Données piratées chez Free : êtes-vous concerné ?

Depuis le 27 mai 2025, le site Have I Been Pwned a intégré dans sa base la fuite de données massives subie par Free à l’automne 2024. Ce service mondialement connu permet à chacun de vérifier si son adresse email figure dans une ou plusieurs compromissions connues. En saisissant une adresse associée à un compte Free, les internautes peuvent immédiatement savoir si leur identité numérique a été compromise.

Le créateur de la plateforme, Troy Hunt, a précisé que 59 % des adresses concernées par la fuite Free figuraient déjà dans ses archives. Ce chiffre met en lumière l’ampleur des attaques récurrentes qui visent les télécoms, secteur souvent sous tension en matière de cybersécurité. Plus préoccupant encore, cette fuite ne se limite pas aux identifiants email : elle expose également des données bancaires (IBAN), ouvrant la porte à des campagnes de phishing ciblé ou à des tentatives d’usurpation d’identité.

Have I Been Pwned : utile mais juridiquement sous surveillance

Bien que Have I Been Pwned offre un service de sensibilisation essentiel, notamment en facilitant la détection des fuites, son usage interroge le droit français et européen. En France, la CNIL rappelle que la consultation de bases de données issues de piratages reste juridiquement problématique, même à titre préventif. Le RGPD interdit formellement tout traitement de données personnelles sans consentement explicite des personnes concernées.

Parce qu’il est hébergé hors de l’Union européenne, le site échappe à la juridiction directe des régulateurs européens. Cela ne l’exonère pas d’un risque juridique, mais le rend difficile à contraindre. À l’inverse, Free pourrait être amené à en faire davantage en matière d’information, de réparation et de prévention, notamment auprès des utilisateurs touchés par la fuite.

L’incident Free, reflet d’un modèle de cybersécurité à bout de souffle

Cette affaire ne constitue pas un cas isolé. Elle illustre au contraire les fragilités persistantes du secteur télécom face aux menaces numériques. Malgré l’empilement des alertes, plusieurs opérateurs historiques tardent à déployer des pratiques robustes : authentification forte, cloisonnement des bases de données critiques, procédures de gestion d’incidents en temps réel…

Les conséquences dépassent largement le simple risque réputationnel. Une fuite de cette ampleur peut miner la confiance des clients, entraîner des sanctions réglementaires, voire fragiliser la position commerciale de l’opérateur en pleine recomposition du marché. Free, en tant que cible et acteur majeur, doit répondre avec plus que des déclarations rassurantes.

DORA : pour une responsabilité accrue des opérateurs

Cette fuite intervient au moment même où l’Union européenne s’apprête à durcir le cadre réglementaire des services numériques, avec l’entrée en vigueur prévue fin 2025 du Digital Operational Resilience Act (DORA). Ce texte impose une résilience opérationnelle renforcée aux opérateurs jugés critiques, comme les fournisseurs télécoms.

Les entreprises devront accepter des audits plus fréquents, mieux encadrer leurs sous-traitants, et communiquer rapidement en cas de faille. Ce nouveau cadre européen marque la fin de l’ère de l’opacité, trop souvent tolérée jusqu’ici dans le traitement des cyberincidents.

Vous êtes concerné ? on vous dit quels gestes adopter

Si vous faites partie des abonnés Free potentiellement exposés à la récente fuite de données, agissez sans tarder pour sécuriser vos informations personnelles.

• Modifiez immédiatement vos mots de passe, en choisissant des combinaisons uniques, complexes et différentes pour chaque service.
• Activez la double authentification sur tous vos comptes critiques, notamment pour vos messageries, services bancaires et portails administratifs.
• Contrôlez régulièrement vos relevés bancaires et signalez sans attendre toute opération suspecte à votre banque.
• Contactez le support Free pour obtenir des précisions sur votre compte ou signaler une anomalie.
• Saisissez la CNIL si vous estimez que Free n’a pas respecté ses obligations en matière de protection des données. Cette autorité veille à l’application du RGPD et peut vous accompagner en cas de litige.

En prenant ces mesures, vous renforcez la protection de vos données et réduisez les risques d’usurpation ou de fraude en ligne.

Une ligne de crête entre droit à l’information et devoir de protection

L’affaire Free cristallise un dilemme de plus en plus prégnant dans l’univers numérique : comment articuler droit à l’information, transparence des incidents et protection des données personnelles ? D’un côté, les utilisateurs réclament à juste titre d’être informés rapidement et clairement en cas de faille. De l’autre, les entreprises invoquent des contraintes techniques, juridiques ou commerciales pour retarder, filtrer ou minimiser la communication.

Cette tension pointe du doigt un enjeu plus vaste : celui de la souveraineté numérique européenne. Si l’Europe souhaite devenir un acteur crédible face aux GAFAM et aux grands groupes chinois, elle devra imposer un nouveau standard de responsabilité, de sécurité et d’éthique numérique. La fuite de Free, loin d’être un cas isolé, pourrait bien servir de test grandeur nature pour ce changement de paradigme.