L'affaire remonte à octobre 2024, lorsqu'une intrusion, facilitée par un complice interne, a permis de dérober les informations personnelles de 19 millions de clients de l'opérateur. Parmi ces données figuraient les coordonnées bancaires (IBAN) de plus de cinq millions d'entre eux. Cet épisode a rapidement déclenché l'ouverture d'une enquête par la Commission nationale de l’informatique et des libertés (CNIL) afin d'évaluer la conformité de l'entreprise au RGPD.
Quels sont les manquements reprochés à l'opérateur ?
Le rapporteur désigné par la CNIL a présenté un dossier particulièrement accablant lors d'une audience en formation restreinte. L'un des principaux griefs concerne la conservation excessive des données. Il a été révélé que l'opérateur gardait des informations personnelles de clients ayant résilié leur contrat depuis plus de dix ans, une pratique jugée totalement contraire aux principes fondamentaux du RGPD.
Au-delà de cette rétention de données, la sécurité des accès a été sévèrement critiquée. Le rapporteur a souligné des faiblesses importantes, notamment au niveau des VPN de l'entreprise, qui auraient grandement facilité la cyberattaque. Ces négligences manifestes sont considérées comme des manquements graves à l'obligation légale de sécuriser les données personnelles des utilisateurs.
Quelle sanction financière est réellement sur la table ?
La sanction requise est d'une ampleur rare dans le secteur des télécoms français. Le rapporteur a demandé deux amendes publiques distinctes : une de 33 millions d'euros visant Free Mobile et une autre de 15 millions d'euros pour Free SAS, la maison mère Iliad étant donc directement concernée. Le montant total s'élève ainsi à 48 millions d'euros, une amende qui, si elle est confirmée, marquerait durablement les esprits.
La décision finale de la formation restreinte de la CNIL est attendue pour le début de l’année 2026. Ce n'est pas la première fois que l'opérateur de Xavier Niel est épinglé pour sa gestion des données. En 2022, il avait déjà été condamné à régler une sanction de 300 000 euros pour des manquements similaires, un montant qui paraît dérisoire en comparaison de la menace actuelle.
Comment Free se défend-il face à ces accusations ?
Face à la gravité des accusations, la direction de Free a tenté de minimiser sa responsabilité. Nicolas Thomas, le directeur général de l'opérateur, a évoqué un « bug technique » survenu juste avant l'attaque, suite à la mise à jour d'un outil de gestion. Ce dysfonctionnement aurait, selon lui, considérablement réduit la capacité de l'entreprise à détecter les activités malveillantes en temps réel.
L'opérateur assure avoir depuis corrigé l'ensemble des failles de sécurité qui ont été identifiées par la CNIL au cours de son inspection. Cependant, la décision de l'autorité est très attendue par tout l'écosystème, car elle pourrait créer un précédent et renforcer de manière significative les exigences de sécurité pour l'ensemble des acteurs des télécoms en France, alors que les fuites de données s'intensifient.
