Free écope d'une amende de la CNIL pour ne pas avoir protégé les données de ses abonnés

Free écope d'une amende de la CNIL pour ne pas avoir protégé les données de ses abonnés
La Rédac

La CNIL inflige à Free une amende de 42 millions d'euros suite à la cyberattaque massive d'octobre 2024 qui a exposé les données personnelles de ses abonnés. L'opérateur est sanctionné pour des lacunes graves dans la sécurité de ces informations sensibles.

La Commission nationale de l'informatique et des libertés (CNIL) a rendu, le 13 janvier 2026, une décision sévère à l'encontre de Free et de sa filiale Free Mobile. Ensemble, ils doivent payer une sanction administrative de 42 millions d'euros, répartie en 27 millions pour Free Mobile et 15 millions pour Free. L'autorité française de protection des données considère que les dispositifs mis en place par le groupe pour protéger les informations de ses abonnés étaient "inadéquats" au regard des risques encourus.

Ce montant, rarement atteint dans des affaires de cybersécurité en France, s'inscrit dans une politique plus ferme de la CNIL qui, ces dernières années, a multiplié les sanctions pour faire respecter le règlement général sur la protection des données (RGPD).

© CNIL

Cyberattaque chez Free : un piratage catastrophique

L'histoire remonte à octobre 2024. Un individu a réussi à s'introduire dans le système informatique de l'opérateur. Cette intrusion a permis d'accéder à des bases contenant les informations personnelles de plus de 24 millions de contrats d'abonnés, incluant des données d'identité, des coordonnées, des adresses, et surtout les IBAN bancaires des clients qui avaient à la fois un abonnement Free et Free Mobile.

Ce vol de données n'est pas resté discret. Plus de 2 500 plaintes ont été déposées auprès de la CNIL par des personnes concernées, choquées par l'ampleur de la fuite. L'affaire a déclenché une enquête administrative approfondie de l'autorité, qui a examiné la conformité des pratiques de l'entreprise aux obligations strictes du RGPD.

Un élément marquant est que certaines données conservées dans les serveurs n'auraient plus dû l'être. La CNIL a en effet constaté que Free Mobile gardait des informations d'anciens abonnés depuis bien trop longtemps, en violation des règles qui exigent de ne pas conserver des données personnelles au-delà de ce qui est nécessaire à leur traitement.

Cyberattaque chez Free : de graves manquements à la sécurité

Dans ses décisions, la CNIL a relevé plusieurs déficiences concrètes dans les mesures de sécurité de Free : dans son rapport accablant, elle pointe notamment une authentification insuffisante pour accéder au réseau privé virtuel (VPN) utilisé par les employés en télétravail, et des outils incapables de détecter des comportements anormaux sur le réseau. Ces insuffisances ont facilité l'action du pirate et prolongé la durée d'exposition des données.

Le groupe a également été critiqué pour la manière dont il a informé les personnes concernées par la fuite. Le courriel envoyé à certains abonnés n'aurait pas fourni toutes les informations nécessaires pour comprendre les conséquences du piratage ni les mesures à prendre pour se protéger.

Pour des millions de clients, la fuite a eu des répercussions concrètes. Les informations volées, notamment les IBAN, sont des éléments sensibles qui peuvent être utilisés pour des tentatives de fraude ou d'arnaques. Après l'incident, de très nombreux abonnés ont signalé recevoir davantage de spams ou tentatives de phishing, ce qui illustre les effets persistants de l'exposition de ces données. Le problème majeur, c'est la précision des informations récoltées par les pirates, et notamment les IBAN qui exposent directement les comptes bancaires des clients. Un danger réel pour les personnes concernées, qui peuvent être victimes de prélèvements frauduleux.

Face à ces risques, des organismes comme Cybermalveillance.gouv.fr ont recommandé aux personnes concernées de surveiller leurs comptes, de changer leurs mots de passe et, si nécessaire, de déposer plainte auprès des autorités compétentes.

Cyberattaque chez Free : une sanction contestée

Free a contesté la décision de la CNIL, estimant que la sanction était "d'une sévérité inédite" par rapport à des cas similaires et affirmant avoir déjà renforcé la sécurité de ses systèmes depuis l'attaque. Le groupe a annoncé son intention de déposer un recours devant le Conseil d'État pour tenter d'obtenir la révision de la décision.

Rappelons en outre que Free n'est pas le seul opérateur à avoir subi une cyberattaque : SFR, Bouygues Telecom et même Orange ont également été piratés ces derniers temps, avec là encore du vol de données, même si ce n'était pas dans des proportions identiques.  

Cette affaire met en lumière la nécessité, pour toutes les entreprises qui gèrent des masses considérables de données personnelles, d'investir dans des protections adaptées. Quelle que soit son issue judicaire, il faut souhaiter qu'elle servira de piqure de rappel pour inciter ces sociétés à sécuriser réellement les informations sur leurs clients : il en va de la confiance du public dans les services numériques.