La CNIL inflige 42 millions d’euros d’amendes cumulées aux sociétés Free Mobile et Free, après une violation de données massive touchant 24 millions de contrats d’abonnés. Au-delà du montant, la décision met en lumière des défaillances jugées « élémentaires » dans la sécurisation des systèmes et dans la gestion de crise.
Une intrusion révélatrice d’un déficit de sécurité
Le 13 janvier 2026, la Commission nationale de l’informatique et des libertés a rendu deux décisions distinctes à l’encontre de Free mobile et de Free, pour un montant respectif de 27 et 15 millions d’euros. En cause : une attaque survenue en octobre 2024, au cours de laquelle un attaquant est parvenu à s’infiltrer dans leur système d’information.
Les conséquences sont lourdes. Les données personnelles associées à 24 millions de contrats d’abonnés ont été exposées, incluant des IBAN pour les clients disposant à la fois d’un abonnement Free Mobile et Free. Un niveau de sensibilité que la CNIL qualifie de « hautement personnel », en raison des risques directs de fraude financière.
Cette décision intervient dans un contexte déjà tendu : plus de 2 500 plaintes ont été déposées par des personnes concernées, déclenchant un contrôle approfondi de l’autorité.
Authentification fragile et détection défaillante
Au cœur de la sanction, un manquement à l’article 32 du RGPD, qui impose aux responsables de traitement de mettre en œuvre des mesures techniques et organisationnelles adaptées pour garantir la sécurité des données.
La CNIL relève que, au moment de l’attaque, certaines protections de base faisaient défaut. La procédure d’authentification pour l’accès aux VPN des deux sociétés, notamment utilisés dans le cadre du télétravail, n’était pas jugée suffisamment robuste. À cela s’ajoutait une capacité de détection des comportements anormaux qualifiée d’inefficace.
Pour la formation restreinte, le raisonnement est sans ambiguïté : si le risque zéro n’existe pas, la probabilité et la gravité d’une attaque doivent être réduites au maximum, en particulier lorsque les volumes et la nature des données traitées l’exigent. En clair, la sécurité attendue n’était pas au niveau des enjeux.
Une communication jugée insuffisante auprès des abonnés
La CNIL ne s’est pas limitée à la seule dimension technique. Elle a également sanctionné un manquement à l’obligation d’information prévue à l’article 34 du RGPD. Free Mobile et Free avaient bien mis en place un dispositif à deux niveaux : un courriel adressé aux personnes concernées, complété par un numéro vert et un circuit interne de gestion des demandes via le délégué à la protection des données.
Mais pour l’autorité, ce n’était pas suffisant. Le message électronique ne contenait pas l’ensemble des informations requises : il ne permettait pas aux abonnés de comprendre clairement les conséquences concrètes de la violation ni les mesures de protection à adopter. Une lacune qui, dans un contexte de fuite de données bancaires, pèse lourd.
Conservation excessive des données : un rappel à l’ordre pour Free Mobile
La société Free Mobile se voit en outre reprocher un manquement distinct à l’article 5-1-e du RGPD, relatif à la limitation de la durée de conservation. Lors du contrôle, aucun mécanisme n’était en place pour trier efficacement les données des anciens abonnés.
Résultat : des millions de données personnelles conservées sans justification, parfois bien au-delà de ce qui était nécessaire. En cours de procédure, l’opérateur a engagé un tri pour ne conserver que les données requises à des fins comptables, et a procédé à des suppressions. La CNIL lui laisse toutefois six mois pour finaliser cette purge.
La CNIL rappelle que la sécurité des données n’est ni une option ni un sujet secondaire, et que les obligations RGPD s’apprécient à l’aune des risques réels encourus par les personnes. Les défaillances jugées « élémentaires » ne seront plus tolérées, même chez des acteurs majeurs du numérique.
