Lundi après-midi, dans le cadre d’une audience tenue en formation restreinte, la CNIL a franchi un nouveau seuil dans le dossier Free. Selon les informations révélées par La Lettre, l’accusation a requis une sanction d’ampleur à l’encontre du groupe Iliad, maison mère de l’opérateur, à la suite du piratage massif de données survenu à l’automne dernier.
Si le montant exact n’a pas été officiellement confirmé par l’autorité, plusieurs sources concordantes évoquent une amende qui pourrait atteindre 48 millions d’euros. Un niveau de sanction qui, s’il était entériné, placerait ce dossier parmi les plus emblématiques jamais traités par le régulateur français en matière de protection des données personnelles.
Un incident de sécurité devenu affaire systémique
En octobre 2024, Free reconnaissait une compromission de ses systèmes ayant conduit à l’exposition des données personnelles de près de vingt millions de clients, actuels ou anciens. Parmi les informations concernées figuraient notamment des données d’identification, mais aussi des coordonnées bancaires pour une partie des abonnés.
Au-delà de l’incident lui-même, c’est la gestion globale du risque qui a retenu l’attention de la CNIL. La procédure engagée ne porte pas uniquement sur l’attaque subie, mais sur les conditions structurelles qui ont permis qu’un tel volume de données puisse être accessible, conservé et potentiellement exploité.
Dans ce type de dossier, le régulateur ne juge pas la cyberattaque en tant que telle. Il évalue la conformité des dispositifs de sécurité, la pertinence des mesures de prévention, ainsi que le respect des principes fondamentaux du RGPD, au premier rang desquels la minimisation et la sécurisation des données.
Une logique de sanction qui change d’échelle
La réquisition formulée lors de l’audience marque un tournant. Elle traduit une volonté claire de la CNIL d’utiliser pleinement l’arsenal dont elle dispose, y compris face à des acteurs majeurs du numérique français. Le message adressé au marché est limpide : la taille, la notoriété ou le rôle stratégique d’un opérateur ne constituent plus un rempart face au risque de sanction.
Dans le cas de Free, les débats portent notamment sur l’adéquation des dispositifs de sécurité au regard de la sensibilité et du volume des données traitées. Autrement dit, sur la question que redoutent aujourd’hui nombre de RSSI : à partir de quand un niveau de protection est-il jugé insuffisant par le régulateur ?
La décision finale de la CNIL n’est pas attendue avant début 2026.
