Le 13 janvier 2026, la Commission nationale de l’informatique et des libertés (CNIL) a rendu deux décisions de sanction à l’encontre des sociétés FREE MOBILE et FREE, prononçant des amendes respectives de 27 millions d’euros et 15 millions d’euros, soit un total de 42 millions d’euros pour des manquements graves en matière de sécurité des données personnelles.
Le contexte : un piratage d’ampleur majeure
En octobre 2024, une attaque informatique a permis à un intrus de s’introduire dans les systèmes d’information de Free et Free Mobile, permettant l’accès à des données personnelles très sensibles appartenant à 24,6 millions de clients, y compris leurs numéros IBAN lorsqu’ils étaient abonnés aux deux entités.
La CNIL a lancé un contrôle approfondi à la suite de plus de 2 500 plaintes déposées par des personnes concernées par cette violation.
Les manquements sanctionnés
- Sécurité insuffisante des données (article 32 RGPD)
La CNIL a constaté que les mesures de sécurité mises en place au moment de la violation étaient inadaptées et insuffisantes :
- Authentification des accès aux VPN des sociétés jugée trop faible, facilitant l’accès non autorisé.
- Système de détection des comportements anormaux inefficace, ne permettant pas d’identifier rapidement une intrusion.
La CNIL a pourtant souligné que, même si l’élimination totale du risque est impossible, des mesures « plus robustes » auraient significativement réduit les risques et leur impact.
- Défauts dans l’information des personnes concernées (article 34 RGPD)
La communication faite aux abonnés touchés par la fuite a été jugée incomplète :
- Un simple courriel d’information a été adressé,
- Avec un second niveau de contact via un numéro vert et un service interne de gestion des demandes.
Toutefois, ce courriel n’incluait pas toutes les informations requises par l’article 34 du RGPD, notamment sur les conséquences concrètes pour les personnes concernées et les actions de protection à entreprendre.
- Conservation excessive des données (article 5-1-e RGPD)
La CNIL a relevé que Free Mobile conservait sans justification des millions de données d’anciens abonnés au-delà de la durée nécessaire, en particulier des IBAN.
Le RGPD impose que seules les données strictement nécessaires soient conservées, puis effacées une fois leur finalité accomplie. Le manque de tri entre données actives et données à archivage comptable a donc été sanctionné comme une violation de la réglementation.
Pourquoi cette sanction est significative ?
Plusieurs éléments expliquent le montant et la sévérité de la sanction :
- L’ampleur de l’incident, touchant un volume de données équivalent à un tiers de la population française ;
- Le caractère hautement personnel des données exposées ;
- La méconnaissance avérée de principes élémentaires de sécurité informatique, considérée par la CNIL comme aggravante ;
- Le rôle de sanction exemplaire voulu par la CNIL pour inciter l’ensemble des entreprises à renforcer leurs pratiques de sécurité.
Le groupe Iliad, maison mère de Free, a annoncé son intention de faire appel devant le Conseil d’État, jugeant la sanction « disproportionnée » au regard des précédents de cyberattaques.
Que faut-il retenir de cette décision de la CNIL ?
La sanction prononcée par la CNIL contre Free et Free Mobile est un signal fort : la protection des données personnelles n’est plus une obligation formelle, mais un impératif stratégique, au même titre que la gouvernance, le risque et la réputation. Sa mise en œuvre doit être rigoureuse, documentée et adaptée aux défis contemporains de cybersécurité.
Parmi les bonnes pratiques à retenir pour optimiser sa conformité RGPD :
- Renforcer la cybersécurité au-delà du minimum légal
La conformité au RGPD passe par une approche proactive de la sécurité (authentification forte, détection avancée des intrusions, tests réguliers, etc.).
- Communiquer avec transparence en cas d’incident
Informer les personnes concernées avec toutes les informations requises par les textes, incluant les risques encourus et les mesures de mitigation disponibles.
- Rationaliser et limiter les durées de conservation
Définir une politique claire de durée de conservation des données, avec des processus de tri et de purge documentés.