Un an après la cyberattaque d’ampleur qui avait exposé les données personnelles de 19,2 millions de clients, Free se retrouve dans le viseur de la CNIL, le protecteur des données, au point de risquer une grosse amende de 48 millions d’euros. La CNIL pointe du doigt des failles de sécurité majeures.
Des manquements graves à la sécurité et à la conservation des données
Lors de la séance de la formation restreinte, l’organe de sanction de la CNIL, le rapporteur Fabien Tarissan a justifié ce montant élevé par la sévérité des négligences constatées. Deux griefs principaux sont reprochés à Free :
- Une conservation excessive : l’opérateur a gardé dans ses bases de données des informations relatives à des contrats résiliés depuis plus de dix ans, enfreignant les principes de limitation de la durée de stockage.
- Une protection insuffisante : la sécurisation des accès, notamment via les VPN, a été jugée défaillante, facilitant ainsi l’intrusion.
L’amende requise se décompose en deux volets : 33 millions d’euros visent Free Mobile, directement touché par le vol de données d’octobre 2024 (incluant 5,1 millions d’IBAN), et 15 millions d’euros ciblent Free, soit 48 millions au total..
Free parle d’un « bug technique »
Si l’opérateur se refuse officiellement à tout commentaire, le montant de l’amende fait débat. Un expert du secteur cité par Les Échos qualifie la réquisition d’« absolument disproportionnée » au regard de la jurisprudence. À titre de comparaison, Uber n’avait écopé que de 400 000 euros d’amende en 2018 pour une fuite concernant 57 millions d’usagers, tandis que le spécialiste des cryptomonnaies Ledger avait été sanctionné à hauteur de 750 000 euros en 2024 pour des motifs similaires.
Pour sa défense, Nicolas Thomas, directeur général de Free, a évoqué un « bug technique » survenu après la mise à jour d’un outil de gestion peu avant l’attaque. Cet incident aurait, selon lui, réduit la capacité de détection des activités malveillantes. Les avocats de l’opérateur ont également contesté le fait qu’une procédure unique vise simultanément deux entités distinctes du groupe.
Bien que Free affirme a corrigé l’ensemble des manquements soulevés depuis l’incident, l’entreprise reste suspendue à la décision finale du gendarme des données, attendue pour le début de l’année 2026.
4 commentaires pour cet article :