L’organisme administratif indépendant français, la CNIL (Commission nationale de l’informatique et de la liberté), a infligé Free Free à Mobile une amende combinée de 42 millions d’euros pour des défaillances de sécurité liées à une importante violation de données clients. Le régulateur a indiqué que son enquête avait révélé des lacunes dans la manière dont les entreprises protégeaient les données personnelles, contribuant à l’ampleur de l’incident.
La CNIL a imposé une amende de 27 millions d’euros à Free Mobile et une amende de 15 millions d’euros à Free . Les sanctions concernent une violation divulguée en 2024, lorsqu’un attaquant a accédé à des systèmes internes et obtenu des informations personnelles liées à des millions d’abonnés. La CNIL a indiqué que les données exposées comprenaient des identifiants clients et d’autres détails de compte, et dans certains cas, des informations bancaires telles que les IBAN.
Les entreprises avaient précédemment déclaré que l’intrusion impliquait un accès non autorisé à un outil de gestion des abonnés. Ils ont déclaré à l’époque que les mots de passe et les numéros de carte bancaire n’étaient pas affectés. L’inspection ultérieure de la CNIL s’est concentrée sur la mise en place de mesures de sécurité appropriées avant l’incident et sur le respect des obligations des entreprises en vertu du droit européen de la protection des données.
La CNIL a indiqué que l’enquête avait identifié des faiblesses dans le contrôle et la surveillance de l’accès. Il a indiqué que les procédures d’authentification et de sécurité n’étaient pas suffisamment robustes pour empêcher les accès non autorisés, et que les mesures de détection n’étaient pas assez solides pour identifier rapidement toute activité suspecte. Le régulateur a indiqué que ces lacunes augmentaient le risque d’accès aux informations clients et contribuaient à l’impact de la violation.
Le régulateur a également invoqué des problèmes de conservation des données, affirmant que les entreprises n’avaient pas suffisamment limité la durée de conservation des informations personnelles, y compris celles liées à d’anciens clients. En vertu du RGPD, les organisations sont tenues de conserver les données personnelles uniquement aussi longtemps que nécessaire et d’appliquer des garanties techniques et organisationnelles appropriées pour les protéger.
La CNIL a indiqué que les amendes témoignent du nombre de personnes concernées et de la sensibilité de certaines informations exposées. Le régulateur a indiqué que la décision vise à renforcer les exigences pour les opérateurs télécoms de sécuriser les données clients et de garantir que les contrôles de sécurité de base soient appliqués de manière cohérente.
Free et Free Mobile n’a pas annoncé s’ils feront appel. La CNIL a indiqué que l’action d’application suit son processus standard d’enquête sur les violations et d’application des sanctions lorsque les obligations de sécurité et de conformité ne sont pas respectées.