En janvier 2026, la Commission nationale de l'informatique et des libertés (CNIL) a infligé des amendes cumulées de 42 millions d'euros aux sociétés Free Mobile et Free, en raison de manquements graves à la sécurité des données personnelles de leurs abonnés. Cette décision fait suite à une cyberattaque survenue en octobre 2024, au cours de laquelle un attaquant a accédé aux informations de 24 millions de contrats d'abonnés, incluant des identifiants bancaires (IBAN) pour certains clients communs aux deux entités.
Contexte de la violation de données
En octobre 2024, un individu malveillant a réussi à s'infiltrer dans le système d'information des sociétés Free Mobile et Free, compromettant les données personnelles de millions d'abonnés. Parmi les informations exposées figuraient des noms, adresses, numéros de téléphone et, pour certains clients, des IBAN. Cette intrusion a suscité plus de 2 500 plaintes auprès de la CNIL, conduisant à une enquête approfondie de l'autorité de régulation.
Manquements identifiés par la CNIL
L'enquête de la CNIL a révélé plusieurs défaillances dans les mesures de sécurité mises en place par Free Mobile et Free :
- Authentification insuffisante : Les procédures d'accès aux réseaux internes via VPN n'étaient pas suffisamment robustes, facilitant l'intrusion.
- Détection d'anomalies inefficace : Les systèmes de surveillance n'ont pas permis d'identifier rapidement des comportements suspects sur le réseau.
- Conservation excessive des données : Free Mobile a conservé des millions de données d'anciens abonnés sans justification, pendant une durée excessive, en violation des principes de limitation de la conservation des données.
Ces manquements constituent des violations des articles 32 et 5-1-e du Règlement général sur la protection des données (RGPD), relatifs à la sécurité des données et à la limitation de leur conservation.
Sanctions et réactions
En conséquence, la CNIL a prononcé des amendes de 27 millions d'euros à l'encontre de Free Mobile et de 15 millions d'euros à l'encontre de Free, totalisant 42 millions d'euros. L'autorité a également enjoint les deux sociétés à renforcer leurs mesures de sécurité dans un délai de trois mois et à finaliser le tri et la suppression des données conservées indûment dans un délai de six mois.
Free a qualifié cette décision de « sévérité inédite » et a annoncé son intention de déposer un recours devant le Conseil d'État pour contester la sanction.
Implications pour le secteur des télécommunications
Cette affaire souligne l'importance cruciale de l'hygiène de base en cybersécurité pour les opérateurs télécoms, qui gèrent des volumes considérables de données sensibles. Elle rappelle également que la CNIL est déterminée à sanctionner sévèrement les manquements aux obligations de protection des données personnelles, afin de garantir la confiance des consommateurs dans le numérique.
Cet article a été généré par une intelligence artificielle à des fins d’information. Malgré le soin apporté à sa rédaction, certaines informations peuvent être incomplètes, approximatives ou devenir obsolètes. Il ne remplace pas l’avis d’un expert humain.