Le régulateur français de la protection des données a infligé une sanction financière d’ampleur au groupe Iliad à la suite d’un piratage informatique massif survenu en 2024. Deux de ses entités, l’opérateur mobile et le fournisseur d’accès à internet, se voient reprocher des défaillances dans la sécurisation des informations personnelles de leurs clients, exposées lors de l’attaque.
Au total, près de 24 millions de contrats ont été concernés par cette violation, qui portait sur des données confidentielles d’abonnés. À l’issue de son enquête, la Commission nationale de l’informatique et des libertés a prononcé une amende de 27 millions d’euros contre la branche mobile et de 15 millions contre la maison mère, une décision rendue publique au Journal officiel.
Des failles de sécurité pointées du doigt
Selon la Cnil, les dispositifs de protection mis en place n’étaient pas à la hauteur des risques, facilitant l’intrusion dans les systèmes de l’entreprise. L’enquête judiciaire a par ailleurs conduit à la mise en examen, en janvier dernier, d’un adolescent de 16 ans soupçonné d’être à l’origine du piratage.
De son côté, le groupe conteste la sévérité de la sanction, dénonçant une décision « sans précédent » au regard des efforts engagés depuis l’incident. Cette affaire relance néanmoins le débat sur la responsabilité des grands acteurs du numérique face à la protection des données personnelles de millions d’utilisateurs.
