Souvenez-vous : en octobre 2024, Free confirmait un piratage massif ayant mené à la diffusion des informations de millions d’abonnés, dont leur IBAN. La CNIL vient de sanctionner l’opérateur d’une amende de 42 millions d’euros. Elle y déplore le « caractère inadapté des mesures prises pour assurer la sécurité des données de [ses] abonnés ».
Dans son communiqué, la CNIL confirme que les pirates ont eu accès aux données personnelles liées à 24 millions de contrats d’abonnés, avec des IBAN pour les personnes clientes à la fois de Free Mobile et de Free. L’affaire n’a pas seulement fait du bruit : elle a aussi fait remonter une marée de signalements, avec plus de 2 500 plaintes qui ont conduit l’autorité à contrôler les pratiques de l’opérateur. 
L’amende est en deux parties : 27 millions d’euros pour Free Mobile et 15 millions pour Free. La CNIL justifie ce partage par plusieurs facteurs, comme le volume de personnes concernées et la nature « hautement » personnelle des données compromises, sans oublier les risques spécifiques liés à la fuite d’IBAN.
Sur le fond, la CNIL pointe des failles très concrètes dans les mesures de sécurité de l’opérateur. Elle note une authentification jugée insuffisamment robuste pour l’accès VPN utilisé en télétravail et des mécanismes de détection de comportements anormaux considérés comme inefficaces. Les deux filiales ayant déjà engagé des renforcements, elles sont invitées à finaliser ces mesures sous trois mois.
Rappel : les fuites d'IBAN sont dangereuses
Enfin, l’autorité reproche une notification incomplète aux personnes concernées. Un dispositif en deux niveaux a été mis en place (courriel, puis numéro vert et gestion interne), mais la CNIL estime que le mail ne contenait pas toutes les informations nécessaires pour comprendre immédiatement les conséquences et les mesures de protection possibles. Et pour Free Mobile s’ajoute la conservation excessive de données d’anciens abonnés, faute de tri et de suppression à échéance. L’opérateur mobile a désormais six mois pour terminer son ménage.
Mise à jour le 15 janvier (article publié initialement le 14 janvier) — Dans un communiqué, Free dénonce une « sévérité inédite [de la CNIL] sans commune mesure au regard des précédents en matière de cyberattaques. » « Dans plusieurs cas comparables, malgré des impacts similaires, voire plus graves, sur les données personnelles, les sanctions prononcées semblent dérisoires au regard de celle-ci », ajoute l’opérateur, sans préciser à quels cas il fait référence. L’entreprise de Xavier Niel a annoncé son intention de contester l’amende devant le Conseil d’Etat.
