La Commission nationale de l'informatique et des libertés (Cnil) a pris une décision radicale en condamnant Free Mobile à 27 millions d'euros d'amende et Free à 15 millions d'euros, suite à un vol massif de données survenu en octobre 2024. Cette sanction sans précédent a été annoncée ce mercredi au Journal officiel, une réaction qui témoigne d'une sévérité inédite dans le cadre de cyberattaques selon les responsables de l'opérateur.
Le piratage a touché plus de 24 millions de comptes clients, compromettant des informations sensibles, notamment des données personnelles, des coordonnées et dans certains cas, les IBAN de l'ensemble des abonnés. En janvier 2025, un mineur de 16 ans a été mis en examen, soupçonné d'être l'instigateur de cette intrusion.
Selon un porte-parole de Free, l'entreprise a pris des mesures immédiates pour renforcer sa sécurité après l'incident. "Nous avons mis en place des protocoles supplémentaires pour éviter de nouvelles violations et nous entrons en recours devant le Conseil d’État," a-t-il déclaré. La réponse du groupe reflète une volonté de protéger les données de ses clients et de restaurer leur confiance.
La décision de la Cnil s'accompagne d'exigences strictes. Free et Free Mobile doivent, dans un délai de trois mois, appliquer des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adéquat. Cette mesure découle d’un audit ayant révélé que ces sociétés avaient conservé des données relatives à plus de 15 millions de contrats résiliés depuis plus de cinq ans, ce qui est jugé excessif et contraire aux règles du RGPD.
Il est essentiel de souligner que cette affaire n'est pas isolée. D'autres entreprises en France ont également été confrontées à des sanctions similaires, ce qui met en lumière l'importance du respect de la réglementation en matière de protection des données. Les experts en cybersécurité s'accordent à dire que les entreprises doivent non seulement investir dans des technologies de pointe, mais aussi sensibiliser leur personnel aux dangers posés par les cyberattaques. Le professeur Nicolas Arnaud, expert en cybersécurité à l'Université Paris-Dauphine, a déclaré : "Les entreprises doivent adopter une culture de sécurité qui transcende les technologies ; c'est l'humain qui est souvent la première ligne de défense."
Cette affaire invite les entreprises à être plus vigilantes et à faire preuve de transparence quant à leurs pratiques de gestion des données. Si les sanctions financières incitent à la conformité, la protection des données des utilisateurs doit rester une priorité absolue.
