Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

France fines Free Mobile €42 million over 2024 data breach incident

1 minute de lecture

Mis à jour :

Sanction Létale pour Free Mobile Suite à une Violation de Données Majeure

L’autorité française de protection des données, la CNIL, a infligé des amendes totalisant 42 millions d’euros à Free Mobile et sa société mère, Free. Ces sanctions font suite à une violation de données survenue en octobre 2024, ayant exposé les informations de près de 23 millions d’abonnés. Les pirates ont exploité une faille dans un outil de gestion pour dérober des données sensibles, incluant potentiellement des IBANs.

Bien que Free ait renforcé ses mesures de sécurité après l’incident, la CNIL a constaté des manquements antérieurs au Règlement Général sur la Protection des Données (RGPD).

Points Clés :

  • Nature de l’incident: Vol de données sensibles par des pirates ciblant un outil de gestion de Free.
  • Portée de l’impact: Près de 23 millions d’abonnés mobiles et fixes affectés.
  • Motif de l’amende: Non-conformité avec plusieurs dispositions du RGPD malgré les efforts post-incident.
  • Contexte plus large: L’incident chez Free a été suivi par d’autres violations de données chez de grands opérateurs de télécommunications français (Orange France, Bouygues Telecom).

Vulnérabilités et Violations (RGPD) :

  • Article 32 RGPD - Sécurité des données:
    • Mesures de sécurité insuffisantes.
    • Authentification VPN faible pour l’accès à distance des employés.
    • Détection inefficace des activités anormales.
  • Article 34 RGPD - Information des personnes concernées:
    • Notifications aux utilisateurs manquant de détails essentiels sur les conséquences et les mesures d’atténuation des risques.
  • Article 5(1)(e) RGPD - Limitation de la conservation des données:
    • Conservation excessive des données personnelles d’anciens abonnés au-delà de ce qui était nécessaire pour des raisons comptables.

Recommandations de la CNIL :

  • Les entreprises doivent achever la mise en œuvre de leurs nouvelles mesures de sécurité dans un délai de trois mois.
  • Free Mobile doit finaliser le tri et la suppression des données clients excédentaires sous six mois.

Source

Vous pourriez aimer