Berliner Boersenzeitung - Free et Free Mobile condamnés à de lourdes amendes après une fuite de données

EUR -
AED 4.202411
AFN 73.235002
ALL 94.010822
AMD 420.942906
ANG 2.048741
AOA 1049.890918
ARS 1708.312595
AUD 1.651213
AWG 2.062583
AZN 1.949836
BAM 1.956929
BBD 2.306993
BDT 141.221492
BGN 1.934858
BHD 0.431849
BIF 3406.765878
BMD 1.14429
BND 1.478053
BOB 7.931577
BRL 5.916437
BSD 1.145441
BTN 109.123599
BWP 15.448995
BYN 3.32335
BYR 22428.090154
BZD 2.30369
CAD 1.624721
CDF 2570.076459
CHF 0.918962
CLF 0.026815
CLP 1055.367966
CNY 7.768706
CNH 7.764588
COP 3833.921811
CRC 521.801106
CUC 1.14429
CUP 30.323693
CVE 110.328665
CZK 24.19568
DJF 203.971962
DKK 7.478628
DOP 67.853899
DZD 152.60404
EGP 56.395058
ERN 17.164355
ETB 183.674631
FJD 2.586612
FKP 0.856767
GBP 0.856761
GEL 3.015251
GGP 0.856767
GHS 13.011508
GIP 0.856767
GMD 82.965454
GNF 10044.796361
GTQ 8.741044
GYD 239.578249
HKD 8.977015
HNL 30.657834
HRK 7.538017
HTG 149.806446
HUF 353.483164
IDR 20590.817625
ILS 3.431327
IMP 0.856767
INR 109.305071
IQD 1500.365788
IRR 1574486.25789
ISK 144.089478
JEP 0.856767
JMD 181.327312
JOD 0.811347
JPY 184.666011
KES 148.094492
KGS 100.065561
KHR 4586.646729
KMF 493.189526
KPW 1029.861683
KRW 1749.900286
KWD 0.355062
KYD 0.954551
KZT 541.642555
LAK 25863.732889
LBP 102571.960304
LKR 383.658213
LRD 207.8945
LSL 18.57902
LTL 3.378792
LVL 0.69217
LYD 7.34175
MAD 10.710881
MDL 20.148035
MGA 4856.141746
MKD 61.673553
MMK 2402.656197
MNT 4102.12012
MOP 9.252339
MRU 45.710377
MUR 53.839292
MVR 17.691161
MWK 1986.285054
MXN 19.989726
MYR 4.65845
MZN 73.132026
NAD 18.57902
NGN 1567.769704
NIO 42.144319
NOK 11.261005
NPR 174.597958
NZD 2.005065
OMR 0.44155
PAB 1.145361
PEN 3.897349
PGK 5.031904
PHP 70.375043
PKR 318.454328
PLN 4.293435
PYG 6964.50578
QAR 4.186916
RON 5.227162
RSD 117.370878
RUB 88.277295
RWF 1676.884883
SAR 4.289743
SBD 9.22131
SCR 15.409196
SDG 687.15054
SEK 11.051625
SGD 1.477627
SHP 0.854328
SLE 27.863894
SLL 23995.199932
SOS 654.623517
SRD 42.986453
STD 23684.499186
STN 24.514146
SVC 10.021783
SYP 126.480809
SZL 18.576018
THB 37.956532
TJS 10.617227
TMT 4.016459
TND 3.380351
TOP 2.755177
TRY 53.515602
TTD 7.763022
TWD 36.546387
TZS 3005.852736
UAH 51.014004
UGX 4180.412311
USD 1.14429
UYU 46.066583
UZS 13720.91767
VES 731.090824
VND 30090.258096
VUV 137.090696
WST 3.173322
XAF 656.381655
XAG 0.018332
XAU 0.000274
XCD 3.092502
XCG 2.064191
XDR 0.816328
XOF 656.381655
XPF 119.331742
YER 271.254434
ZAR 18.573553
ZMK 10299.990075
ZMW 21.046616
ZWL 368.461014
  • AEX

