La Commission nationale de l'informatique et des libertés (Cnil) a infligé 27 millions d'euros d'amende à Free Mobile et 15 millions à Free après un vol massif de données de clients en 2024, une décision parue mercredi au Journal officiel et d'une "sévérité inédite" selon l'opérateur.
La Cnil a sanctionné ces deux entreprises, qui appartiennent au groupe Iliad, pour des "manquements" de sécurité concernant les données confidentielles de leurs abonnés dans le cadre d'un piratage ayant touché plus de 24 millions de contrats en octobre 2024, selon cette décision prise par la Cnil le 8 janvier.
La Commission a également ordonné à Free et Free Mobile de "mettre en œuvre les mesures techniques et organisationnelles appropriées, dans un délai de trois mois, afin de garantir un niveau de sécurité adapté au risque".
"Cette décision est d’une sévérité inédite sans commune mesure au regard des précédents en matière de cyberattaques", a réagi Free auprès de l'AFP.
"Nous allons donc déposer un recours devant le Conseil d’État afin de faire valoir nos droits et obtenir la révision de cette décision", a ajouté l'opérateur, qui indique avoir renforcé son "architecture de sécurité" depuis l'incident.
Un mineur de 16 ans, soupçonné d'être l'auteur du vol, avait été mis en examen en janvier 2025.
L'attaquant avait lui-même annoncé à Free Mobile s'être introduit dans son système d'information et avoir capté des donnés de clients à la fois de l'opérateur et du fournisseur d'accès, rappelle la Cnil dans sa décision. Des données d'identité, de contact, contractuelles et, pour certains clients, leur IBAN, ont été volées.
Des procédures distinctes avaient été lancées contre les deux entités, qui ont chacune des obligations liées à leur propre système d'information, a expliqué la Cnil, destinataire de plus de 2.000 plaintes de personnes concernées par cette violation.
Lors du contrôle, la Cnil a aussi "constaté la présence de données relatives à plus de 15 millions de contrats résiliés depuis plus de cinq ans, dont trois millions depuis plus de dix ans, ce qui est "manifestement excessif" et contraire aux règles de traitement des données à caractère personnel (RGPD).
Free Mobile devra également purger ses bases de données des détails des contrats résiliés depuis plus de dix ans.
AFP / Paris (France) (AFP) / © 2026 AFP