Francusko nacionalno tijelo za zaštitu podataka (CNIL) izreklo je 5 milijuna eura kazne javnom uredu za zapošljavanje France Travail zbog propusta u zaštiti osjetljivih osobnih podataka prikupljanih posljednjih dvadeset godina.
Prema nalazu CNIL-a, hakeri su 2024. „socijalnim inženjeringom” prevarili zaposlenike i tako dobili pristup bazama ureda. Otkrivene su matične i telefonske brojeve, adrese e-pošte i kućne adrese svih registriranih korisnika. Prvotno je procijenjeno da je pogođeno 43 milijuna ljudi, a naknadno je broj smanjen na 36,8 milijuna.
Nadzorno je tijelo ocijenilo da France Travail nije proveo „nužne tehničke i organizacijske mjere” koje propisuje Opća uredba o zaštiti podataka (GDPR). Da su zaštitne mjere bile odgovarajuće, napad bi bio znatno otežan, navodi se u odluci.
CNIL je pri određivanju visine kazne uzeo u obzir činjenicu da se ured financira javnim sredstvima te da je nakon incidenta poduzeo korake za jačanje sigurnosti. Ipak, naloženo mu je i uvođenje dodatnih mjera u zadanom roku; ne ispuni li ih, prijeti mu i dnevna kazna od 5 000 eura dok ne uskladi sustave s GDPR-om.
Maksimalna novčana kazna koja se prema GDPR-u može izreći javnoj službi koja ne ostvaruje profit iznosi 10 milijuna eura. CNIL smatra da izrečeni iznos istodobno mora biti razmjeran prekršaju i djelovati odvraćajuće na druge javne institucije.