La CNIL annonce infliger une amende 42 millions d’euros à Free à la suite de son gros piratage qui a eu lieu en 2024. Celui-ci avait concerné au total le vol de données de 24 millions de clients Freebox et Free Mobile, dont leur IBAN.
42 millions d’euros d’amende pour Free
Dans le détail, la CNIL indique infliger une amende de 27 millions d’euros à Free et 15 millions d’euros à Free Mobile, soit 42 millions au total. L’Autorité dit prendre compte des capacités financières du groupe, ainsi que de la méconnaissance de principes essentiels en matière de sécurité, du nombre de personnes concernées et du caractère hautement personnel des données compromises, tout comme les risques engendrés par la fuite de certaines données (tout particulièrement les IBAN).
Pour rappel, les hackers avaient pu collecter les données suivantes :
- Nom
- Prénom
- Adresse email
- Adresse postale
- Numéro de téléphone
- Identifiant abonné
- IBAN
- Données contractuelles (type d’offre souscrite, date de souscription, abonnement actif ou non)
Plusieurs manquements aux règles
La CNIL indique avoir reçu un très grand nombre de plaintes (plus de 2 500) de personnes qui ont été concernées par le piratage de Free. Elle a réalisé un contrôle qui a mis en évidence des manquements à plusieurs obligations prévues par le règlement général sur la protection des données (RGPD). L’Autorité ajoute avoir constaté que Free et Free Mobile n’avaient pas mis en œuvre certaines mesures élémentaires de sécurité qui auraient pu rendre l’attaque plus difficile.
Elle a notamment relevé que la procédure d’authentification pour se connecter au VPN de Free et de Free Mobile (utilisée en particulier pour le travail à distance des employés de la société) n’était pas suffisamment robuste. Par ailleurs, les mesures déployées par les deux groupes afin de détecter les comportements anormaux sur leur système d’information étaient inefficaces.
Ainsi, la CNIL juge que les mesures de sécurité déployées par Free afin d’assurer leur confidentialité n’étaient pas adaptées. Elle a rappelé que, même s’il est impossible d’éliminer tout risque, celles-ci peuvent en réduire la probabilité et, le cas échéant, en limiter la gravité. Depuis, Free a pris des mesures pour renforcer sa sécurité.
Une conversation inappropriée des données
Parmi les autres manquements, il y a l’e-mail de Free pour informer ses abonnés qu’il y a eu un piratage. La CNIL a considéré que cet e-mail ne comportait pas toutes les informations nécessaires visées au paragraphe 2 de l’article 34 du RGPD, en estimant que ces omissions ne permettaient notamment pas aux personnes concernées de comprendre directement les conséquences de la violation, ainsi que les mesures qu’elles pouvaient mettre en place pour se protéger de celles-ci.
De même, l’Autorité a constaté que Free n’avait pas mis en place de mesures permettant de trier les données des anciens abonnés afin de ne conserver que celles nécessaires à des fins comptables, puis de les supprimer lorsque cette conservation n’apparaît plus nécessaire. Il se trouve que Free Mobile avait conservé des millions de données de ses abonnés, sans justification, pendant une durée excessive.
Durant la procédure, Free a initié un tri afin de conserver pendant 10 ans les seules données qui lui sont nécessaires pour respecter des obligations comptables et a supprimé une partie des données conservées pendant une durée excessive.
Bref : bon courage pour obtenir quelque réparation.