Cyberattaque : Free lourdement sanctionné par la Cnil et engage un bras de fer juridique

L’autorité de contrôle pointe plusieurs défaillances : des mécanismes d’authentification insuffisamment robustes pour les accès distants, une détection tardive des comportements anormaux sur le réseau, mais aussi une politique de conservation des données jugée excessive. Des informations relatives à d’anciens abonnés auraient ainsi été conservées pendant plusieurs années sans finalité clairement établie, élargissant mécaniquement le périmètre des personnes affectées par l’attaque.

Au-delà des failles techniques, la Cnil reproche également à l’opérateur une communication incomplète auprès des personnes concernées. Les notifications envoyées après l’incident n’auraient pas permis aux utilisateurs d’évaluer précisément les risques encourus ni les mesures de protection à adopter, notamment face à d’éventuelles campagnes de fraude ou d’hameçonnage.

Face à ce qu’il qualifie de sanction disproportionnée, Free a annoncé déposer un recours devant le Conseil d’État. L’opérateur estime que le montant infligé marque une rupture avec les précédents observés en matière de sanctions liées à des violations de données comparables. En parallèle, il assure avoir renforcé depuis 2024 son architecture de sécurité, ses contrôles d’accès et ses capacités de surveillance en temps réel.

La Cnil laisse à l’entreprise un délai de trois à six mois pour se mettre en conformité sur l’ensemble des points soulevés. À défaut, de nouvelles mesures coercitives pourraient être envisagées, dans un contexte où la régulation européenne accentue la pression sur les grands détenteurs de données personnelles.