La Commission nationale de l’informatique et des libertés (Cnil) a infligé 27 millions d’euros d’amende à Free Mobile et 15 millions à Free après un vol massif de données confidentielles de clients en 2024, selon une décision publiée ce mercredi 14 janvier sur Légifrance. Une «décision d’une sévérité inédite» en matière de cyberattaque, a dénoncé Free après sa condamnation. «Nous allons donc déposer un recours devant le Conseil d’Etat afin de faire valoir nos droits et obtenir la révision de cette décision», a ajouté l’opérateur.
La Cnil a décidé le 8 janvier de sanctionner les deux entreprises, qui appartiennent au groupe français de télécommunications Iliad, pour des «manquements» de sécurité concernant les données de leurs abonnés dans le cadre d’un piratage ayant touché plus de 24 millions de contrats en octobre 2024. La Commission a également ordonné à Free et Free Mobile de «mettre en œuvre les mesures techniques et organisationnelles appropriées, dans un délai de trois mois, afin de garantir un niveau de sécurité adapté au risque».
Plus de 2 000 plaintes
Un mineur de 16 ans, soupçonné d’être l’auteur du vol dans le système de l’opérateur et fournisseur d’accès en 2024, avait été mis en examen en janvier 2025. L’attaquant avait lui-même annoncé à Free Mobile s’être introduit dans son système d’information et avoir capté des donnés de clients à la fois de l’opérateur et du fournisseur d’accès, rappelle la Cnil dans sa décision. Des données d’identité, de contact, contractuelles et, pour certains clients, leur Iban, ont été volées. Plus de 2 000 plaintes ont été déposées à la Cnil par des personnes concernées par cette violation.
Des procédures distinctes avaient été lancées contre les deux entités Free et Free Mobile, qui ont chacune des obligations distinctes liées à leur propre système d’information, a expliqué la Cnil. Lors du contrôle, la Commission a aussi «constaté la présence de données relatives à plus de 15 millions de contrats résiliés depuis plus de cinq ans, dont 3 millions depuis plus de dix ans, ce qui est «manifestement excessif»» et contraire aux règles de traitement des données à caractère personnel (RGPD). Free Mobile devra ainsi également purger ses bases de données des détails des contrats résiliés depuis plus de dix ans.
