Vol de données : la Cnil inflige 42 M€ d'amende à Free

A la suite du piratage de Free et Free Mobile en octobre 2024, la Cnil a constaté des manquements sur la mise en oeuvre des mesures élémentaires de sécurité. En conséquence, les deux sociétés écopent d'une amende de 42 M€.

Taxée de laxisme face à la multiplication des vols de données, la Cnil vient de répondre à ses détracteurs en infligeant une sanction financière de 42 M€ à Free (fixe et mobile) sur l’affaire du piratage des données à l’automne 2024. L’évènement avait alors fait grand bruit avec une fuite de données touchant 19 millions d’abonnés (anciens et actuels) et dévoilant 5 millions d’IBAN. La Cnil avait été saisie d’un grand nombre de plaintes, entraînant en mars 2025 l’ouverture d’une procédure de contrôle sur Free et Free Mobile.

Une cybersécurité insuffisante

Dans son enquête, la Cnil a constaté des manquements au RGPD dans plusieurs domaines. Le premier - et non des moindres - est relatif à l’installation des mesures élémentaires de sécurité. La Commission considère par exemple que l’opérateur n'a pas « mis en place des mesures de sécurité appropriées pour sécuriser l’accès par les utilisateurs au VPN de la société, à savoir une authentification des postes nomades et une authentification multi facteur des utilisateurs ». Le pirate était effectivement rentré sur le réseau de Free via le VPN de la société.

De plus, l’enquête a montré que les moyens de détection des comportements anormaux étaient insuffisants. La Cnil rappelle que le pirate a été « en mesure d’accéder, pendant presque un mois, à de très nombreuses reprises, aux données à caractère personnel,… sans être arrêté par la société ». Depuis le contrôle, Free a mis à jour ses éléments de sécurité en installant un SOC, une équipe dédiée aux incidents de sécurité et un système de surveillance des flux de données circulant sur son réseau. L’opérateur se fait également taclé sur la robustesse des mots de passe, qui ne repose pas sur un algorithme suffisant fort pour ralentir les tentatives d’attaques par force brute ou par dictionnaires.

Une rétention des données abusive

Dans sa décision, la Cnil constate par ailleurs deux autres manquements. Le premier concerne la durée de conservation des données notamment des anciens clients. Free n’a pas réalisé la purge de sa base de données clients et le pirate a pu avoir accès à des informations des anciens abonnés. Par ailleurs, le régulateur pointe du doigt une communication inappropriée sur l’incident aux clients. En effet, le courrier envoyé par l’opérateur ne donnait pas d’indications pour savoir si « la société avait bien pris les mesures de remédiation nécessaires, ni de comprendre les risques auxquels les personnes étaient exposées, dont ceux liés à des emails, SMS ou appels frauduleux , ni les mesures à prendre pour s’en prémunir ».

Au regard de l’ensemble des manquements, la Cnil a condamné Free Mobile à 27 M€ d’amende et Free à 15 M€. Dans sa décision, elle donne une injonction à l’opérateur de se mettre en conformité sur les différents défauts constatés sur la sécurité et la purge de la base de données. Une astreinte de 50 000 euros par jour de retard a été prononcée. Interrogé pour commentaires, l'opérateur indique que « la décision est d'une sévérité sans commune mesure au regard des précédents en matière de cyberattaques ». Il ajoute son intention de « déposer un recours devant le Conseil d’État afin de faire valoir ses droits et obtenir la révision de cette décision ».