Victimes d’une cyberattaque en octobre 2024, Free Mobile et Free sont aujourd’hui sanctionnés par la CNIL. En application du règlement général sur la protection des données ou RGPD, la commission inflige une amende de 27 millions d’euros à Free Mobile et une amende de 15 millions d’euros à Free. En effet, selon la CNIL, ces deux sociétés ont manqué à leur obligation d’assurer la sécurité des données personnelles qui est prévue dans l’article 32 du RGPD. Or, l’attaque subie en octobre 2024 a permis le vol de données personnelles liées à 24 millions de contrats d’abonnés. Et ces données incluent des IBAN, quand la personne est à la fois cliente de Free Mobile et de Free.
La CNIL évoque une sécurité qui n’était pas “suffisamment robuste”, au niveau de l’authentification des employés pour accéder au VPN de Free Mobile et de Free. Ce VPN était utilisé pour le travail à distance. La commission indique aussi que les deux sociétés appliquaient des mesures “efficaces” pour détecter les activités anormales. “Compte tenu du nombre et de la nature des données traitées, la formation restreinte a considéré que les mesures de sécurité déployées par les sociétés afin d’assurer leur confidentialité n’étaient pas adaptées”, indique la CNIL. Celle-ci ajoute que même si le risque zéro n’existe pas, les mesures de sécurité peuvent réduire la probabilité d’une attaque ou en limiter les impacts.
D’autres manquements signalés
La CNIL s’est aussi penchée sur la communication de Free Mobile et Free autour de cet incident. Et, d’après la commission, le courriel envoyé aux personnes concernées n’incluait “pas toutes les informations nécessaires visées au paragraphe 2 de l’article 34 du RGPD”.
De plus, lors du contrôle, la CNIL a aussi constaté que Free Mobile n’avait pas de mesure en place pour trier les données des anciens abonnés. Or ce tri est nécessaire pour ne conserver que les informations nécessaires sur les anciens abonnés, et pour supprimer ces informations lorsqu’elles ne sont plus nécessaires. En substance, la CNIL accuse aussi Free Mobile de conserver des données sans que cela soit justifié.
FREE dénonce une décision trop sévère
D’après la CNIL, Free Mobile et Free ont déjà pris des mesures “en cours de procédure” pour renforcer leur sécurité. Et, désormais, la commission donne un délai de trois mois à ces sociétés pour finaliser ces améliorations.
De son côté, Free dénonce une “décision d’une sévérité inédite”. “Nous allons donc déposer un recours devant le Conseil d’État afin de faire valoir nos droits et obtenir la révision de cette décision”, ajoute celui-ci, dans un communiqué relayé par BFMTV.
- La CNIL inflige une amende de 27 millions d’euros à Free Mobile et une amende de 15 millions d’euros à Free
- Ces deux sociétés ont été victimes d’une attaque en 2024 et la CNIL estime que celles-ci ont manqué à leur obligation de protéger les données personnelles
- La CNIL dénonce des mesures de sécurité insuffisante et d’autres manquements
- L’attaque a permis à des hackers d’accéder aux données personnelles liées à 24 millions de contrats d’abonnés
- Free a déjà annoncé qu’il déposera un recours devant le Conseil d’Etat
📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.
