Cette procédure fait suite à une cyberattaque survenue en octobre 2024, qui a entraîné la fuite des données de 19 millions d’abonnés ainsi que de 5 millions d’IBAN.
La Commission nationale de l'informatique et des libertés (CNIL) a confirmé à Franceinfo avoir ouvert une procédure de sanction contre l’opérateur Free. Les faits remontent à octobre 2024, lorsque l’opérateur a été victime d’une fuite massive de données concernant 5 millions d'IBAN et 19 millions de clients. La CNIL et l’ANSSI ont été notifiées, et une plainte a été déposée auprès du procureur de la République.
La CNIL a, quant à elle, effectué un contrôle et ouvert une instruction à la suite de cette cyberattaque. Plusieurs plaintes ont été déposées par des internautes, accusant Free et Free Mobile d’avoir manqué à leurs obligations en matière de protection des données personnelles.
La formation restreinte étudie le dossier
Dans un communiqué envoyé aux plaignants et partagé par des internautes, dont le white hat SaxX sur les réseaux sociaux, l’autorité a précisé : « Les éléments recueillis ont fait l’objet d’une analyse approfondie, à l’issue de laquelle la présidente de la CNIL, Marie-Laure Denis (ndlr), a décidé d’engager l’une des procédures de sanction prévues par la loi du 6 janvier 1978 (article 22), relative à l'informatique, aux fichiers et aux libertés. »
Le communiqué précise toutefois que « cela ne préjuge aucunement de l’issue qui sera éventuellement donnée à ce dossier ». Il revient désormais à la formation restreinte de la CNIL, chargée de prononcer les sanctions, de déterminer les éventuels manquements au Règlement général sur la protection des données (RGPD) et de décider de « la mesure à adopter, le cas échéant ».
