Os dados pessoais dos candidatos a emprego estão suficientemente protegidos? O novo tratamento de dados da France Travail, implementado pela reforma do antigo Pôle Emploi, preocupa a Comissão Nacional de Informática e Liberdades (CNIL).
Irá a França Travail (antigo Pôle Emploi) sofrer outros ataques cibernéticos em 2025, depois de março de 2024? Isto é claramente o que a Comissão Nacional de Informática e Liberdades (CNIL) quer evitar, lendo a sua deliberação publicada a 1 de janeiro no Diário Oficial. A autoridade independente, responsável por proteger a nossa privacidade, manifesta a sua “ preocupar », enquanto examinava, a pedido do Ministério do Trabalho e Emprego, o projeto de atualização dos sistemas de informação da France Travail.
Recorde-se que a lei do pleno emprego de dezembro de 2023, que reformou a organização dedicada aos desempregados, previa um “ novo caminho renovado para apoiar quem procura emprego » parte do qual é baseada na análise de dados. Para isso, a France Travail está a criar seis novos tratamentos de dados pessoais. Estes envolverão ações dados de candidatos a emprego em diferentes organizações, todos descritos em decreto também publicado em 1º de janeiro no Diário Oficial.
Leia também: France Travail (antigo Pôle emploi) destacada pela Quadrature du Net pelo uso de algoritmos
Dados de candidatos a emprego acessíveis a mais entidades
E são precisamente estes futuros processamentos de dados, e estas novas partilhas, que preocupam a CNIL. A organização responsável pela assistência ao emprego e à reintegração permitirá de facto “ parceiros ” de ” rede de emprego » acessar dados de pelo menos seis milhões de pessoas. Entre esses parceiros, encontramos “ regiões, departamentos, municípios e grupos de municípios, missões locais para a integração profissional e social dos jovens (missões locais), Cap emploi », o Fundo Nacional de Bolsa Família e também o Fundo Central da Mutualidade Social Agrícola.
O que significa que os dados dos candidatos a emprego, até agora confinados principalmente aos agentes do Pôle emploi, estarão acessíveis a um maior número de organizações. Se a CNIL não critica este acesso e partilha de dados em si, lembra que devem ser acompanhados de “ medidas de segurança adaptadas aos riscos “.
Porque os novos sistemas de informação da France Travail serão massivamente abertos, e “ com prazos extremamente apertados » a estas novas entidades, observa ela. “CEsta extensão aumenta os riscos de segurança aos quais os tratamentos estão expostos » uma vez que são potencialmente novos pontos de entrada para hackers. Principalmente se os princípios de segurança cibernética não forem seguidos à risca.
Em março de 2024, os piratas passaram por… um parceiro da France Travail
E, infelizmente, não faltam exemplos de organizações do setor social insuficientemente protegidas, alvo de ataques cibernéticos.. Em 2024, a CAF, mas também e sobretudo a França Travail, sofreram hacks. Em Março de 2024, os dados de 43 milhões de franceses foram potencialmente exfiltrados dos sistemas informáticos do antigo Pôle emploi.
E de acordo com uma investigação do Ministério Público de Paris, os hackers entraram precisamente nos sistemas do antigo Pôle emploi através de “um parceiro” da France Travail: Cap emploi, uma organização dedicada a apoiar pessoas em situação de deficiência.
O que explica por que a autoridade independente “ convidado ”, em parecer não vinculativo, “ o Ministério (do Trabalho e Emprego, nota do Editor) para exigir a implementação de medidas de segurança eficazes para todas as estruturas da rede de emprego antes qualquer fornecimento de novas ferramentas (…) “. Por exemplo, ela sugere acabar com “ isenções de requisitos de segurança (…) concedidas após a execução das operações de tratamento em causa “.
A autoridade independente pede nada mais e nada menos ao ministério para garantir que o organismo público implementou medidas de segurança suficientes, antes de lançar novo processamento informático – e antes de partilhar dados de candidatos a emprego.
Muitos dados acessíveis
É preciso dizer que os dados coletados “ em grande escala » são particularmente estratégicos: é “ os chamados dados sensíveis (aqueles relacionados em particular com a saúde), “dados relativos a condenações penais, infrações ou medidas de segurança relacionadas”, bem como os chamados dados “altamente pessoais” (dados bancários) “. “ O responsável pelo tratamento deve garantir que estes dados são recolhidos e tratados com a maior precaução e fornecendo garantias específicas. », insiste a autoridade.
Os dados que o processamento do computador planeja absorver e processar são realmente essenciais? A CNIL lembra ainda que só a necessidade deve conduzir à recolha de dados.
Para o CNIL, o arquivo não está fechado
A par destes elementos substantivos, a organização independente lamenta também a forma como foi contactada pelo Ministério do Trabalho e Emprego. O projeto France Travail é “ de tal magnitude » que o CNIL não pode, através de procedimento de urgência e num único encaminhamento – “ instruir corretamente os projetos de textos abordados », lamenta. Por outras palavras, a autoridade lamenta que o Governo não tenha dividido o seu pedido de avaliação em várias partes. “ A ausência de observação (…) sobre certas disposições do projeto de decreto não pode prejudicar a legalidade de todos os tratamentos em causa. “, ela declara.
Ou seja, a CNIL pretende acompanhar o processo nos próximos meses. Ela ” convida (além disso) o ministério a voltar a ele para continuar as discussões sobre o cumprimento dos vários tratamentos » de dados pessoais. O convite lançado terá seguimento?
🔴 Para não perder nenhuma novidade da 01net, siga-nos no Google News e WhatsApp.