En octobre dernier, Free a été la victime d'une cyberattaque avec l'exfiltration de données à caractère personnel de ses abonnés. Elle avait fait grand bruit en raison de son ampleur.
Se présentant en tant que drussellx sur un forum cybercriminel, un individu avait publié une annonce pour la mise en vente d'informations personnelles de 19,2 millions de clients de Free, dont 5,11 millions d'identifiants de compte bancaire (IBAN).
Sans confirmer les gros chiffres, Free avait alerté des clients (fixe et mobile) pour les informer d'une fuite de données. La cyberattaque aurait ciblé un outil de gestion, avec pour conséquence un accès non autorisé à une partie des données personnelles associées à un compte abonné.
La Cnil passe à l'étape supérieure
Dans cette affaire et pour une tentative d'extorsion de Xavier Niel, un adolescent âgé de 17 ans a été mis en examen en janvier. La Commission nationale de l'informatique et des libertés (Cnil) avait par ailleurs effectué un contrôle chez l'opérateur, en soulignant un dossier en cours d'instruction.
Auprès de plaignants, la Cnil indique désormais l'ouverture d'une procédure de sanction contre Free. Un rapporteur a été désigné devant la formation restreinte de la Cnil qui devra se prononcer sur d'éventuels manquements.
« À ce stade, cela ne préjuge aucunement de l'issue qui sera éventuellement donnée à ce dossier pour la formation restreinte de la Cnil, organe de la Cnil chargé de prononcer des sanctions, qui reste souverain pour déterminer le(s) manquement(s) à retenir ainsi que la mesure correctrice à adopter le cas échéant », écrit le service des plaintes de la Cnil dans un e-mail relayé par @_SaxX_.
Free déjà sanctionné dans un tout autre registre
En cas de non-respect des principes fondamentaux du Règlement général de protection des données (RGPD), une amende peut s'élever jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial.
En 2022 et pour des manquements aux obligations du RGPD, la Cnil avait sanctionné Free (Free Mobile) d'une amende de 300 000 €. La sanction faisait suite à des plaintes entre décembre 2018 et novembre 2019 pour des difficultés dans la prise en compte de droits d'accès ou d'opposition à recevoir des messages de prospection commerciale.
