Free écope d’une amende de plus de 40 millions d’euros pour un vol massif de données
Image d'illustration. Free 2026ADN
L’opérateur Free a écopé d’une amende dépassant 40 millions d’euros à la suite d’un important vol de données. Cette sanction financière intervient après la découverte de failles ayant permis l’accès non autorisé à des informations sensibles.
Tl;dr
- Sanctions records : Free et Free Mobile condamnés par la Cnil.
- Piratage : 24 millions de contrats clients compromis en 2024.
- Auteur présumé identifié, recours déposé par Free.
Un piratage d’ampleur sans précédent
Le groupe Iliad traverse une période délicate après un événement qui a fortement secoué l’univers des télécommunications françaises. En octobre 2024, un important piratage informatique a frappé les entités Free et Free Mobile, compromettant la sécurité de plus de 24 millions de contrats clients. L’affaire a rapidement pris une tournure judiciaire majeure, alors qu’un adolescent de 16 ans, soupçonné d’être à l’origine du vol, a été mis en examen dès janvier 2025. Selon les conclusions rendues publiques par la Commission nationale de l’informatique et des libertés (Cnil), le jeune pirate avait lui-même contacté l’opérateur afin de révéler son intrusion dans le système d’information.
Des données sensibles exposées
La nature des informations dérobées s’avère particulièrement préoccupante : la Cnil mentionne notamment le vol de données d’identité, de contact, mais aussi des éléments contractuels et parfois même l’IBAN pour certains abonnés. Face à cette faille majeure, la Cnil n’a pas tardé à réagir avec une sévérité rare.
Des sanctions historiques pour le groupe Iliad
Ce mercredi, la décision officielle est tombée sur Legifrance : Free Mobile écope d’une amende record de 27 millions d’euros, tandis que sa maison-mère Free se voit sanctionnée à hauteur de 15 millions d’euros. Les deux sociétés sont pointées du doigt pour des « manquements » en matière de sécurité sur les données clients lors du piratage.
Parmi les mesures exigées par la Commission, les deux entreprises devront :
- Mieux sécuriser leurs systèmes informatiques.
- Démontrer, sous trois mois, leur conformité aux exigences imposées.
Lignes de défense et perspectives judiciaires
Dénonçant ce qu’elle qualifie de « décision d’une sévérité inédite » en cas de cyberattaque », la société mère a aussitôt annoncé son intention de déposer un recours devant le Conseil d’état. La bataille judiciaire ne fait donc que commencer : le groupe entend défendre ses intérêts et espère obtenir une révision substantielle du verdict.
Si l’affaire met crûment en lumière les vulnérabilités persistantes des opérateurs télécoms face aux menaces numériques grandissantes, elle pourrait bien marquer un tournant décisif dans la façon dont les acteurs du secteur abordent désormais la protection des données.