L’affaire remonte à l’automne 2024, mais ses conséquences continuent de s’accumuler. En début de semaine, lors d’une séance de la formation restreinte de la CNIL (l’organe chargé de prononcer les sanctions), le rapporteur Fabien Tarissan a requis deux amendes publiques contre Free, selon La Lettre et Les Échos. Montant total : 48 millions d’euros. Dans le détail, 33 millions d’euros viseraient Free Mobile, entité directement concernée par la fuite d’octobre 2024, et 15 millions d’euros la maison mère Iliad.
Sanction record en ligne de mire
À l’époque, des cybercriminels avaient mis la main sur les données de 19,2 millions d’abonnés, dont environ 5,1 millions d’IBAN. Un volume qui place cet incident parmi les plus graves enregistrés en France. Un an plus tard, le ou les auteurs du piratage courent toujours, tandis que les données restent exploitables pour des campagnes de fraude et de hameçonnage.
La procédure engagée par la CNIL fait suite à un contrôle approfondi, déclenché après la révélation de la fuite. Le régulateur a ensuite estimé que des manquements suffisamment sérieux justifiaient l’ouverture d’une procédure de sanction. Selon La Lettre, le rapporteur a mis en avant plusieurs griefs, notamment la conservation de données très anciennes liées à des contrats résiliés depuis plus de dix ans, ainsi que des failles dans la sécurisation des accès internes, en particulier les VPN.
Du côté de Free, silence officiel, mais pour certains observateurs, la sanction parait « absolument disproportionnée » au regard de précédents dossiers. En 2018, Uber avait écopé de 400.000 euros après la compromission des données de 57 millions d’utilisateurs. Plus récemment, en 2024, Ledger avait été sanctionné à hauteur de 750.000 euros, dans une décision qui n’avait pas été rendue publique.
Les contours de l’attaque ont progressivement été plus ou moins éclaircis. Fin 2024, Free avait évoqué un « accès non autorisé » à la suite du piratage d’un outil de gestion, sans donner davantage de détails. L’affaire a rapidement eu des effets concrets pour les abonnés, avec une recrudescence d’arnaques reposant sur des informations crédibles, et pour cause. La CNIL a d’ailleurs reçu plus de 2.000 plaintes sur le sujet. Free affirme avoir depuis corrigé l’ensemble des manquements relevés par le régulateur. L’accès aux données clients en télétravail a été suspendu, les identifiants compromis révoqués et remplacés. Reste désormais l’arbitrage final de la CNIL. Verdict attendu début 2026.
🟣 Pour ne manquer aucune news sur le Journal du Geek, suivez-nous sur Google et sur notre canal WhatsApp. Et si vous nous adorez, on a une newsletter tous les matins.
