Vol de données: la Cnil inflige des amendes de 27 millions d'euros à Free Mobile et 15 millions à Free par la Cnil / Photo: ERIC PIERMONT - AFP/Archives
Vol de données: la Cnil inflige des amendes de 27 millions d'euros à Free Mobile et 15 millions à Free par la Cnil
La Commission nationale de l'informatique et des libertés (Cnil) a infligé 27 millions d'euros d'amende à Free Mobile et 15 millions à Free après un vol massif de données de clients en 2024, selon une décision parue mercredi sur Légifrance, jugée d'une "sévérité inédite" par l'opérateur.
La Cnil a sanctionné ces deux entreprises, qui appartiennent au groupe Iliad, pour des "manquements" de sécurité concernant les données confidentielles de leurs abonnés dans le cadre d'un piratage ayant touché plus de 24 millions de contrats en octobre 2024, selon cette décision prise par la Cnil le 8 janvier.
La Commission a également ordonné à Free et Free Mobile de "mettre en œuvre les mesures techniques et organisationnelles appropriées, dans un délai de trois mois, afin de garantir un niveau de sécurité adapté au risque".
"Cette décision est d’une sévérité inédite sans commune mesure au regard des précédents en matière de cyberattaques", a réagi Free auprès de l'AFP.
"Nous allons donc déposer un recours devant le Conseil d’Etat afin de faire valoir nos droits et obtenir la révision de cette décision", a ajouté l'opérateur, qui dit avoir renforcé son "architecture de sécurité" depuis l'incident.
Un mineur de 16 ans, soupçonné d'être l'auteur du vol, avait été mis en examen en janvier 2025.
L'attaquant avait lui-même annoncé à Free Mobile qu'il s'était introduit dans son système d'information et avait capté des donnés de clients à la fois de l'opérateur et du fournisseur d'accès, rappelle la Cnil dans sa décision. Des données d'identité, de contact, contractuelles et, pour certains clients, leur Iban, avaient été volées.
Des procédures distinctes avaient été lancées contre les deux entités, qui ont chacune des obligations liées à leur propre système d'information, a expliqué la Cnil, destinataire de plus de 2.000 plaintes de personnes concernées par cette violation.
Lors du contrôle, la Cnil a aussi constaté la présence de données relatives à plus de 15 millions de contrats résiliés depuis plus de cinq ans, dont trois millions depuis plus de dix ans, ce qui est "manifestement excessif" et contraire aux règles de traitement des données à caractère personnel (RGPD).
Free Mobile devra également purger ses bases de données des détails des contrats résiliés depuis plus de dix ans.
U.Dumont--JdB
