Le couperet est tombé pour Free. La Commission nationale de l'informatique et des libertés (Cnil) inflige une amende totale de 42 millions d'euros aux sociétés Free (15 millions d'euros) et Free Mobile (27 millions d'euros). Elle sanctionne des manquements de sécurité ayant permis un vol massif de données personnelles en octobre 2024, touchant plus de 24 millions de contrats d'abonnés.
Quels sont les manquements reprochés par la Cnil ?
La Cnil a identifié plusieurs failles critiques dans la protection des données des abonnés. Le régulateur pointe un manquement à l'obligation d'assurer la sécurité des données personnelles en vertu du Règlement général sur la protection des données (RGPD).
La procédure d'authentification pour se connecter au VPN, utilisé notamment par les employés en télétravail, " n'était pas suffisamment robuste ". De plus, les mesures de détection des comportements anormaux sur le système d'information se sont révélées " inefficaces ".
La Cnil estime que des " mesures élémentaires de sécurité " auraient pu rendre la cyberattaque bien plus difficile, soulignant que la fuite a compromis des données hautement personnelles, y compris des identifiants bancaires IBAN pour certains clients cumulant les offres Free et Free Mobile.
Une sanction que Free ne digère pas
Dans une réaction au Monde, l'opérateur de Xavier Niel juge que la décision de la Cnil est " d'une sévérité inédite, sans commune mesure au regard des précédents en matière de cyberattaques ".
Free estime que " dans plusieurs cas comparables, malgré des impacts similaires, voire plus graves, sur les données personnelles, les sanctions prononcées semblent dérisoires au regard de celle-ci ".
Le groupe Iliad a déposé un recours devant le Conseil d'État pour obtenir la révision de la décision de la Cnil.
Hormis la sécurité des données
La Cnil a également épinglé Free sur d'autres aspects du RGPD. Un manquement à l'obligation de communication auprès des personnes concernées a été relevé. L'e-mail d'information envoyé aux abonnés ne contenait pas tous les détails nécessaires pour leur permettre de " comprendre directement les conséquences de la violation ".
La société Free Mobile a par ailleurs été sanctionnée pour une conservation excessive des données. Des millions de données d'anciens abonnés étaient conservées sans justification valable, bien au-delà des durées légales.
