Un an après la cyberattaque d'ampleur qui a exposé les données personnelles de 19,2 millions de clients, Free se retrouve dans le viseur de la CNIL, le protecteur des données, au point de risquer une lourde amende de 48 millions d'euros. La CNIL pointe des failles de sécurité majeures.
Graves violations de la sécurité et de la conservation des données
Lors de la séance de formation restreinte, l'organisme de sanction de la CNIL, le rapporteur Fabien Tarissan a justifié ce montant élevé par la gravité des négligences constatées. Deux griefs principaux sont formulés contre Free :
- Conservation excessive : l'opérateur conservait dans ses bases de données les informations relatives aux contrats résiliés depuis plus de dix ans, violant ainsi les principes de limitation de la durée de conservation.
- Protection insuffisante : la sécurité des accès, notamment via les VPN, a été jugée déficiente, facilitant ainsi les intrusions.
L'amende requise se décompose en deux tranches : 33 millions d'euros visant Free Mobile, directement concerné par le vol de données d'octobre 2024 (dont 5,1 millions d'IBAN), et 15 millions d'euros visant Free, soit 48 millions au total.
Discussions gratuites sur un « bug technique »
Si l'opérateur refuse officiellement de commenter, le montant de l'amende fait débat. Un expert du secteur cité par Les échos qualifie la demande de« absolument disproportionné » en ce qui concerne la jurisprudence. A titre de comparaison, Uber n'a été condamné qu'à 400 000 euros d'amende en 2018 pour une fuite impliquant 57 millions d'utilisateurs, tandis que le spécialiste des cryptomonnaies Ledger a été condamné à 750 000 euros d'amende en 2024 pour des motifs similaires.
Pour sa défense, Nicolas Thomas, directeur général de Free, a évoqué un « bug technique » s'est produit après la mise à jour d'un outil de gestion peu avant l'attaque. Cet incident aurait, selon lui, réduit la capacité de détection des activités malveillantes. Les avocats de l'opérateur ont également contesté le fait qu'une même procédure vise simultanément deux entités distinctes du groupe.
Même si Free affirme avoir corrigé tous les manquements relevés depuis l'incident, l'entreprise reste en attente de la décision finale du gendarme des données, attendue début 2026.
