À l’automne dernier, cela n’aura échappé à personne, Free a subi un piratage d’une ampleur inédite, qui a vu les données personnelles de 19 millions de ses abonnés compromises, ainsi que les coordonnées bancaires (IBAN) de près de 5 millions de clients. Cette fuite massive a rapidement favorisé une hausse des tentatives de fraude et de phishing ciblant les utilisateurs de l’opérateur, surtout ces dernières semaines. Avec un tel volume d’informations en circulation, l’affaire a suscité l’attention de la CNIL (Commission nationale de l’informatique et des libertés), chargée de veiller au respect des règles en matière de protection des données.
Dans la foulée, la CNIL a réalisé une inspection des systèmes de Free pour vérifier si l’opérateur avait pris les dispositions nécessaires à la sécurisation des données de ses clients. Or, la procédure a franchi une étape supplémentaire : d’après un courrier rendu public sur les réseaux sociaux par @SaxX, l’autorité a décidé de lancer une procédure de sanction. Elle s’appuie sur la loi Informatique et Libertés du 6 janvier 1978, consolidée par le Règlement général sur la protection des données (RGPD).
Un rapporteur désigné par la CNIL est chargé d’examiner en détail les manquements potentiels de Free. Son rôle sera de préparer un dossier complet, qu’il soumettra à la formation restreinte de la CNIL, l’instance apte à prononcer des sanctions. Face à la recrudescence des incidents de cybersécurité en France, l’autorité a renforcé ses contrôles et souhaite manifestement montrer son intransigeance.
Les risques encourus par l’opérateur
Dans ce genre de dossier, la palette des sanctions prévues par le RGPD est large. Si les manquements sont jugés mineurs ou résultent d’une simple négligence, la CNIL peut se contenter d’un rappel à l’ordre. Mais si l’instruction met au jour des failles graves dans la politique de sécurité ou la gestion des informations, Free encourt jusqu’à 4 % de son chiffre d’affaires annuel mondial ou 20 millions d’euros, selon le montant le plus élevé.
L’opérateur n’en est pas à sa première alerte. En 2022, une amende de 300 000 euros lui avait déjà été infligée pour sa gestion jugée défaillante des données de ses abonnés. Une nouvelle sanction plus lourde mettrait en lumière les difficultés persistantes de Free à protéger les informations sensibles de sa clientèle.
Une vigilance plus qu’accrue
La CNIL justifie son positionnement offensif en rappelant la fréquence grandissante des brèches de sécurité dans l’Hexagone. Les cyberattaques visant les entreprises, notamment les opérateurs télécoms ou les acteurs majeurs de l’internet, peuvent avoir des répercussions majeures sur la vie privée et la confiance des consommateurs. Dans un contexte où la souveraineté numérique et la protection des données deviennent des enjeux de sécurité nationale, chaque fuite massive tend à être examinée de près.
Avec la médiatisation d’affaires retentissantes comme celles de santé ou de sociétés d’e-commerce, la CNIL veut adresser un message clair : toute entreprise collectant et traitant des données doit mettre en place des protocoles rigoureux. Les abonnés de Free, quant à eux, sont invités à redoubler de prudence s’ils figurent parmi les victimes de la fuite. Des escroqueries reposant sur l’utilisation d’IBAN ou d’informations personnelles ont déjà été détectées.
Une affaire forcément à suivre de près
Reste à savoir si la CNIL estimera que Free a réellement manqué à ses obligations : lorsqu’un piratage est d’une ampleur exceptionnelle, la question se pose de savoir si l’opérateur a suffisamment anticipé les risques et mis en place des dispositifs conformes au RGPD. Les conclusions du rapporteur seront déterminantes. Si manquements il y a, la sanction pourrait être sévère, au-delà de la simple pénalité financière.
Déterminer la nature exacte des défaillances est un enjeu majeur pour l’opérateur, qui doit déjà rétablir la confiance de millions d’abonnés. Pour Free, l’heure est donc à la démonstration de transparence et d’efforts accrus en cybersécurité, sous peine de faire face à un nouveau revers. Après tout, la réputation d’un fournisseur d’accès internet se joue autant sur la qualité de son service que sur sa capacité à protéger les données qu’on lui confie.
Pour l’instant, aucune déclaration officielle ne précise l’orientation définitive de la sanction ou la chronologie envisagée par la CNIL. Mais l’éventualité d’une forte amende ou d’une injonction de mise en conformité vient rappeler que la législation RGPD ne saurait être prise à la légère, quelle que soit la taille de l’entreprise concernée.
