Fin octobre 2024, l’opérateur Free a été touché par un piratage impliquant les données personnelles de plus de 24 millions de contrats. Le demandeur de rançon est passé par la messagerie Telegram. L’individu, un adolescent originaire de Breuillet (Essonne), a été mis en examen en janvier 2025. Free dénonce une décision sévère et inédite de la CNIL après cette condamnation, et affirme renforcer son dispositif de sécurité.
La Commission nationale de l’informatique et des libertés (CNIL) a infligé €27 millions d’amende à Free Mobile et €15 millions à Free après un vol massif de données confidentielles de clients en 2024, selon une décision publiée mercredi au Journal officiel.
La CNIL a sanctionné ces deux entreprises, qui appartiennent au groupe Iliad, pour des « manquements » de sécurité concernant les données de leurs abonnés dans le cadre d’un piratage ayant touché plus de 24 millions de contrats en octobre 2024. La Commission a également ordonné à Free et Free Mobile de « mettre en œuvre les mesures techniques et organisationnelles appropriées, dans un délai de trois mois, afin de garantir un niveau de sécurité adapté au risque ».
« Cette décision est d’une sévérité inédite sans commune mesure au regard des précédents en matière de cyberattaques », a réagi Free. « Nous allons donc déposer un recours devant le Conseil d’État afin de faire valoir nos droits et obtenir la révision de cette décision », a ajouté l’opérateur, qui indique avoir renforcé son « architecture de sécurité » depuis l’incident.
Un mineur de 16 ans soupçonné d’être l’auteur du vol avait été mis en examen en janvier 2025. L’attaquant avait lui-même annoncé à Free Mobile s’être introduit dans son système d’information et avoir capté des données de clients tant de l’opérateur que du fournisseur d’accès, rappelle la CNIL dans sa décision. Des données d’identité, de contact, contractuelles et, pour certains clients, leur IBAN, ont été volées.
Des procédures distinctes avaient été lancées contre les deux entités, qui ont chacune des obligations liées à leur système d’information, a expliqué la CNIL, destinataire de plus de 2 000 plaintes de personnes concernées par cette violation. Lors du contrôle, la CNIL a aussi « constaté la présence de données relatives à plus de 15 millions de contrats résiliés depuis plus de cinq ans, dont trois millions depuis plus de dix ans, ce qui est « manifestement excessif » et contraire aux règles du RGPD. Free Mobile devra également purger ses bases de données des détails des contrats résiliés depuis plus de dix ans.