La Commission nationale de l’informatique et des libertés (Cnil) a infligé 27 millions d’euros d’amende à Free Mobile et 15 millions à Free après un vol massif de données confidentielles de clients en 2024, selon une décision publiée mercredi 14 janvier au Journal officiel.
La Cnil a sanctionné ces deux entreprises, qui appartiennent au groupe Iliad, pour des « manquements » de sécurité concernant les données de leurs abonnés dans le cadre d’un piratage ayant touché plus de 24 millions de contrats en octobre 2024. Un mineur de 16 ans, soupçonné d’être l’auteur du vol dans le système de l’opérateur et fournisseur d’accès, avait été mis en examen en janvier 2025.
Dans un communiqué, l’opérateur de Xavier Niel (actionnaire à titre individuel du Groupe Le Monde) a contesté cette décision, « d’une sévérité inédite sans commune mesure au regard des précédents en matière de cyberattaques ». « Dans plusieurs cas comparables, malgré des impacts similaires, voire plus graves, sur les données personnelles, les sanctions prononcées semblent dérisoires au regard de celle-ci », a-t-il expliqué.
Free a déposé un recours devant le Conseil d’Etat pour « obtenir la révision de cette décision ». Le groupe se défend en affirmant avoir renforcé la sécurité, les contrôles d’accès et mis en place une « surveillance renforcée en temps réel » depuis octobre 2024, après une cyberattaque sur les données personnelles de ses abonnés.
« Les données de nos abonnés sont protégées par des systèmes répondant aux standards de sécurité les plus élevés », a ajouté Free, rappelant qu’« aucune organisation, même hautement sécurisée, même les plus grands groupes de technologie de la planète, n’est à l’abri d’attaques sophistiquées ».
