Prancis Denda Badan Ketenagakerjaan €5 Juta atas Kebocoran Data 43 Juta Pencari Kerja

Otoritas perlindungan data Prancis menjatuhkan denda €5 juta kepada badan ketenagakerjaan nasional France Travail karena gagal mengamankan data pencari kerja. Kelalaian tersebut memungkinkan peretas mencuri informasi pribadi hingga 43 juta orang dalam insiden kebocoran data besar yang terungkap pada awal 2024.

France Travail—sebelumnya dikenal sebagai Pôle Emploi—merupakan layanan publik yang mengelola tunjangan pengangguran dan membantu warga mencari pekerjaan. Lembaga ini menyimpan basis data luas berisi informasi pribadi dan finansial jutaan warga, sehingga menjadi target bernilai tinggi bagi pelaku kejahatan siber.

Sanksi dijatuhkan oleh CNIL setelah investigasi atas pelanggaran keamanan yang mengekspos data pencari kerja selama rentang dua dekade. Pada Maret 2024, France Travail mengonfirmasi bahwa penyerang berhasil mengakses dan menyalin data sensitif milik puluhan juta individu.

Informasi yang dicuri meliputi nama lengkap, tanggal lahir, nomor jaminan sosial, alamat email dan rumah, serta nomor telepon. Otoritas menegaskan bahwa detail perbankan dan kata sandi akun tidak terdampak, dan pelaku tidak memperoleh berkas pencari kerja secara lengkap yang berpotensi memuat data kesehatan.

Menurut CNIL, penyerang memanfaatkan teknik rekayasa sosial untuk menyusup ke sistem informasi France Travail. Metode ini mengeksploitasi kepercayaan dan kelengahan manusia, sehingga akun konsultan dari organisasi mitra—yang bertugas mendukung penempatan kerja penyandang disabilitas—dapat diambil alih dan dijadikan pintu masuk ke sistem.

Selain denda finansial, CNIL memerintahkan langkah korektif yang terdokumentasi lengkap, termasuk jadwal implementasi rinci. Kegagalan mematuhi perintah tersebut akan berujung denda harian €5.000 sampai lembaga membuktikan seluruh celah keamanan telah ditutup.

Insiden ini bukan yang pertama. Pada Agustus 2023, France Travail juga mengalami kebocoran data besar yang memengaruhi sekitar 10 juta orang, mengekspos nama lengkap dan nomor jaminan sosial. Rangkaian kasus ini menyoroti tantangan berkelanjutan dalam pengamanan data sektor publik berskala nasional.

Dalam beberapa tahun terakhir, CNIL semakin tegas menegakkan regulasi perlindungan data. Otoritas tersebut sebelumnya menjatuhkan denda besar kepada perusahaan teknologi dan operator telekomunikasi atas pelanggaran kewajiban perlindungan data dan kepatuhan GDPR. Langkah terhadap France Travail menegaskan bahwa lembaga publik pun tidak kebal dari sanksi jika lalai menjaga keamanan data warga.