Piratage massif chez Free : la CNIL soupçonne des manquements au RGPD
Face à l'ampleur du dernier piratage de Free, la CNIL a ouvert une enquête afin de déceler d'éventuels manquements au RGPD. Après les premières conclusions, elle vient de lancer une procédure pouvant aboutir à des sanctions.
L'affaire avait fait grand bruit, et pour cause : fin octobre 2024, Free avait subi un vol massif de données, impactant pas moins de 19 millions de clients (voir notre article). Les hackers s'étaient emparés de fiches d'informations personnelles très complètes , ouvrant la porte à toutes sortes d'arnaques, entre usurpation d'identité et détournement. Et ce n'est pas tout : des millions d'IBAN – autrement dit, de coordonnées bancaires – avaient également été compromis. Les conséquences se font déjà sentir, puisque des campagnes personnalisées visant les abonnés de l'opérateur se multiplient.
L'affaire était tellement sérieuse que les autorités s'en sont emparées. La Commission nationale de l'informatique et des libertés (CNIL) s'est penchée sur le dossier et a effectué un contrôle dans les locaux de Free, afin de vérifier si l'opérateur avait bien pris les mesures adéquates pour protéger les informations privées des abonnés. Les premiers résultats de l'enquête semblent pencher vers un manquement au RGPD, et donc vers une éventuelle sanction.
RDV dans 6 ou 7 mois pour les résultats de l'enquête entamée par la CNIL des suites de la cyberattaque de FREE https://t.co/rN5ryIU2cD pic.twitter.com/TdZmJqYlK3
— SaxX \_()_/ (@_SaxX_) March 13, 2025
Piratage Free : des risques de sanctions par la CNIL
Face aux risques énormes que représente le vol de données personnelles des abonnées Free, les autorités ont ouvert une enquête et ont invité les victimes à déposer plainte. Celles qui l'ont fait reçoivent actuellement un e-mail de la CNIL les informant de l'avancement du dossier. Ce courriel, partagé par le chercheur Clément Domingo sur son compte X, indique que la procédure de contrôle a été ouverte et que les éléments recueillis ont fait l'objet "d'une analyse approfondie à l'issue de laquelle la Présidente de la CNIL a décidé d'engager une des procédures de sanction prévue par la loi". L'autorité s'appuie ici sur loi n° 78-17 du 6 janvier 1978, qui encadre la protection des données personnelles en France et prévoit des sanctions en cas de manquements, et plus particulièrement sur l'article 22.
Dans le cadre de cette procédure, la CNIL a désigné un rapporteur pour porter le dossier devant la formation restreinte de l'organisme, qui est responsable des sanctions. Le rapporteur devra collecter les preuves sur des "manquements au RGPD" et les présenter sous la forme d'un rapport, ce qui devrait prendre six ou sept mois. Celui-ci déterminera alors si Free écopera ou non de sanctions, qui peuvent aller d'un simple rappel à l'ordre à d'une amende administrative de 20 millions d'euros ou 4 % du chiffre d'affaires annuel de l'entreprise. L'opérateur pourrait être obligé à corriger les manquements constatés dans un temps imparti, sous peine de nouvelles sanctions. Cela s'est déjà produit en 2022, le FAI ayant écopé d'une amende de 300 000 € pour avoir mal sécurisé les informations personnelles de ses abonnés et avoir recyclé des Freebox contenant encore des données d'anciens utilisateurs !