Violation de données : sanction de 42 millions d’euros à l’encontre des sociétés FREE MOBILE et FREE

Le contexte

En octobre 2024, un attaquant est parvenu à s'infiltrer dans le système d'information des sociétés et à accéder à des données personnelles concernant 24 millions de contrats d'abonnés, dont des IBAN lorsque les personnes étaient à la fois clientes de la société FREE MOBILE et de la société FREE.

Faisant notamment suite à un très grand nombre de plaintes (plus de 2 500 à ce jour) de personnes concernées par cette violation de données, la CNIL a réalisé un contrôle qui a mis en évidence des manquements à plusieurs obligations prévues par le règlement général sur la protection des données (RGPD) imputables aux sociétés FREE MOBILE et FREE, chacune responsable du traitement des données de leurs propres abonnés.

En conséquence, la formation restreinte- organe de la CNIL chargé de prononcer les sanctions - a prononcé une amende de 27 millions d'euros à l'encontre de la société FREE MOBILE et une amende de 15 millions d'euros à l'encontre de la société FREE, tenant compte notamment de leurs capacités financières, de la méconnaissance de principes essentiels en matière de sécurité, du nombre de personnes concernées et du caractère « hautement » personnel des données compromises ainsi que des risques engendrés par la fuite de certaines données (IBAN).

Les manquements sanctionnés à l'encontre des sociétés FREE MOBILE et FREE

Un manquement à l'obligation d'assurer la sécurité des données personnelles (article 32 du RGPD)

La formation restreinte a constaté qu'au jour de la violation de données, les sociétés n'avaient pas mis en œuvre certaines mesures élémentaires de sécurité qui auraient pu rendre l'attaque plus difficile.

Elle a notamment relevé que la procédure d'authentification pour se connecter au VPN de la société FREE MOBILE et à celui de la société FREE - utilisée en particulier pour le travail à distance des employés de la société - n'était pas suffisamment robuste. Par ailleurs, les mesures déployées par les sociétés FREE MOBILE et FREE afin de détecter les comportements anormaux sur leur système d'information étaient inefficaces.

Compte tenu du nombre et de la nature des données traitées, la formation restreinte a considéré que les mesures de sécurité déployées par les sociétés afin d'assurer leur confidentialité n'étaient pas adaptées. Elle a rappelé que, même s'il est impossible d'éliminer tout risque, celles-ci peuvent en réduire la probabilité et, le cas échéant, en limiter la gravité.

La formation restreinte a également noté que les sociétés avaient pris plusieurs mesures en cours de procédure permettant de renforcer leur niveau de sécurité. Elle leur a enjoint d'achever la mise en œuvre de ces nouvelles mesures dans un délai de trois mois.

Un manquement à l'obligation de communiquer auprès des personnes concernées par la violation de données (article 34 du RGPD)

La CNIL a constaté que les sociétés avaient procédé à l'information des personnes concernées par la violation de données par une communication à deux niveaux :

• au premier niveau, un courriel d'information ;
• au second niveau, un numéro vert et un dispositif interne de gestion des demandes auprès du délégué à la protection des données.

La formation restreinte a toutefois considéré que le courriel adressé ne comportait pas toutes les informations nécessaires visées au paragraphe 2 de l'article 34 du RGPD, en estimant que ces omissions ne permettaient notamment pas aux personnes concernées de comprendre directement les conséquences de la violation, ainsi que les mesures qu'elles pouvaient mettre en place pour se protéger de celles-ci.

Un manquement à l'encontre de la société FREE MOBILE à l'obligation de conserver les données personnelles pendant une durée limitée (article 5-1-e) du RGPD)

La CNIL a constaté que, au jour du contrôle, la société n'avait pas mis en place de mesures permettant de trier les données des anciens abonnés, afin de ne conserver que celles nécessaires à des fins comptables, puis de les supprimer lorsque cette conservation n'apparaît plus nécessaire.

La formation restreinte a rappelé à la société qu'elle est tenue d'opérer un tri parmi les données à conserver après une certaine période et de s'assurer de la suppression des données à l'échéance de leur durée de conservation. Sur la base des constatations réalisées lors du contrôle et des déclarations de la société, elle a considéré que la société FREE MOBILE avait conservé des millions de données de ses abonnés, sans justification, pendant une durée excessive.

En cours de procédure, la société a, d'une part, initié un tri afin de conserver pendant dix ans les seules données qui lui sont nécessaires pour respecter des obligations comptables et, d'autre part, supprimé une partie des données conservées pendant une durée excessive.

La formation restreinte a enjoint à la société de finaliser le tri et la purge des données dans un délai de six mois à compter de la notification de la délibération.