En octobre 2024, Free a été victime d’un piratage assez gros avec l’extraction des données personnelles de 24 millions de contrats dont 5 millions de RIB. Plus d’un an après cet épisode, la CNIL vient d’infliger deux amendes à l’opérateur pour un total de 42 millions d’euros.
La Commission nationale de l’informatique et des libertés (CNIL) a reçu plus de 2 500 plaintes suite à cette violation de données et a réalisé un contrôle qui a mis en évidence des manquements à plusieurs obligations liées au RGPD, le règlement général sur la protection des données.
Un manque de sécurité
Parmi les manquements constatés, il y a notamment celui de l’obligation d’assurer la sécurité des données personnelles (article 32 du RGPD). Selon la CNIL, Free n’aurait pas assez renforcé la procédure d’authentification de connexion au VPN utilisé par les employés afin de se connecter à distance. Il n’y aurait pas eu non plus de mesure mise en place afin de détecter les comportements anormaux comme le téléchargement de millions de données.
La CNIL a ainsi jugé que les procédures déployées par Free n’étaient pas adaptées et que même s’il est impossible d’écarter tout risque, il est possible d’en réduire la probabilité ainsi que d’en limiter la gravité.
Free a pris plusieurs mesures au cours de la procédure afin de renforcer leur niveau de sécurité. La CNIL demande à l’opérateur de finaliser la procédure dans un délai de trois mois.
Un manque d’informations
Un deuxième manquement a été relevé, il concerne cette fois l’obligation de communiquer auprès des personnes concernées par la violation de données (article 34). Free a bien envoyé un mail aux abonnés afin de les prévenir mais selon la CNIL, le courrier électronique ne comportait pas toutes les informations nécessaires visées au paragraphe 2 de l’article 34 du RGPD. La commission a estimé que les omissions ne permettaient pas de comprendre les conséquences de la violation pour les personnes concernées.
Des données conservées trop longtemps
Enfin, le troisième manquement constaté par la CNIL concerne cette fois-ci l’obligation de conserver les données pendant une durée limitée. Selon la Commission, Free Mobile a conservé des millions de données « pendant une durée excessive », sans justification. Les données des anciens abonnées peuvent être conservées mais uniquement à des fins comptables et elles doivent ensuite être supprimées lorsqu’il n’est plus nécessaire de les conserver.
L’opérateur a commencé un tri afin de conserver pendant dix ans les seules données liées à ses obligations comptables et à supprimer une partie des données conservées pendant cette durée excessive. La formation de la CNIL a demandé à l’opérateur de finaliser ce tri et cette purge dans un délai de six mois.
Deux amendes au total
Face à ces manquements, la CNIL a donc décidé d’infliger deux amendes, une à l’encontre de Free et l’autre à l’encontre de Free Mobile. Cette dernière a reçu l’amende la plus élevées puisqu’elle atteint 27 millions d’euros tandis que celle contre Free est de 15 millions d’euros, soit un total de 42 millions d’euros, un chiffre qu’affectionne habituellement Free.
Ces amendes tiennent compte de la capacité financière du groupe, de la méconnaissance des principes essentiels en matière de sécurité, du nombre de personnes concernées ainsi que du caractère « hautement » personnel des données ainsi que du risque lié à la fuite des IBAN.
Une décision « d’une sévérité inédite »
Selon Le Parisien, Free a réagi en déclarant que « cette décision est d’une sévérité inédite sans commune mesure au regard des précédents en matières de cyberattaques ». L’opérateur va ainsi « déposer un recours devant le Conseil d’Etat » afin de faire valoir ses droits et espère obtenir une révision de cette décision.
Free confirme également avoir renforcé sa sécurité depuis cette attaque.
Soyez le premier à poster un commentaire
Partagez votre avis et participez à la discussion en laissant un commentaire ci-contre.