La CNIL annonce infliger une amende de 42 millions d'euros à Free suite à son important piratage survenu en 2024. Il s'agissait d'un vol total des données de 24 millions de clients Freebox et Free Mobile, y compris leur IBAN.
42 millions d'euros d'amende gratuitement
Dans le détail, la CNIL indique infliger une amende de 27 millions d'euros à Free et 15 millions d'euros à Free Mobile, soit 42 millions au total. L'Autorité dit prendre en compte les capacités financières du groupe, ainsi que la méconnaissance des principes essentiels de sécurité, le nombre de personnes concernées et le caractère hautement personnel des données compromises, ainsi que les risques générés par la fuite de certaines données (notamment les IBAN).
Pour rappel, les pirates ont pu récolter les données suivantes :
- Nom
- Prénom
- Adresse email
- Adresse postale
- Numéro de téléphone
- Identifiant d'abonné
- IBAN
- Données contractuelles (type d'offre souscrite, date de souscription, souscription active ou non)
Plusieurs violations des règles
La CNIL indique avoir reçu un très grand nombre de plaintes (plus de 2 500) émanant de personnes touchées par la piraterie Free. Elle a procédé à une inspection qui a révélé des manquements à plusieurs obligations prévues par le Règlement Général sur la Protection des Données (RGPD). L'Autorité ajoute avoir constaté que Free et Free Mobile n'avaient pas mis en œuvre certaines mesures de sécurité élémentaires qui auraient pu rendre l'attaque plus difficile.
Elle a notamment relevé que la procédure d'authentification pour se connecter au VPN Free et Free Mobile (utilisé notamment pour le travail à distance des salariés de l'entreprise) n'était pas suffisamment robuste. Par ailleurs, les mesures déployées par les deux groupes pour détecter les comportements anormaux sur leurs systèmes d'information se sont révélées inefficaces.
Ainsi, la CNIL juge que les mesures de sécurité déployées par Free pour garantir leur confidentialité n'étaient pas appropriées. Elle a rappelé que, même s'il est impossible d'éliminer tous les risques, ils peuvent réduire leur probabilité et, le cas échéant, limiter leur gravité. Depuis, Free a pris des mesures pour renforcer sa sécurité.
Conversation inappropriée de données
Parmi les autres échecs, citons l'e-mail de Free pour informer ses abonnés d'un piratage. La CNIL a considéré que cet email ne contenait pas toutes les informations nécessaires visées au paragraphe 2 de l'article 34 du RGPD, estimant que ces omissions ne permettaient pas aux personnes concernées de comprendre directement les conséquences de la violation, ainsi que les mesures qu'elles pouvaient mettre en place pour s'en prémunir.
De même, l'Autorité a constaté que Free n'avait pas mis en place de mesures permettant de trier les données des anciens abonnés afin de ne conserver que celles nécessaires à des fins comptables, puis de les supprimer lorsque cette conservation n'apparaît plus nécessaire. Il s'avère que Free Mobile avait conservé, sans justification, des millions de données de ses abonnés pendant une durée excessive.
Au cours de la procédure, Free a engagé un tri afin de ne conserver pendant 10 ans que les données qui lui sont nécessaires au respect des obligations comptables et a supprimé une partie des données conservées pendant une durée excessive.
