The Japan Times - Free et Free Mobile condamnés à de lourdes amendes après une fuite de données

EUR -
AED 4.188101
AFN 72.985627
ALL 93.797598
AMD 419.060732
ANG 2.041765
AOA 1046.308474
ARS 1701.490502
AUD 1.646767
AWG 2.055561
AZN 1.94172
BAM 1.95042
BBD 2.296565
BDT 140.533566
BGN 1.92827
BHD 0.429898
BIF 3402.936244
BMD 1.140394
BND 1.472744
BOB 7.895899
BRL 5.899482
BSD 1.140265
BTN 108.231389
BWP 15.400517
BYN 3.25693
BYR 22351.725998
BZD 2.293274
CAD 1.619628
CDF 2571.58913
CHF 0.922607
CLF 0.02686
CLP 1057.133979
CNY 7.748009
CNH 7.760039
COP 3808.802534
CRC 519.467032
CUC 1.140394
CUP 30.220446
CVE 110.475653
CZK 24.232226
DJF 202.670799
DKK 7.475307
DOP 67.140679
DZD 151.715182
EGP 55.663441
ERN 17.105913
ETB 181.493967
FJD 2.557049
FKP 0.853106
GBP 0.854389
GEL 3.016387
GGP 0.853106
GHS 13.0176
GIP 0.853106
GMD 83.819127
GNF 10012.661372
GTQ 8.700077
GYD 238.515185
HKD 8.942943
HNL 30.523069
HRK 7.534816
HTG 149.169818
HUF 355.560655
IDR 20531.656881
ILS 3.463321
IMP 0.853106
INR 109.014443
IQD 1494.486578
IRR 1568042.002407
ISK 143.598441
JEP 0.853106
JMD 179.58461
JOD 0.808572
JPY 185.103655
KES 147.407473
KGS 99.727543
KHR 4572.980799
KMF 491.510019
KPW 1026.355164
KRW 1732.304504
KWD 0.353249
KYD 0.950183
KZT 535.048742
LAK 25687.379025
LBP 101770.777092
LKR 381.760249
LRD 207.249541
LSL 18.520094
LTL 3.367288
LVL 0.689813
LYD 7.309855
MAD 10.679781
MDL 20.062656
MGA 4892.290974
MKD 61.631175
MMK 2394.164037
MNT 4089.003332
MOP 9.210293
MRU 45.684205
MUR 53.690057
MVR 17.630566
MWK 1980.86414
MXN 19.986665
MYR 4.655771
MZN 72.882779
NAD 18.519721
NGN 1563.845572
NIO 41.96079
NOK 11.184952
NPR 173.168309
NZD 2.008354
OMR 0.438487
PAB 1.140265
PEN 3.875634
PGK 4.994641
PHP 70.203237
PKR 317.256486
PLN 4.302565
PYG 6941.850667
QAR 4.155027
RON 5.234185
RSD 117.355711
RUB 87.236748
RWF 1671.247676
SAR 4.362304
SBD 9.234112
SCR 15.060202
SDG 684.804209
SEK 11.065359
SGD 1.474969
SHP 0.851419
SLE 27.797099
SLL 23913.500012
SOS 651.734337
SRD 42.863978
STD 23603.857154
STN 24.746554
SVC 9.977608
SYP 126.050161
SZL 18.55425
THB 38.122807
TJS 10.541559
TMT 4.002784
TND 3.364183
TOP 2.745796
TRY 53.43082
TTD 7.738653
TWD 36.664697
TZS 2993.532442
UAH 50.743767
UGX 4173.487292
USD 1.140394
UYU 45.893401
UZS 13724.644552
VES 768.724723
VND 29983.243875
VUV 137.012776
WST 3.156359
XAF 654.152498
XAG 0.01908
XAU 0.000278
XCD 3.081972
XCG 2.054931
XDR 0.813318
XOF 652.305415
XPF 119.331742
YER 270.330294
ZAR 18.613696
ZMK 10264.922001
ZMW 21.00923
ZWL 367.206462
  • AEX

    -3.4600

    1079

    -0.32%

  • BEL20

    -8.0300

    5724.43

    -0.14%

  • PX1

    -43.2500

    8436.24

    -0.51%

  • ISEQ

    0.0000

    13960.76

    0%

  • OSEBX

    7.7500

    1945.97

    +0.4%

  • PSI20

    32.2600

    9249.11

    +0.35%

  • ENTEC

    -5.8300

    1416.23

    -0.41%

  • BIOTK

    -19.2200

    4669.76

    -0.41%

  • N150

    -19.9200

    4217.93

    -0.47%

Free et Free Mobile condamnés à de lourdes amendes après une fuite de données
Free et Free Mobile condamnés à de lourdes amendes après une fuite de données / Photo: ERIC PIERMONT - AFP/Archives

