Entre le 28 septembre et le 22 octobre 2024, c’est près d’un tiers de la population française qui s’est retrouvée affectée par une fuite de données sans précédent, à la suite d’une intrusion malveillante dans les réseaux de Free et Free Mobile.
2 chiffres : 42 millions d’euro & 24,6 millions de français.
Parmi les informations dérobées, certaines concernent l’identité des personnes et même leurs informations bancaires.
La violation de données s’illustre donc par son ampleur, mais aussi par la sanction consécutive prononcée par la CNIL. En effet, le gendarme de la protection des données personnelles a estimé que l’entreprise avait une part de responsabilité dans cette violation, infligeant à Free une amende cumulée de 42 millions d’euro.
Comment un pirate isolé a-t-il réussi à dérober les données de près de 25 millions de clients (et ex-clients) Free ? Comment expliquer une amende aussi lourde à l’encontre de l’entreprise ciblée ? Quelles sont les leçons à tirer de cette affaire pour mieux mitiger et prévenir ces risques pour les entreprises ?
Le 21 octobre 2024, Free prend connaissance d’une intrusion dans ses systèmes, ainsi que d’une violation de données. L’entreprise est informée par l’attaquant lui-même, soulignant les lacunes de l’entreprise qui n’avait pas détecté l’intrusion. Le lendemain, l’attaquant est expulsé du système, mais les données de 24,6 millions de français sont déjà dans la nature. L’attaquant aurait profité d’un manque de robustesse du système d’identification au VPN pour dérober les données des clients. 15 millions d’entre eux étaient d’anciens clients, dont les contrats étaient résiliés depuis plus de 5 ans. Parmi les données récupérées, on trouve l’état civil des personnes concernées, leur adresse et leur mail. On retrouve aussi leurs données bancaires (IBAN notamment).
Les violations impliquant les données bancaires des victimes sont particulièrement sérieuses, car elles sont la source de nombreux prélèvements frauduleux et anarques (Phishing, vishing).
Au-delà de la violation elle-même, particulièrement grave par les conséquences potentielles pour les utilisateurs, cet évènement soulève la question de la robustesse des systèmes d’information dans les entreprises. Dans le cas de Free, il est difficile d’imaginer qu’une entreprise de cette ampleur, et axée sur les technologies numériques, puisse se retrouver aussi vulnérable face à un jeune hackeur isolé.
Comment une seule personne est-elle parvenue à dérober les données personnelles de millions de français ?
Une partie de la réponse est liée à certaines défaillances constatées chez Free et Free Mobile. En effet, plusieurs irrégularités vont rapidement conduire les autorités à mettre en cause la responsabilité de l’entreprise.
L’entreprise Free aurait-elle donc une part de responsabilité dans la violation de données ayant affecté des millions de ses clients et ex-clients ?
En tout cas, plusieurs mesures (dont certaines sont obligatoires) auraient pu être mises en place pour minimiser, et même prévenir la fuite de données massives d’octobre.
Et c’est cela que la CNIL va, plus tard, chercher à démontrer.
Anatomie d’une sanction de la CNIL sans précédent
La violation d’ampleur dont ont été victime les entreprises Free et Free Mobile va très vite attirer l’attention du gendarme de la protection des données (la CNIL), dont l’une des fonctions est de s’assurer du respect du règlement européen sur la protection des données. Ainsi, des milliers d’abonnés et d’anciens abonnés, concernés par la violation, ont émis des plaintes auprès de la CNIL. L’autorité administrative s’est donc interrogée sur la situation de Free, de Free Mobile et leur niveau de conformité.
Ces deux décisions dans cette affaire, concernant Free et Free Mobile, étaient fortement attendues, et sont tombées un peu plus d’un an après les faits, début janvier 2026.
Les entreprises Free SAS et Free Mobile ont été sanctionnées à hauteur de 15 et 27 millions d’euro respectivement, pour un montant cumulé de 42 millions d’euro.
Qu’est-ce que la CNIL reproche à Free ?
Dans ses délibérations, la CNIL dresse un état peu satisfaisant du niveau de conformité au règlement européen. Trois irrégularités vont particulièrement intéresser la CNIL, et justifier le montant des amendes prononcées.
Le premier grief retenu par la CNIL, c’est le défaut de sécurité. Selon l’autorité de protection des données, les mesures de sécurité mises en place par Free n’étaient pas appropriées et clairement insuffisantes. Le principe de sécurisation des données, qui correspond à l’article 32 du RGPD, implique que les mesures de sécurité doivent être adaptées en fonction du contexte, y compris lorsque des données hautement personnelles (comme les données bancaires des clients) sont concernées. Compte tenu des risques, la CNIL a donc estimé que Free n’as pas mis en œuvre les mesures suffisantes pour assurer la sécurité des données de ses clients.
Le second grief de la CNIL concerne le défaut d’information des utilisateurs. Les clients de Free et de Free Mobile n’ont pas été suffisamment avertis des risques qu’impliquait la violation de leurs données personnelles à la suite de l’incident, y compris concernant la compromission de leurs données bancaires. Ce grief est lié à l’article 34 du RGPD concernant l’obligation d’informer les personnes concernées dans le cas d’une violation de données susceptible d’engendrer un risque pour les droits et libertés des personnes concernées. La CNIL considère que le mail d’information transmis aux utilisateurs victimes de la violation n’était pas suffisamment détaillé, notamment pour permettre aux clients de saisir l’ampleur de la violation et les risques encourus comme le phishing et le « vshing » (arnaque par ingénierie sociale).
