La Cnil sanctionne Free et Free Mobile pour des manquements majeurs à la sécurité des données

_**L’autorité de protection des données a infligé des amendes record aux deux sociétés du groupe Iliad, estimant que leurs défaillances avaient facilité un piratage massif survenu l’an dernier.**_

La Commission nationale de l’informatique et des libertés a prononcé des sanctions financières d’un montant total de 42 millions d’euros à l’encontre de Free et de Free Mobile. Cette décision fait suite à une intrusion informatique survenue en octobre 2024, ayant compromis les informations relatives à plus de 24 millions de contrats. Les enquêteurs de la Cnil ont relevé des insuffisances dans les mesures de sécurité mises en œuvre par les deux opérateurs, ce qui a permis à un individu de s’introduire dans leurs systèmes et d’exfiltrer un volume considérable de données clients.

Parmi les informations dérobées figurent des éléments d’identité, des coordonnées, des données contractuelles et, pour une partie des abonnés, leurs références bancaires. L’autorité a par ailleurs constaté, lors de ses vérifications, la conservation injustifiée de données concernant plus de 15 millions d’anciens contrats, certains résiliés depuis plus de dix ans, une pratique jugée contraire au règlement général sur la protection des données.

Outre l’amende, la Cnil a enjoint aux deux sociétés de se conformer, dans un délai de trois mois, à des obligations renforcées en matière de sécurité informatique. Free Mobile devra notamment procéder à l’effacement des données des contrats clos depuis plus d’une décennie. Les entreprises, qui contestent la sévérité de la sanction, ont annoncé leur intention de former un recours devant le Conseil d’État. Elles affirment avoir, depuis l’incident, substantiellement renforcé leur architecture de sécurité.