La CNIL a récemment infligé une amende record à Free Mobile et Free, suite à une cyberattaque majeure survenue en octobre 2024. Cette décision met en lumière les failles de sécurité de l’opérateur et souligne la nécessité d’une protection renforcée des données personnelles. Retour sur les enjeux de cette sanction historique.
L’essentiel à retenir
- La CNIL a infligé une amende de 42 millions d’euros à Free Mobile et Free pour violation du RGPD.
- L’attaque a exposé 24 millions de contrats et des coordonnées bancaires.
- Free doit désormais renforcer sa sécurité et revoir sa politique de conservation des données.
Les détails de l’amende imposée par la CNIL
Le 14 janvier 2026, la CNIL a annoncé avoir infligé une sanction financière de 42 millions d’euros à Free Mobile et Free. Cette somme se répartit en 27 millions d’euros pour Free Mobile et 15 millions d’euros pour Free, suite à une violation du Règlement général sur la protection des données (RGPD). Cette décision découle d’une cyberattaque survenue en octobre 2024, qui a gravement compromis la sécurité des données de millions de clients.
Origine et impact de la cyberattaque
En octobre 2024, un pirate informatique a pu pénétrer les systèmes de Free grâce à des failles dans les accès VPN, utilisés par les employés pour se connecter à distance. Ces faiblesses ont permis à l’attaquant de contourner les mesures de sécurité, exposant ainsi des informations sensibles, y compris des coordonnées bancaires (IBAN). Bien que Free ait mis en place des systèmes pour détecter les activités suspectes, ceux-ci n’ont pas réussi à identifier l’intrusion.
Les conséquences de l’attaque ont été considérables, avec 24 millions de contrats compromis et 2 500 plaintes déposées. Les informations volées ont été utilisées dans des campagnes malveillantes, rendant les attaques de phishing plus crédibles.
Manquements de Free dans la gestion de crise
La CNIL a critiqué la gestion de crise de Free. Bien que l’entreprise ait informé ses clients de l’incident et mis en place un numéro vert, les explications fournies étaient insuffisantes pour que les abonnés comprennent pleinement l’ampleur des dégâts et les mesures à prendre pour se protéger. Cet échec constitue une violation du RGPD, laissant les victimes dans l’incertitude.
Problèmes de conservation des données
Free Mobile est également pointé du doigt pour sa politique de conservation des données. L’opérateur conservait des informations sur d’anciens clients sans raison valable, augmentant ainsi les risques associés à la cyberattaque. Les données n’étaient ni triées ni supprimées après la période légale de dix ans, en contradiction avec les obligations comptables.
Pour remédier à ces manquements, Free possède un délai de six mois pour purger ses bases de données obsolètes et trois mois pour renforcer ses mesures de sécurité.
Contexte et historique de Free
Fondée par Xavier Niel, Free a bouleversé le marché français des télécommunications en proposant des offres innovantes et compétitives. Cependant, cette affaire souligne les défis auxquels l’entreprise doit faire face en matière de cybersécurité. Alors que d’autres opérateurs comme Orange, SFR, et Bouygues Telecom ont également été victimes de cyberattaques, la sanction imposée à Free est un rappel sévère de l’importance de protéger les données personnelles. La CNIL entend rappeler aux opérateurs télécoms que la gestion des données de leurs clients est une responsabilité qu’ils doivent assumer avec sérieux et diligence.