Free et Free Mobile condamnés à de lourdes amendes après une fuite de données

Les opérateurs Free et Free Mobile ont écopé mercredi d'un total de 42 millions d'euros d'amendes pour "manquements" à leurs obligations de sécurité lors d'une fuite de données spectaculaire en 2024, une sanction selon eux d'une "sévérité inédite" en matière de cyberattaque.

Taille du texte:

Dans une décision rendue le 8 janvier et publiée mercredi sur Légifrance, la Commission nationale informatique et libertés (Cnil) a condamné Free à payer une amende de 15 millions d'euros et Free mobile à verser 27 millions.

Ces sanctions sont prononcées plus d'un an après un vol de données massif, qui avait concerné 24 millions de contrats de clients de l'opérateur en octobre 2024.

En parallèle de l'attaque informatique, un pirate avait proposé à la vente en ligne un fichier censé contenir les informations dérobées.

Parmi les données, rapidement vendues, figuraient notamment des numéros de compte bancaire (Iban).

Des procédures distinctes avaient été lancées contre les deux entités, Free et Free Mobile, qui ont chacune des obligations liées à leur propre système d'information, a expliqué la Cnil, destinataire de plus de 2.000 plaintes de personnes concernées par cette violation.

Dans un communiqué, l'autorité de protection des données a souligné que les deux entreprises du groupe Iliad n'avaient "pas mis en œuvre certaines mesures élémentaires de sécurité qui auraient pu rendre l’attaque plus difficile". Elle a aussi relevé plusieurs manquements au règlement européen de protections des données (RGPD).

Elle a notamment évoqué une procédure d'authentification "pas suffisamment robuste" pour les salariés de Free travaillant à distance.

C'est par ce biais que le pirate responsable de l'attaque s'était d'abord connecté au réseau informatique de l'entreprise, précise l'autorité.

- "Sévérité inédite" -

La Cnil a aussi reproché aux opérateurs des manquements dans leurs obligations en matière d'information des personnes concernées par le vol des données.

Selon le Commission, les entreprises auraient dû davantage informer leurs clients des mesures de protection mises en place a posteriori, et mieux les prévenir des risques potentiels.

Free Mobile est également visé pour avoir conservé pendant trop longtemps des données d'anciens clients. La Cnil a ainsi "constaté la présence de données relatives à plus de 15 millions de contrats résiliés depuis plus de cinq ans, dont trois millions depuis plus de dix ans", ce qui est "manifestement excessif", a-t-elle signalé.

Free a rapidement dénoncé mercredi une décision d'une "sévérité inédite sans commune mesure au regard des précédents en matière de cyberattaques".

"Dans plusieurs cas comparables, malgré des impacts similaires, voire plus graves, sur les données personnelles, les sanctions prononcées semblent dérisoires au regard de celle-ci", a insisté l'entreprise.

"Nous allons donc déposer un recours devant le Conseil d’État afin de faire valoir nos droits et obtenir la révision de cette décision", a ajouté l'opérateur, qui dit avoir renforcé son "architecture de sécurité" depuis l'incident.

Un tel recours n'est toutefois pas suspensif. Les deux opérateurs devront donc s'acquitter des amendes avant une éventuelle nouvelle décision.

Outre les amendes, la Cnil a également ordonné à Free et Free Mobile de prendre des mesures en matière de sécurité des données.

Si elle constate que des évolutions avaient déjà débuté, elle a ordonné aux entreprises de finaliser la mise en œuvre de ces mesures dans un délai de trois mois.

Elle a aussi enjoint à Free Mobile de finaliser le tri des données conservées et de purger ses bases de données des détails des contrats résiliés depuis plus de dix ans.

Dans le volet pénal de cette affaire, un mineur de 16 ans avait été mis en examen début 2025.

Outre Free, d'autres entreprises avait été ciblées en 2024 par des vols de données massifs. Après cette année noire, la Cnil avait annoncé en avril qu'elle allait hausser le ton et exiger davantage de garanties aux détenteurs de grandes bases de données.

K.Nakajima--JT