Prancis Denda Free Mobile €42 Juta atas Insiden Kebocoran Data 2024

Otoritas perlindungan data Prancis, CNIL, menjatuhkan denda total €42 juta kepada Free Mobile dan perusahaan induknya, Free, terkait kegagalan melindungi data pelanggan dalam insiden kebocoran data besar yang terjadi pada Oktober 2024.

Free Mobile merupakan penyedia layanan internet terbesar kedua di Prancis. Dalam insiden tersebut, data milik hampir 23 juta pelanggan seluler dan fixed broadband dilaporkan terekspos setelah penyerang berhasil menembus sistem internal perusahaan.

Kronologi Kebocoran Data Free Mobile

Menurut hasil penyelidikan CNIL, penyerang menargetkan alat manajemen internal Free Mobile dan mencuri data pelanggan yang kemudian ditawarkan untuk dijual di forum hacker.

Akun bernama “drussellx” mengklaim bahwa:

• 19,2 juta pelanggan terdampak
• Sekitar 25% data yang bocor mencakup nomor IBAN, yang berpotensi digunakan untuk penipuan finansial

Insiden ini memicu lebih dari 2.500 pengaduan resmi dari pelanggan yang terdampak, mendorong CNIL melakukan inspeksi menyeluruh terhadap praktik keamanan dan pengelolaan data Free Mobile dan Free.

Pelanggaran GDPR yang Ditemukan

CNIL menyimpulkan bahwa meskipun Free telah meningkatkan sistem keamanannya setelah insiden, kondisi sebelum kebocoran melanggar beberapa ketentuan utama GDPR. Pelanggaran yang diidentifikasi meliputi:

1. Kegagalan Menjaga Keamanan Data (Pasal 32 GDPR)

Free Mobile dan Free dinilai tidak menerapkan langkah keamanan yang memadai, di antaranya:

• Autentikasi VPN yang lemah untuk akses jarak jauh karyawan
• Sistem deteksi aktivitas mencurigakan yang tidak efektif

Kelemahan ini memungkinkan penyerang mengakses sistem tanpa terdeteksi lebih awal.

2. Pemberitahuan Kebocoran Data yang Tidak Memadai (Pasal 34 GDPR)

Meskipun pelanggan diberi notifikasi, email yang dikirim:

• Tidak menjelaskan dampak kebocoran data secara jelas
• Tidak memberikan panduan mitigasi risiko yang memadai kepada pengguna

3. Penyimpanan Data Pribadi Terlalu Lama (Pasal 5(1)(e) GDPR)

Free Mobile juga terbukti:

• Menyimpan data pribadi jutaan mantan pelanggan lebih lama dari yang diperlukan
• Tidak melakukan penyortiran dan penghapusan data tepat waktu, melebihi kebutuhan akuntansi

Sanksi dan Perintah CNIL

Sebagai bagian dari putusan, CNIL memerintahkan:

• Free Mobile & Free untuk menyelesaikan seluruh peningkatan sistem keamanan dalam waktu 3 bulan
• Free Mobile untuk menuntaskan proses penyortiran dan penghapusan data pelanggan berlebih dalam waktu 6 bulan

Kegagalan memenuhi tenggat waktu ini dapat berujung pada sanksi tambahan.

Dampak Lebih Luas di Industri Telekomunikasi Prancis

Kasus Free Mobile bukanlah satu-satunya insiden besar di sektor telekomunikasi Prancis dalam beberapa tahun terakhir:

• Orange France mengungkap kebocoran sistem pada Juli 2025 yang menyebabkan gangguan operasional
• Bouygues Telecom mengalami pelanggaran data pada Agustus 2025 yang mengekspos 6,4 juta pelanggan

Rangkaian insiden ini menyoroti meningkatnya tekanan regulator terhadap operator telekomunikasi untuk memperkuat keamanan siber dan kepatuhan GDPR.

Kesimpulan

Denda €42 juta terhadap Free Mobile menjadi peringatan keras bagi perusahaan telekomunikasi dan penyedia layanan digital di Eropa. CNIL menegaskan bahwa keamanan data, transparansi kepada pengguna, dan pengelolaan siklus hidup data bukan sekadar kewajiban administratif, melainkan tanggung jawab hukum yang serius.

Bagi pelanggan, insiden ini juga menjadi pengingat pentingnya kewaspadaan terhadap potensi penipuan setelah kebocoran data berskala besar.