La Cnil a sanctionné Free et Free Mobile après une cyberattaque découverte en octobre 2024. L’autorité pointe plusieurs manquements au RGPD, liés notamment à la sécurité des systèmes d’information et à la gestion des données personnelles.
La Commission nationale de l’informatique et des libertés (Cnil) a rendu deux délibérations le 8 janvier condamnant Free et Free Mobile, l’activité mobile du groupe Iliad, à des amendes respectives de 15 millions d’euros et 27 millions d’euros.
Une cyberattaque à l’origine de la procédure
Les deux sociétés sont sanctionnées séparément, chacune pour des manquements au Règlement général sur la protection des données (RGPD). C’est la violation de données issue d’une cyberattaque qui constitue le point de départ de cette procédure.
L’attaque s’est déroulée entre le 28 septembre et le 22 octobre 2024. Un hacker a réussi à accéder aux outils internes de gestion des abonnés. Au total, les données liées à plus de 24,6 millions de contrats ont été exposées, dont environ 19,5 millions de contrats mobiles et 5,1 millions de contrats fixes.
Les informations exposées incluaient des données d’identité, de contact, contractuelles et, pour certains abonnés, des coordonnées bancaires (IBAN).
Free Mobile accusé d’avoir conservé trop longtemps les données
Pour Free Mobile, la Cnil a prononcé une amende de 27 millions d’euros. Elle retient plusieurs manquements, tels qu’une conservation excessive des données personnelles avec des millions de contrats résiliés conservés depuis plus de cinq ans, voire dix ans, sans justification valable.
L’organisme a également relevé des insuffisances dans la sécurisation des accès aux systèmes d’information ainsi qu’une détection insuffisante des comportements anormaux. Ce qui a permis à l’attaquant d’opérer pendant plusieurs semaines sans être repéré.
Du côté de Free, la procédure porte principalement sur le non-respect de l’obligation de sécurité des données. Elle écope d’une amende moins salée de 15 millions d’euros. L’opérateur n’avait pas mis en place les mesures techniques et organisationnelles suffisantes pour protéger les informations de ses abonnés, en particulier face aux risques liés à l’accès non autorisé aux bases contenant des informations bancaires.
Free Mobile enjoint de faire une purge
En cours de procédure, Free Mobile a engagé des actions correctrices. Elle a notamment lancé un travail de tri pour ne conserver, pendant dix ans, que les seules données nécessaires au respect de ses obligations comptables. Elle a également procédé à la suppression d’une partie des données conservées au-delà des durées autorisées.
La Commission estime toutefois que ces mesures n’étaient pas suffisantes au moment de la décision. Elle a donc enjoint à Free Mobile de finaliser le tri et la purge de l’ensemble des données concernées dans un délai de six mois à compter de la notification de la délibération, afin de se mettre pleinement en conformité avec le RGPD.
