Free et Free Mobile ont été condamnés mercredi 14 janvier à payer un total de 42 millions d’euros d’amendes pour des « manquements » à leurs obligations de sécurité lors d’une fuite de données massive survenue en 2024. Les deux opérateurs ont dénoncé une sanction d’une « sévérité inédite » dans le contexte des cyberattaques.
La Commission nationale de l’informatique et des libertés (Cnil) a infligé 27 millions d’euros à Free Mobile et 15 millions à Free. Cette décision, rendue le 8 janvier et publiée sur Légifrance, fait suite à un vol de données impliquant 24 millions de contrats clients en octobre 2024. Le pirate à l’origine de l’attaque avait mis en vente en ligne un fichier contenant notamment des numéros de compte bancaire (IBAN).
La Cnil a souligné que chaque entité du groupe Iliad dispose de responsabilités distinctes sur son propre système d’information et a reçu plus de 2 000 plaintes de personnes concernées. L’autorité a pointé l’absence de mesures de sécurité basiques qui auraient pu compliquer l’attaque, et plusieurs manquements au règlement européen sur la protection des données (RGPD).
En particulier, l’authentification des salariés travaillant à distance n’était « pas suffisamment robuste », permettant au pirate d’accéder initialement au réseau de l’entreprise. Les opérateurs ont également été critiqués pour leur communication insuffisante auprès des clients sur les risques et les mesures de protection mises en place après l’incident.
Free Mobile a en outre conservé des informations personnelles de manière excessive : plus de 15 millions de contrats résiliés depuis plus de cinq ans, dont trois millions depuis plus de dix ans.
Free a dénoncé une sanction « sans commune mesure avec les précédents », précisant que des cas comparables avaient reçu des amendes nettement moins importantes, malgré des impacts similaires. L’opérateur prévoit de contester la décision devant le Conseil d’État, sans que ce recours suspende le paiement des amendes.
Au-delà des pénalités financières, la Cnil a exigé que les deux sociétés mettent en œuvre des mesures de sécurité renforcées sous trois mois et que Free Mobile purge ses bases de données concernant les anciens contrats depuis plus de dix ans.
Dans le cadre pénal, un mineur de 16 ans avait été mis en examen début 2025. La Cnil avait annoncé en avril 2024 un renforcement de ses contrôles après une série de fuites de données touchant plusieurs entreprises.
