Les amendes records infligées à Free marquent un tournant dans la politique française de protection des données personnelles. Avec 27 millions d’euros pour Free Mobile et 15 millions pour Free, la Commission nationale de l’informatique et des libertés (Cnil) envoie un signal fort : la sécurité des données n’est plus négociable.
Des sanctions sans précédent
La décision, parue mercredi au Journal officiel et prise par la Cnil le 8 janvier, sanctionne des « manquements » de sécurité ayant permis un piratage massif touchant plus de 24 millions de contrats en octobre 2024. Free lui-même qualifie cette décision de « sévérité inédite sans commune mesure au regard des précédents en matière de cyberattaques ».
Ces montants exceptionnels témoignent d’un durcissement radical de la position des autorités face aux violations de données. Longtemps considérées comme des incidents techniques inévitables, les cyberattaques sont désormais appréhendées comme des défaillances organisationnelles sanctionnables.
Un changement de paradigme dans la responsabilité des entreprises
Pendant des années, les opérateurs et entreprises technologiques ont pu invoquer la sophistication croissante des attaques pour minimiser leur responsabilité. Ce temps est révolu. La Cnil impose désormais un principe clair : les entreprises qui collectent et stockent des données personnelles ont l’obligation absolue de les protéger.
Cette évolution s’inscrit dans l’application stricte du Règlement général sur la protection des données (RGPD), entré en vigueur en 2018. Mais au-delà du cadre réglementaire, c’est toute la philosophie de la responsabilité numérique qui évolue. L’État considère que les géants du numérique et des télécoms, qui génèrent des profits considérables grâce aux données de leurs clients, doivent assumer pleinement la sécurisation de ces informations sensibles.
Des obligations de mise en conformité contraignantes
La Cnil ne se contente pas de sanctionner financièrement. Elle ordonne à Free et Free Mobile de « mettre en œuvre les mesures techniques et organisationnelles appropriées, dans un délai de trois mois, afin de garantir un niveau de sécurité adapté au risque ». Free Mobile devra également purger ses bases de données des détails des contrats résiliés depuis plus de dix ans.
Ces injonctions imposent une refonte en profondeur des systèmes de sécurité et de gestion des données. Le délai de trois mois, particulièrement court, témoigne de l’urgence accordée à ces mises en conformité. L’État ne laisse plus le temps aux opérateurs de procrastiner.
Un signal pour tout le secteur
Au-delà du cas Free, ces sanctions constituent un avertissement pour l’ensemble des entreprises manipulant des données personnelles. Opérateurs télécoms, plateformes numériques, banques, administrations : tous doivent tirer les leçons de cette affaire.
L’État affirme désormais que la cybersécurité n’est pas une option technique mais une obligation légale non négociable. Les investissements dans la protection des données ne sont plus un coût facultatif mais une nécessité impérative, sous peine de sanctions financières dissuasives.
Cette évolution marque une maturité nouvelle dans l’appréhension des risques numériques. À l’heure où la vie quotidienne de millions de Français dépend de services numériques, l’État reprend la main pour imposer des standards de sécurité dignes de la confiance accordée par les citoyens.
