Protection des données : une amende de 42 millions € contre Free et Free Mobile

La Commission nationale de l’informatique et des libertés (CNIL) a condamné les sociétés Free Mobile et Free à des amendes pour ne pas avoir suffisamment protégé les données de leurs abonnés. Free Mobile a une amende de 27 millions d’euros et Free écope de 15 millions d’euros, soit un total de 42 millions d’euros pour ces filiales du groupe Iliad. Ces décisions rendues publique le 13 janvier font suite à une cyberattaque subit par les deux sociétés en octobre 2024. Elle avait touché 24 millions de contrats d’abonnés. L’attaquant avait notamment pu accéder aux données bancaires de certaines personnes. “Faisant suite à un très grand nombre de plaintes (plus de 2 500 à ce jour) de personnes concernées... La CNIL a réalisé un contrôle qui a mis en évidence des manquements à plusieurs obligations prévues par le règlement général sur la protection des données (RGPD)."

La formation restreinte de la Commission a observé trois entorses au RGPD : un manquement à l’obligation d’assurer la sécurité des données personnelles (article 32 du RGPD), à l’obligation de communiquer auprès des personnes concernées par la violation de données (article 34 du RGPD) et à l’encontre de la société Free Mobile à l’obligation de conserver les données personnelles pendant une durée limitée (article 5-1-e du RGPD). "Compte tenu du nombre et de la nature des données traitées, la formation restreinte a considéré que les mesures de sécurité déployées par les sociétés afin d’assurer leur confidentialité n’étaient pas adaptées. Elle a rappelé que, même s’il est impossible d’éliminer tout risque, celles-ci peuvent en réduire la probabilité et, le cas échéant, en limiter la gravité”, estime la CNIL.