Sanctions CNIL contre Free et Free Mobile : 42 millions d'euros d'amendes pour violations du RGPD

Harry Seror

Auteur Article

date de publication

20/09/2025

Les sanctions de la CNIL contre FREE MOBILE et FREE (42 M€) : violations du RGPD, sécurité inadéquate et défaut de notification – Analyse juridique et enseignements pour les entreprises

Le 13 janvier 2026, la Commission nationale de l'informatique et des libertés (CNIL) a prononcé deux décisions de sanction marquantes à l'encontre des sociétés Free Mobile et Free, infligeant respectivement des amendes de 27 et 15 millions d'euros. Ces sanctions s'inscrivent dans le cadre d'une violation de données personnelles d'ampleur exceptionnelle survenue en octobre 2024, ayant affecté 24 millions de contrats d'abonnés. Cette affaire constitue un rappel cinglant des obligations pesant sur les responsables de traitement en matière de sécurité des données et illustre la détermination de l'autorité de contrôle à sanctionner les manquements aux principes fondamentaux du RGPD.

Les faits : une violation de données d'ampleur inédite

En octobre 2024, un attaquant est parvenu à s'infiltrer dans le système d'information des sociétés Free Mobile et Free, accédant ainsi à des données personnelles concernant 24 millions de contrats d'abonnés. La gravité de cette violation réside non seulement dans l'ampleur des personnes concernées, mais également dans la nature particulièrement sensible des données compromises : des coordonnées d'identité bancaire (IBAN) ont été exposées, notamment lorsque les personnes étaient à la fois clientes de Free Mobile et de Free.

L'incident a suscité une réaction massive des personnes concernées, qui ont déposé plus de 2 500 plaintes auprès de la CNIL. Cette mobilisation exceptionnelle a conduit l'autorité de contrôle à diligenter un contrôle approfondi des pratiques des deux sociétés, chacune étant considérée comme responsable du traitement des données de ses propres abonnés.

Les manquements identifiés par la CNIL

- Violation de l'obligation de sécurité des données (article 32 du RGPD)

Le premier manquement, et sans doute le plus grave, concerne l'obligation d'assurer la sécurité des données personnelles prévue par l'article 32 du RGPD. La formation restreinte de la CNIL a constaté qu'au jour de la violation, les sociétés n'avaient pas mis en œuvre certaines mesures élémentaires de sécurité qui auraient pu rendre l'attaque plus difficile.

Deux failles techniques majeures ont été relevées. D'une part, la procédure d'authentification pour se connecter au VPN des sociétés — utilisée notamment pour le travail à distance des employés — n'était pas suffisamment robuste. D'autre part, les mesures déployées pour détecter les comportements anormaux sur le système d'information se sont révélées inefficaces.

La formation restreinte a estimé que compte tenu du nombre et de la nature des données traitées, les mesures de sécurité déployées n'étaient pas adaptées pour assurer leur confidentialité. L'autorité a rappelé un principe cardinal en matière de protection des données : même s'il est impossible d'éliminer tout risque, les responsables de traitement peuvent et doivent en réduire la probabilité et, le cas échéant, en limiter la gravité.

Il convient de noter que les sociétés ont pris plusieurs mesures en cours de procédure pour renforcer leur niveau de sécurité. La CNIL leur a enjoint d'achever la mise en œuvre de ces nouvelles mesures dans un délai de trois mois.

- Manquement à l'obligation de communication aux personnes concernées (article 34 du RGPD)

Le deuxième manquement porte sur l'obligation de communiquer auprès des personnes concernées par la violation de données, prévue par l'article 34 du RGPD. Les sociétés avaient mis en place une communication à deux niveaux : un courriel d'information initial, complété par un numéro vert et un dispositif interne de gestion des demandes auprès du délégué à la protection des données.

Toutefois, la formation restreinte a considéré que le courriel adressé ne comportait pas toutes les informations nécessaires visées au paragraphe 2 de l'article 34 du RGPD. Ces omissions ne permettaient pas aux personnes concernées de comprendre directement les conséquences de la violation, ni les mesures qu'elles pouvaient mettre en place pour se protéger.

- Manquement à l'obligation de conservation limitée des données (article 5-1-e du RGPD)

Un troisième manquement a été relevé spécifiquement à l'encontre de la société Free Mobile, concernant l'obligation de conserver les données personnelles pendant une durée limitée, principe fondamental énoncé à l'article 5-1-e du RGPD. La CNIL a constaté qu'au jour du contrôle, la société n'avait pas mis en place de mesures permettant de trier les données des anciens abonnés.

La formation restreinte a rappelé que les responsables de traitement sont tenus d'opérer un tri parmi les données à conserver après une certaine période et de s'assurer de leur suppression à l'échéance de leur durée de conservation. Sur la base des constatations réalisées, elle a considéré que Free Mobile avait conservé des millions de données de ses abonnés, sans justification, pendant une durée excessive.

En cours de procédure, la société a initié un tri afin de conserver pendant dix ans les seules données nécessaires au respect de ses obligations comptables, et a supprimé une partie des données conservées pendant une durée excessive. La CNIL a enjoint à la société de finaliser ce tri et cette purge dans un délai de six mois.

Analyse juridique : les critères retenus par la formation restreinte

Le montant total de 42 millions d'euros (27 millions pour Free Mobile et 15 millions pour Free) reflète la gravité exceptionnelle des manquements constatés. La formation restreinte a fondé sa décision sur plusieurs critères cumulatifs qui méritent une analyse approfondie.

