Il 22 gennaio 2026, la CNIL ha irrogato una sanzione di 5 milioni di euro a France Travail (ex Pôle Emploi), cristallizzando un principio fondamentale: la conformità al GDPR non è un mero adempimento documentale, ma un obbligo di accountability effettiva. L’istruttoria ha rilevato una grave discrasia tra il framework procedurale dichiarato e le misure tecniche di sicurezza realmente implementate.

Nel caso di specie, la CNIL ha accertato l’inefficacia dei sistemi di autenticazione e la carenza di protocolli di monitoraggio sugli accessi, rendendo vulnerabili i dati di milioni di interessati. Inoltre, è stata sanzionata l’inosservanza del principio di limitazione della conservazione: il mantenimento in archivio di dataset relativi a utenti inattivi da anni ha palesato l’assenza di procedure automatizzate di cancellazione o anonimizzazione.

Nonostante i rischi fossero stati identificati nelle valutazioni d’impatto, l’ente ha omesso l’attuazione delle contromisure necessarie. Oltre alla sanzione, è stata imposta una penale di 5.000 euro al giorno per il ritardo nell’adeguamento.