La France vient d’assister à une décision historique dans le domaine de la cybersécurité et de la protection des données personnelles. La CNIL a infligé des amendes colossales à Free et Free Mobile, suite à un vol massif de données survenu fin octobre 2024. Free Mobile écope de 27 millions d’euros, tandis que Free, la maison mère, se voit infliger 15 millions d’euros. Cette sanction totale de 42 millions d’euros est présentée par l’opérateur comme une « sévérité inédite » et illustre la gravité du manquement aux règles de sécurité des informations personnelles.
La cyberattaque a été attribuée à un mineur de 16 ans, mis en examen début 2025. Il a reconnu s’être introduit dans le système d’information des deux entités, accédant à des données sensibles comme les informations d’identité, de contact, contractuelles et, pour certains clients, leurs IBAN. La fuite a concerné plus de 24 millions de clients, déclenchant plus de 2 000 plaintes auprès de la CNIL.
La Commission a souligné que ces vols ont mis en évidence de failles majeures dans la protection des données, notamment la conservation excessive de données personnelles. Plus de 15 millions de contrats résiliés depuis plus de cinq ans, dont trois millions depuis plus de dix ans, étaient encore conservés, ce qui constitue un non-respect des règles du RGPD. Free Mobile devra ainsi purger ses bases des informations dépassées pour se conformer à la réglementation.
Face à cette décision, Free a annoncé son intention de contester l’amende devant le Conseil d’État, dénonçant un montant disproportionné par rapport aux précédents en matière de cyberattaques. L’entreprise indique cependant avoir déjà renforcé ses systèmes de sécurité depuis l’incident, pour éviter qu’une telle violation ne se reproduise.
Du côté des internautes, cette affaire a suscité une forte réaction. Beaucoup dénoncent un manque de vigilance des opérateurs sur des informations extrêmement sensibles et appellent à davantage de transparence et de protection. D’autres soulignent l’importance de cette sanction comme signal fort : la sécurité des données n’est plus optionnelle, et les entreprises doivent prendre des mesures rigoureuses pour protéger leurs clients.
Cette affaire démontre à quel point la protection des données personnelles est devenue un enjeu central, et marque un tournant dans la manière dont les autorités françaises sanctionnent les manquements à la sécurité des informations numériques. La décision de la CNIL envoie un message clair à toutes les entreprises : la négligence en matière de cybersécurité peut coûter très cher, tant financièrement que réputationnellement.
Free et Free Mobile devront désormais se conformer à des mesures techniques et organisationnelles strictes, et leurs clients seront vigilants sur l’utilisation de leurs données. Ce dossier restera sans doute comme un exemple majeur de la responsabilité accrue des opérateurs face à la cybersécurité et à la protection des informations personnelles dans le monde numérique d’aujourd’hui.