La nature hautement personnelle des données compromises constitue le premier élément d'appréciation. La compromission d'IBAN représente un risque financier direct pour les personnes concernées, exposées à d'éventuelles fraudes ou opérations bancaires non autorisées. Cette catégorie de données dépasse le simple désagrément pour constituer une menace tangible pour les intérêts patrimoniaux des individus.

Le nombre de personnes concernées — 24 millions de contrats d'abonnés — place cette violation parmi les plus importantes jamais enregistrées en France. L'ampleur de l'incident démontre l'impact systémique d'un défaut de sécurité dans les infrastructures d'un opérateur télécom majeur.

La méconnaissance de principes essentiels en matière de sécurité a été particulièrement soulignée par la CNIL. Les failles relevées (authentification VPN insuffisante, absence de détection des comportements anormaux) constituent des manquements à des mesures élémentaires que tout responsable de traitement gérant des données à cette échelle devrait avoir implémentées.

Les capacités financières des sociétés ont également été prises en compte pour garantir l'effet dissuasif de la sanction. Le RGPD prévoit en effet que les amendes doivent être effectives, proportionnées et dissuasives, ce qui implique de considérer les ressources de l'entité sanctionnée.

Le volume exceptionnel de plaintes — plus de 2 500 à la date de la décision — témoigne de l'impact concret ressenti par les personnes concernées et de l'inquiétude légitime suscitée par cette violation.

Enseignements et conséquences pratiques pour les responsables de traitement

Ces décisions délivrent plusieurs enseignements essentiels pour l'ensemble des responsables de traitement, particulièrement ceux opérant dans des secteurs exposés aux risques cyber.

Renforcer impérativement les mesures de sécurité techniques

L'affaire Free illustre que les mesures de sécurité doivent être proportionnées au volume et à la sensibilité des données traitées. Les organisations doivent notamment :

  • Mettre en œuvre une authentification multifacteur robuste pour tous les accès aux systèmes contenant des données personnelles, particulièrement les accès VPN permettant les connexions à distance
  • Déployer des outils de détection des comportements anormaux et des intrusions (SIEM, EDR) avec une supervision active et des procédures d'alerte opérationnelles
  • Procéder régulièrement à des audits de sécurité et à des tests d'intrusion pour identifier les vulnérabilités avant qu'elles ne soient exploitées par des attaquants
  • Documenter l'ensemble des mesures de sécurité mises en œuvre pour démontrer le respect de l'obligation de « accountability »

Préparer et structurer la communication de violation

Le manquement à l'article 34 du RGPD souligne l'importance d'une communication complète et transparente auprès des personnes concernées. Les notifications doivent obligatoirement comporter :

  • Une description claire de la nature de la violation et des catégories de données concernées
  • Les conséquences probables de la violation pour les personnes
  • Les mesures prises ou envisagées pour remédier à la violation et en atténuer les effets négatifs
  • Les coordonnées du délégué à la protection des données ou d'un autre point de contact
  • Les recommandations pratiques permettant aux personnes de se protéger (par exemple, surveillance de leurs comptes bancaires en cas de compromission d'IBAN)

Il est recommandé de préparer en amont des modèles de communication adaptés à différents scénarios de violation, permettant une réaction rapide et conforme en cas d'incident.

Maîtriser les durées de conservation des données

Le manquement relatif à la conservation excessive des données rappelle une obligation souvent sous-estimée : les responsables de traitement doivent mettre en place des processus opérationnels de purge automatisée ou semi-automatisée des données. Cela implique de :

  • Définir précisément les durées de conservation pour chaque finalité de traitement
  • Documenter ces durées dans le registre des activités de traitement et les politiques internes
  • Mettre en œuvre des mécanismes techniques permettant le tri et la suppression effective des données à l'échéance de leur durée de conservation
  • Conserver uniquement les données strictement nécessaires au respect d'obligations légales (par exemple, obligations comptables justifiant une conservation de dix ans)
  • Effectuer des audits périodiques pour vérifier l'effectivité des suppressions

Intégrer la sécurité dès la conception

Au-delà de la réaction à cette violation spécifique, ces sanctions rappellent l'importance des principes de privacy by design et de security by design. La sécurité ne peut être un ajout a posteriori mais doit être intégrée dès la conception des systèmes d'information et des traitements de données.

Conclusion

Ces décisions rappellent que la sécurité des données personnelles n'est pas une option mais une obligation légale dont le non-respect peut entraîner des conséquences financières majeures, sans compter l'atteinte à la réputation et la perte de confiance des clients. Pour les DPO, RSSI, directions juridiques et dirigeants, l'affaire Free constitue un signal clair : les investissements en cybersécurité, les processus de gouvernance des données et la préparation à la gestion de crise ne sont pas de simples mesures de conformité, mais des impératifs stratégiques.

Dans un contexte où les cyberattaques se multiplient et gagnent en sophistication, les responsables de traitement doivent adopter une approche proactive de la sécurité, fondée sur une évaluation continue des risques, la mise en œuvre de mesures techniques et organisationnelles appropriées, et une documentation rigoureuse de l'ensemble de ces démarches. Les décisions du 13 janvier 2026 démontrent que la CNIL n'hésitera pas à sanctionner lourdement les organisations qui ne respectent pas ces exigences essentielles.

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.

Nous contacter

harry@seror.fr - 06.83.79.73.23

Message sent! Thank you. We will contact us as soon as possible.

An error has occurred somewhere and it is not possible to submit the form. Please try again later or contact us via email.

Accueil

Protection des données personnelles

DPO externalisé

IA

Tech

Cybersécurité & gestion de crise

Avocat fondateur

Blog

Contact

email

Téléphone

linkedin

mentions légales

Politique de confidentialité

prendre rendez vous

envoyer un mail

Ourama - site internet pour avocat