Dans le cadre d’un piratage survenu fin octobre 2024 qui a conduit à un vol massif de données de clients, Free et Free mobile se sont vu infliger ce mercredi 14 janvier une condamnation à plusieurs dizaines de millions d’euros d’amende. Une décision qualifiée d’une « sévérité inédite » par l’opérateur mobile.
Une cyberattaque qui coûte cher. La Commission nationale de l'informatique et des libertés (CNIL) a infligé ce mercredi 27 millions d'euros d'amende à Free Mobile et 15 millions à Free, après un vol massif de données de clients en octobre 2024, selon une décision publiée ce mercredi sur Légifrance.
Une condamnation que la CNIL explique par des «manquements» de sécurité concernant les données confidentielles telles que des données d'identité, de contact, contractuelles et, pour certains clients, leur IBAN.
L’auteur soupçonné du piratage, un mineur de 16 ans mis en examen en janvier 2025, avait lui-même annoncé à Free Mobile s'être introduit dans son système d'information et avoir capté des données de clients à la fois de l'opérateur et du fournisseur d'accès, rappelle la CNIL dans sa décision.
Free conteste une sanction «sans commune mesure»
Des procédures distinctes avaient donc été lancées contre les deux entités, qui ont chacune des obligations liées à leur propre système d'information, a expliqué la Cnil, destinataire de plus de 2.000 plaintes de personnes concernées par cette violation.
Alors que la Commission a également ordonné aux deux entreprises du groupe Iliad de «mettre en œuvre les mesures techniques et organisationnelles appropriées, dans un délai de trois mois, afin de garantir un niveau de sécurité adapté au risque», Free a réagi en qualifiant cette sanction de «sévérité inédite sans commune mesure au regard des précédents en matière de cyberattaques».
«Nous allons donc déposer un recours devant le Conseil d’État afin de faire valoir nos droits et obtenir la révision de cette décision», a ajouté l'opérateur, qui indique avoir renforcé son «architecture de sécurité» depuis l'incident.
Lors de l’enquête, la CNIL a aussi constaté la présence de données relatives à plus de 15 millions de contrats résiliés depuis plus de cinq ans, dont trois millions depuis plus de dix ans, ce qui est « manifestement excessif » et contraire aux règles de traitement des données à caractère personnel (RGPD).
Free Mobile devra également purger ses bases de données des détails des contrats résiliés depuis plus de dix ans.
