La CNIL intraitable avec Free, 42 millions d’euros d’amende !

La Commission nationale de l’informatique et des libertés (CNIL) a prononcé une sanction sans précédent contre les sociétés Free Mobile et Free, filiales du groupe Iliad, en les condamnant à payer 42 millions d’euros d’amende après le vol massif de données personnelles de leurs abonnés lors d’une cyberattaque survenue en octobre 2024. Cette décision est l’une des plus significatives jamais prises en France en matière de protection des données personnelles.

Selon le communiqué officiel de l’autorité de régulation, 24 millions de contrats clients ont été compromis, avec accès à des informations sensibles telles que des données d’identité, de contact, contractuelles et même des coordonnées bancaires (IBAN) pour certaines personnes concernées. La formation restreinte de la CNIL a estimé que les mesures de sécurité mises en œuvre par les deux entités étaient inadaptées au regard du risque encouru, notamment en matière de contrôles d’accès et de détection de comportements anormaux sur leurs systèmes d’information.

Les 27 millions d’euros d’amende imposés à Free Mobile et les 15 millions d’euros à Free tiennent compte du volume des personnes touchées, de la nature des données exposées et de la gravité des manquements constatés. En complément, l’autorité a ordonné aux sociétés de mettre en œuvre, dans un délai de trois mois, des mesures techniques et organisationnelles appropriées pour renforcer la sécurité des données personnelles.

L’opérateur a dénoncé une « sévérité inédite » de cette sanction, estimant qu’elle ne reflète pas, selon lui, la nature de l’incident ou les actions déjà entreprises pour renforcer son architecture de sécurité depuis l’attaque. De son côté, la CNIL a souligné que la notification faite aux personnes concernées n’était pas conforme aux exigences du Règlement général sur la protection des données (RGPD), notamment sur les informations que les victimes pouvaient immédiatement comprendre et utiliser pour se protéger.