Après l’intrusion massive qui a touché 24 millions d’abonnés en octobre 2024, la Commission nationale de l’informatique et des libertés (CNIL) frappe fort. Free Mobile écope d’une sanction de 27 millions d’euros, tandis que Free se voit infliger 15 millions d’euros supplémentaires. Une décision qui met en lumière les carences dans la protection des données personnelles chez l’opérateur télécom français. Au-delà du montant, c’est la négligence dans l’application des règles élémentaires de cybersécurité qui est pointée du doigt.
Une faille aux conséquences vertigineuses
L’histoire remonte à l’automne 2024. Un attaquant parvient à s’infiltrer dans les systèmes informatiques du groupe Free et met la main sur un trésor de données personnelles : 24 millions de contrats d’abonnés compromis, incluant dans certains cas des coordonnées bancaires (IBAN) pour les clients disposant d’une double souscription chez Free Mobile et Free. L’ampleur de la brèche provoque une vague de colère parmi les usagers, qui déposent plus de 2 500 plaintes auprès de la CNIL. Une mobilisation sans précédent qui pousse le gendarme français de la protection des données à lancer un contrôle approfondi.
Les résultats de l’enquête sont accablants. La formation restreinte de la CNIL qui est l’organe habilité à prononcer les sanctions constate que les deux filiales du groupe ont failli à leurs obligations fondamentales en matière de sécurité des données, prévues par le règlement général sur la protection des données (RGPD). « Même s’il est impossible d’éliminer tout risque, celles-ci (les sociétés) peuvent en réduire la probabilité et, le cas échéant, en limiter la gravité », rappelle la CNIL dans sa décision du 13 janvier 2026. Or, Free semble avoir négligé cette exigence élémentaire.
Des mesures de sécurité « inadaptées »
Le diagnostic technique est sans appel. Au moment de l’attaque, les dispositifs de protection mis en place par Free Mobile et Free relevaient davantage du bricolage que de la rigueur attendue d’un acteur majeur des télécommunications. La procédure d’authentification permettant aux employés de se connecter aux VPN des deux sociétés, un outil pour le travail à distance, manquait de robustesse. De plus, les systèmes censés détecter les comportements anormaux sur le réseau se sont révélés totalement « inefficaces », permettant à l’intrus d’opérer en toute tranquillité.
La CNIL souligne que, compte tenu du volume et de la sensibilité des informations traitées par le groupe, ces défaillances sont inexcusables. Les données bancaires (IBAN), qualifiées de « hautement personnelles », représentent un danger particulier en cas de fuite, ouvrant la porte à des fraudes financières. « Les mesures de sécurité déployées par les sociétés afin d’assurer la confidentialité des données n’étaient pas adaptées », tranche la formation restreinte, qui note toutefois que des améliorations ont été entreprises en cours de procédure. Free dispose désormais de trois mois pour finaliser ces nouveaux dispositifs.
Une communication défaillante et des données conservées trop longtemps
Au-delà des failles techniques, la CNIL épingle également la manière dont Free a informé ses clients de la violation. Le courriel envoyé aux personnes concernées ne contenait pas toutes les informations requises par le RGPD, empêchant les abonnés de mesurer pleinement les conséquences de l’intrusion et les mesures à prendre pour se protéger. Une lacune qui a ajouté l’incompréhension à l’inquiétude.
Autre grief : la rétention excessive de données par Free Mobile. Lors du contrôle, la CNIL découvre que l’opérateur conservait des millions de données d’anciens abonnés sans justification valable, bien au-delà des délais légaux. Si la société a depuis initié un tri pour ne garder que les informations nécessaires à ses obligations comptables pendant dix ans, elle dispose de six mois pour achever cette purge. Un rappel que la collecte de données implique une responsabilité dans la durée.
Des sanctions qui marquent un tournant
Les 42 millions d’euros d’amendes cumulées constituent l’une des sanctions les plus lourdes jamais prononcées par la CNIL contre un opérateur français. Le montant tient compte non seulement de la gravité des manquements, mais aussi des capacités financières du groupe Free, du nombre considérable de victimes et de la nature sensible des données dérobées. La décision s’inscrit également dans une tendance plus large de durcissement des autorités européennes face aux négligences en matière de cybersécurité.
Est-ce que cette condamnation servira d’électrochoc pour l’ensemble du secteur des télécommunications ? La question mérite d’être posée. Dans tous les cas, pour les 24 millions d’abonnés concernés, l’heure est désormais à la vigilance accrue face aux tentatives d’usurpation d’identité et de fraude. Une vigilance qui ne devrait pourtant pas leur incomber seule.
Source : CNIL
