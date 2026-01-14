Une intrusion massive révélée en 2024

Des failles de sécurité jugées inacceptables

Une information jugée incomplète des abonnés

Free Mobile épinglé pour une conservation excessive des données

Qu'en penser ?



Outre les sanctions financières, la CNIL a enjoint aux deux sociétés de renforcer durablement leur sécurité, avec un délai de trois mois pour achever le déploiement des nouvelles mesures techniques et organisationnelles engagées depuis l’enquête. Avec cette décision, l’autorité veut tirer la sonnettes d'alarme : la protection des données personnelles, en particulier lorsqu’elles sont massives et sensibles, constitue une obligation centrale et non négociable. La sanction infligée à Free et Free Mobile figure parmi les plus lourdes prononcées en France ces dernières années et rappelle que les défaillances en matière de cybersécurité peuvent avoir un coût financier, juridique et réputationnel considérable.

, lorsqu’un pirate est parvenu à s’introduire dans le système d’information des deux sociétés. Cette intrusion a permis, incluant, dans certains cas, des coordonnées bancaires (IBAN) pour les clients disposant à la fois d’un abonnement Free Mobile et Free.L’ampleur de la fuite et la sensibilité des données compromises ont rapidement suscité une vive inquiétude., déclenchant une enquête approfondie de la CNIL.À l’issue de ses contrôles, la CNIL a estimé que les mesures de sécurité mises en place par Free Mobile et Free étaient manifestement insuffisantes,, qui impose aux responsables de traitement de garantir un niveau de sécurité adapté aux risques.L’autorité a notamment relevé quepour l’accès aux VPN internes, utilisés notamment pour le télétravail, n’étaient pas suffisamment robustes. Elle a aussi considéré que lessur les systèmes d’information se sont révélés inefficaces. De même, lesn’étaient pas proportionnées au volume et à la nature hautement sensible des données traitées.La CNIL a également sanctionné les deux sociétés pour manquement à l’article 34 du RGPD, relatif à l’Si Free et Free Mobile ont bien mis en place un dispositif d’information — combinant un courriel, un numéro vert et un support via le délégué à la protection des données —,. Selon la CNIL, il ne permettait pas aux personnes concernées deles conséquences concrètes de la fuite, mais aussi des mesures de protection qu’elles pouvaient adopter pour limiter les risques (fraude, usurpation d’identité, hameçonnage).Un troisième manquement concerne spécifiquement Free Mobile, sanctionné pour non-respect du principe de limitation de la durée de conservation des données (article 5-1-e du RGPD). En effet, la CNIL a constaté que l, faute de mécanismes de tri permettant de distinguer les données encore nécessaires (notamment à des fins comptables) de celles devant être supprimées.En cours de procédure, Free Mobile a engagé des actions correctives, notamment la mise en place d’comptables à dix ans, ainsi que laconservées de manière excessive. La CNIL a toutefois exigé que ces opérations soient entièrement finalisées sous six mois.