Pourquoi la CNIL vient d'infliger une amende de 42 millions à Free et Free Mobile ?

La CNIL vient de lourdement sanctionner Free Mobile et Free pour manquements graves à leurs obligations en matière de protection des données personnelles. Dans deux décisions rendues le 13 janvier 2026, l’autorité française de protection des données a prononcé des amendes de 27 millions d’euros contre Free Mobile et de 15 millions d’euros contre Free, à la suite d’une cyberattaque ayant exposé les données de 24 millions d’abonnés.

Une intrusion massive révélée en 2024

Les faits remontent à octobre 2024, lorsqu’un pirate est parvenu à s’introduire dans le système d’information des deux sociétés. Cette intrusion a permis l’accès à des données personnelles relatives à 24 millions de contrats d’abonnés, incluant, dans certains cas, des coordonnées bancaires (IBAN) pour les clients disposant à la fois d’un abonnement Free Mobile et Free.

L’ampleur de la fuite et la sensibilité des données compromises ont rapidement suscité une vive inquiétude. Plus de 2 500 plaintes ont été déposées par des personnes concernées, déclenchant une enquête approfondie de la CNIL.

Des failles de sécurité jugées inacceptables

À l’issue de ses contrôles, la CNIL a estimé que les mesures de sécurité mises en place par Free Mobile et Free étaient manifestement insuffisantes, en violation de l’article 32 du RGPD, qui impose aux responsables de traitement de garantir un niveau de sécurité adapté aux risques.

L’autorité a notamment relevé que les procédures d’authentification pour l’accès aux VPN internes, utilisés notamment pour le télétravail, n’étaient pas suffisamment robustes. Elle a aussi considéré que les outils de détection des comportements anormaux sur les systèmes d’information se sont révélés inefficaces. De même, les mesures de protection n’étaient pas proportionnées au volume et à la nature hautement sensible des données traitées.

Pour la CNIL, si le risque zéro n’existe pas, les entreprises sont tenues d’en réduire la probabilité et l’impact, ce qui n’a pas été le cas ici.

Une information jugée incomplète des abonnés

La CNIL a également sanctionné les deux sociétés pour manquement à l’article 34 du RGPD, relatif à l’obligation d’informer les personnes concernées en cas de violation de données.

Si Free et Free Mobile ont bien mis en place un dispositif d’information — combinant un courriel, un numéro vert et un support via le délégué à la protection des données —, le message adressé aux abonnés a été jugé incomplet. Selon la CNIL, il ne permettait pas aux personnes concernées de comprendre clairement les conséquences concrètes de la fuite, mais aussi des mesures de protection qu’elles pouvaient adopter pour limiter les risques (fraude, usurpation d’identité, hameçonnage).

Free Mobile épinglé pour une conservation excessive des données

Un troisième manquement concerne spécifiquement Free Mobile, sanctionné pour non-respect du principe de limitation de la durée de conservation des données (article 5-1-e du RGPD). En effet, la CNIL a constaté que l’opérateur conservait des millions de données d’anciens abonnés sans justification valable, faute de mécanismes de tri permettant de distinguer les données encore nécessaires (notamment à des fins comptables) de celles devant être supprimées.

En cours de procédure, Free Mobile a engagé des actions correctives, notamment la mise en place d’un tri limitant la conservation des données comptables à dix ans, ainsi que la suppression partielle de données conservées de manière excessive. La CNIL a toutefois exigé que ces opérations soient entièrement finalisées sous six mois.