    10.4100

    1083.18

    +0.97%

  • BEL20

    24.8900

    5813.65

    +0.43%

  • PX1

    33.0500

    8508.07

    +0.39%

  • ISEQ

    33.3600

    13935.04

    +0.24%

  • OSEBX

    13.7000

    1943.93

    +0.71%

  • PSI20

    128.7900

    9328.28

    +1.4%

  • ENTEC

    -5.8300

    1416.23

    -0.41%

  • BIOTK

    88.6600

    4804.51

    +1.88%

  • N150

    47.5700

    4257.6

    +1.13%

Free et Free Mobile condamnés à de lourdes amendes après une fuite de données

Free et Free Mobile condamnés à de lourdes amendes après une fuite de données

Les opérateurs Free et Free Mobile ont écopé mercredi d'un total de 42 millions d'euros d'amendes pour "manquements" à leurs obligations de sécurité lors d'une fuite de données spectaculaire en 2024, une sanction selon eux d'une "sévérité inédite" en matière de cyberattaque.

Taille du texte:

Dans une décision rendue le 8 janvier et publiée mercredi sur Légifrance, la Commission nationale informatique et libertés (Cnil) a condamné Free à payer une amende de 15 millions d'euros et Free mobile à verser 27 millions.

Ces sanctions sont prononcées plus d'un an après un vol de données massif, qui avait concerné 24 millions de contrats de clients de l'opérateur en octobre 2024.

En parallèle de l'attaque informatique, un pirate avait proposé à la vente en ligne un fichier censé contenir les informations dérobées.

Parmi les données, rapidement vendues, figuraient notamment des numéros de compte bancaire (Iban).

Des procédures distinctes avaient été lancées contre les deux entités, Free et Free Mobile, qui ont chacune des obligations liées à leur propre système d'information, a expliqué la Cnil, destinataire de plus de 2.000 plaintes de personnes concernées par cette violation.

Dans un communiqué, l'autorité de protection des données a souligné que les deux entreprises du groupe Iliad n'avaient "pas mis en œuvre certaines mesures élémentaires de sécurité qui auraient pu rendre l’attaque plus difficile". Elle a aussi relevé plusieurs manquements au règlement européen de protections des données (RGPD).

Elle a notamment évoqué une procédure d'authentification "pas suffisamment robuste" pour les salariés de Free travaillant à distance.

C'est par ce biais que le pirate responsable de l'attaque s'était d'abord connecté au réseau informatique de l'entreprise, précise l'autorité.

- "Sévérité inédite" -

La Cnil a aussi reproché aux opérateurs des manquements dans leurs obligations en matière d'information des personnes concernées par le vol des données.

Selon le Commission, les entreprises auraient dû davantage informer leurs clients des mesures de protection mises en place a posteriori, et mieux les prévenir des risques potentiels.

Free Mobile est également visé pour avoir conservé pendant trop longtemps des données d'anciens clients. La Cnil a ainsi "constaté la présence de données relatives à plus de 15 millions de contrats résiliés depuis plus de cinq ans, dont trois millions depuis plus de dix ans", ce qui est "manifestement excessif", a-t-elle signalé.

Free a rapidement dénoncé mercredi une décision d'une "sévérité inédite sans commune mesure au regard des précédents en matière de cyberattaques".

"Dans plusieurs cas comparables, malgré des impacts similaires, voire plus graves, sur les données personnelles, les sanctions prononcées semblent dérisoires au regard de celle-ci", a insisté l'entreprise.

"Nous allons donc déposer un recours devant le Conseil d’État afin de faire valoir nos droits et obtenir la révision de cette décision", a ajouté l'opérateur, qui dit avoir renforcé son "architecture de sécurité" depuis l'incident.

Un tel recours n'est toutefois pas suspensif. Les deux opérateurs devront donc s'acquitter des amendes avant une éventuelle nouvelle décision.

Outre les amendes, la Cnil a également ordonné à Free et Free Mobile de prendre des mesures en matière de sécurité des données.

Si elle constate que des évolutions avaient déjà débuté, elle a ordonné aux entreprises de finaliser la mise en œuvre de ces mesures dans un délai de trois mois.

Elle a aussi enjoint à Free Mobile de finaliser le tri des données conservées et de purger ses bases de données des détails des contrats résiliés depuis plus de dix ans.

Dans le volet pénal de cette affaire, un mineur de 16 ans avait été mis en examen début 2025.

Outre Free, d'autres entreprises avait été ciblées en 2024 par des vols de données massifs. Après cette année noire, la Cnil avait annoncé en avril qu'elle allait hausser le ton et exiger davantage de garanties aux détenteurs de grandes bases de données.

(P.Werner--BBZ)