La Commission nationale de l’informatique et des libertés de France (CNIL) a annoncé aujourd’hui, dans un communiqué, que la sanction se divise en 27 millions pour l’entité Free Mobile, qui gère les contrats de téléphonie mobile, et 15 millions pour Free, responsable de la téléphonie fixe.
En octobre 2024, un intrus a réussi à s’infiltrer dans les bases de données de l’entreprise et a accédé aux données personnelles de 24 millions d’abonnés, y compris des informations telles que des numéros de comptes bancaires.
Plus de 2 500 personnes ont dénoncé l’entreprise depuis lors, et l’enquête initiée par la CNIL a révélé que certaines obligations établies par le Règlement général sur la protection des données (RGPD) n’ont pas été respectées.
Dans le communiqué, l’organisme de surveillance souligne que « certaines mesures de sécurité de base qui auraient pu compliquer l’attaque » n’ont pas été appliquées.
Notamment, la procédure d’authentification pour se connecter au système de Free « n’était pas suffisamment robuste » et les mesures pour détecter les comportements anormaux « étaient inefficaces ».
La CNIL souligne également que, « bien qu’il soit impossible d’éliminer tous les risques », les dispositifs de sécurité « peuvent réduire la probabilité » de telles intrusions et, lorsqu’elles se produisent, « en limiter la gravité ».