Un dernier grief enfin est avancé par la CNIL concernant spécifiquement le cas de Free Mobile. Il concerne les durées abusives de conservation des données personnelles des clients. En effet, certaines victimes n’étaient plus clientes de Free depuis plus de 10 ans.
Il s’avère donc que Free Mobile n’avait déterminé aucune durée de conservation concernant les données de ses clients. Ce grief se réfère à l’article 5 §1 (e) du RGPD qui prévoit que les données collectées doivent avoir une limite de durée de conservation, afin de prévenir les risques de violation. Le principe de limitation de la conservation des données est incontournable dans le cadre de la mise en conformité RGPD. C’est donc cette violation qui justifie le montant particulièrement élevé de l’amende infligée à Free Mobile (27 millions d’euro).
Les enseignements à tirer du cas de Free
Comment mon entreprise peut-elle se prémunir contre les violations et les sanctions de la CNIL ?
A la suite des délibérations concernant Free et Free Mobile, le groupe Iliad, le propriétaire des deux groupes, a annoncé contester les délibérations devant le conseil d’état. L’ampleur de la sanction infligée par la CNIL, s’ajoutant elle-même à une perte en termes de crédibilité et d’image pour l’entreprise, illustre non seulement la responsabilité des entreprises dans les violations de données, mais aussi le double impact négatif du refus de la mise en conformité. Les acteurs du numérique et les entreprises en règle générale, ne peuvent plus estimer que la cybersécurité et la protection des données sont des enjeux de second plan ou des objectifs accessoires.
Cette affaire nous montre que la CNIL exige des résultats en matière de prévention et de gestion des violations de données, en pouvant infliger si besoin une « double peine » pour les entreprises non conformes en cas de violation. Voilà donc quelques recommandations pratiques liées à l’exemple de la violation chez Free et Free Mobile :
- L’authentification multi-facteur :
Il s’agit de la « porte d’entrée » utilisée par l’attaquant pour subtiliser les données des clients Free. En s’identifiant sur un logiciel, un SaaS, Cloud, ou autres outils, toujours privilégier une méthode multi-facteur. Dans le monde actuel, même les mots de passe peuvent ne pas être suffisants et impliquer des risques, notamment en cas de vol d’identifiants, qui sont assez courants dans les attaques récentes.
Utiliser une méthode multi facteur pour s’assurer de l’identité des collaborateurs et membres du personnel est un moyen efficace de prévenir les violations de données.
C’est aussi un excellent moyen de démontrer à la CNIL que la sécurité est prise en compte et que les équipes sont sensibilisées, que ce soit en cas de violation, ou de contrôle de la CNIL. - La gouvernance du cycle de vie des données à caractère personnel :
Le Règlement Général sur la Protection des Données (RGPD) consacre des principes incontournables pour garantir la sécurité et la confidentialité des données. On y retrouve les principes de minimisation, et de limitation des durées de conservation, qui sont parmi les plus importants.
En minimisant les informations collectées concernant les clients et utilisateurs, on s’assure que les données non nécessaires n’ont aucun risque d’être la cible de cybermenaces. Moins il y a de données collectées sur les utilisateurs, moins il y a de risques. C’est le « Privacy by design ». Outre ce paramètre de départ, il est nécessaire de limiter à l’avance la durée de conservation des données collectées. La mise en œuvre d’une politique de suppression et/ou d’archivage des données est impérative pour s’épargner des risques inutiles. Ce que démontre la violation de Free Mobile, c’est que même des données « inutiles » et souvent obsolètes peuvent représenter des millions d’euro d’amende, sans une gouvernance des données mise en œuvre pour, par exemple, les effacer automatiquement. - Procédure et gestion des violations :
Ce que démontre aussi l’exemple de la violation chez Free, c’est l’incapacité pour l’entreprise de réagir correctement à une telle situation. C’est d’ailleurs l’un des griefs de la CNIL dans sa délibération.
Il est donc impératif de savoir exactement comment réagir en cas de violation de données. Pour se faire, il est par exemple possible d’anticiper ces situations, y compris en préparant des modèles de notification à la CNIL (à transmettre dans un délai de 72h après connaissance de la violation), ainsi que des modèles de mails d’information des utilisateurs le cas échéant. Se préparer à des situations de violation de données, ça n’est pas seulement « limiter la casse » en cas de problème, c’est aussi garantir auprès de la CNIL un niveau de rigueur et de préparation approprié. Cette recommandation est d’autant plus importante que les violations de données ne sont pas seulement liées à des attaques informatiques, mais aussi à toute autre perte d’intégrité, de confidentialité ou de disponibilité des données (erreur humaine, perte accidentelle, panne…).
En vous accompagnant tout au long de la mise en conformité, Netsystem développe et vous aide à implémenter des procédures et recommandations pour faire face à des violations de données éventuelles, ainsi qu’aux contrôles de la CNIL.
