La Commission nationale de l’informatique et des libertés (CNIL) a infligé des amendes à Free Mobile et Free, respectivement de 27 millions d’euros et 15 millions d’euros, après un piratage de données ayant touché plus de 24 millions de clients.
Cette sanction fait suite à un incident survenu en octobre 2024, lorsqu’un hacker a volé des informations sensibles, incluant des numéros d’identification bancaire (IBAN), des données d’identité, ainsi que des informations contractuelles. La CNIL a sanctionné ces deux entités du groupe Iliad pour avoir manqué à leurs obligations de sécurité. L’enquête de la CNIL a révélé qu’au-delà des données personnelles, le piratage avait affecté des contrats résiliés depuis plus de cinq ans, dont trois millions de contrats résiliés depuis plus de dix ans. Cette conservation excessive des données est jugée contraire aux principes du règlement général sur la protection des données (RGPD).
L’amende de 27 millions d’euros a été infligée à Free Mobile, tandis que Free a écopé d’une amende de 15 millions d’euros. En plus des sanctions financières, la CNIL a ordonné aux deux entreprises de mettre en place des mesures techniques et organisationnelles adaptées pour renforcer la sécurité de leurs systèmes. Un délai de trois mois a été accordé pour la mise en œuvre de ces actions.
Free conteste la décision suite au vol de données et annonce un recours
L’opérateur Free, dirigé par Xavier Niel, a contesté la décision de la CNIL, qualifiant cette sanction de « sévère » par rapport à des cas similaires dans lesquels les sanctions avaient été moins strictes. L’entreprise a précisé que malgré cet incident, elle avait renforcé sa sécurité depuis octobre 2024 en mettant en place une architecture de sécurité améliorée, avec des contrôles d’accès renforcés et une surveillance en temps réel.
Dans un communiqué, Free a annoncé qu’il comptait déposer un recours devant le Conseil d’État pour contester cette décision. L’opérateur a ajouté que des attaques similaires peuvent toucher même les systèmes de sécurité les plus avancés, citant des exemples d’autres grandes entreprises technologiques qui ont aussi été la cible de cyberattaques.
Un adolescent de 16 ans a été mis en examen en janvier 2025 en lien avec ce vol de données. Il a lui-même informé Free Mobile de l’intrusion dans leur système, expliquant avoir accédé à des données de leurs abonnés et de ceux du fournisseur d’accès. Suite à cette violation de données, la CNIL a également souligné que plus de 2 000 plaintes avaient été déposées par des personnes concernées.
