise France Travail.

Pourquoi une telle durée? "[Pour] les personnes qui veulent faire valoir leur droit à la retraite [et pour] récupérer par exemple les éléments liés à leur période de chômage que les personnes n'auraient pas nécessairement conservé," ajoute l'organisme, qui est "régulièrement sollicité" sur la question par d'anciens allocataires.

La Cnil va se pencher sur le sujet

En revanche, pour les personnes s'étant simplement inscrites sur la liste des demandeurs d'emploi, en créant leur espace personnel, celui-ci est automatiquement supprimé 13 mois après la dernière connexion, conformément à l'article R. 5312-44 alinéa 3.

La "dernière cessation d'inscription" prend effet lorsque vous quittez le giron de l'indemnisation, que vous n'êtes plus en recherche active d'emploi, et que vous n'êtes plus non plus obligé de vous actualiser tous les mois.

Du côté de la Cnil, la commission nationale de l'informatique et des libertés, elle a diligenté une procédure de contrôle. Contactée par Tech&Co, elle a ainsi expliqué que le point précis concernant la durée de conservation des données "sera examiné" et qu'il était "prématuré" de se prononcer "à ce stade".

Dans tous les cas, France Travail a l'obligation d'informer individuellement les victimes de ce piratage, dans les prochains jours. Retrouvez nos conseils pour mieux comprendre ce qui s'est passé.