Cyberattaque chez Free : la CNIL sanctionne sévèrement l’opérateur
À la suite d’une importante fuite de données révélée à l’automne 2024, le groupe Iliad se retrouve sous le coup de lourdes sanctions financières. La Commission nationale de l’informatique et des libertés (Cnil) a en effet décidé de frapper fort en infligeant des amendes distinctes à Free et à sa filiale Free Mobile, mettant en cause leur gestion des données personnelles et la sécurité de leurs systèmes d’information.
Dans deux décisions rendues publiques le 8 janvier, l’autorité de régulation a condamné Free à une amende de 15 millions d’euros, alors que Free Mobile écope d’une sanction nettement plus élevée, à hauteur de 27 millions d’euros. Ces décisions font suite à une cyberattaque d’envergure survenue entre la fin septembre et la fin octobre 2024.
Les raisons derrière cette sanction
L’attaque informatique, point de départ de la procédure, a permis à un pirate d’accéder aux outils internes utilisés pour la gestion des abonnés. Cette intrusion a entraîné l’exposition des données liées à environ 24,6 millions de contrats, dont près de 19,5 millions de contrats mobiles et 5,1 millions de contrats fixes. Les informations compromises comprenaient notamment des données d’identification, des coordonnées de contact, des éléments contractuels et, pour une partie des clients, des informations bancaires telles que des IBAN.
Concernant Free Mobile, la Cnil a particulièrement pointé une conservation excessive des données personnelles. Des millions de contrats résiliés étaient encore stockés depuis plus de cinq ans, voire plus de dix ans, sans justification conforme aux exigences du RGPD. À cela s’ajoutent des failles dans la gestion des accès aux systèmes d’information et une surveillance insuffisante des activités suspectes, permettant à l’attaquant d’agir durant plusieurs semaines sans être détecté.
De son côté, Free est sanctionné principalement pour un manquement à son obligation de sécurité. Selon la Cnil, l’opérateur n’avait pas mis en place des mesures techniques et organisationnelles suffisamment robustes pour protéger les données de ses abonnés, en particulier celles liées aux informations bancaires.
Free engage des mesures correctives, mais la CNIL les juge insuffisantes
En réponse à la procédure, Free Mobile a engagé des actions correctrices, notamment un important travail de tri des données afin de ne conserver que celles strictement nécessaires au respect de ses obligations légales.
Toutefois, la Cnil a jugé ces efforts insuffisants à ce stade. L’opérateur est désormais sommé de finaliser la purge complète des données non conformes dans un délai de six mois, afin de se mettre pleinement en conformité avec le RGPD.
