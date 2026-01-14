Pourquoi la CNIL vient d'infliger une amende de 42 millions à Free et Free Mobile ?
Par Laurence - Publié le
La CNIL vient de lourdement sanctionner Free Mobile et Free pour manquements graves à leurs obligations en matière de protection des données personnelles. Dans deux décisions rendues le 13 janvier 2026, l’autorité française de protection des données a prononcé des amendes de 27 millions d’euros contre Free Mobile et de 15 millions d’euros contre Free, à la suite d’une cyberattaque ayant exposé les données de 24 millions d’abonnés.
Les faits remontent à octobre 2024, lorsqu’un pirate est parvenu à s’introduire dans le système d’information des deux sociétés. Cette intrusion a permis l’accès à des données personnelles relatives à 24 millions de contrats d’abonnés, incluant, dans certains cas, des coordonnées bancaires (IBAN) pour les clients disposant à la fois d’un abonnement Free Mobile et Free.
L’ampleur de la fuite et la sensibilité des données compromises ont rapidement suscité une vive inquiétude. Plus de 2 500 plaintes ont été déposées par des personnes concernées, déclenchant une enquête approfondie de la CNIL.
À l’issue de ses contrôles, la CNIL a estimé que les mesures de sécurité mises en place par Free Mobile et Free étaient manifestement insuffisantes, en violation de l’article 32 du RGPD, qui impose aux responsables de traitement de garantir un niveau de sécurité adapté aux risques.
L’autorité a notamment relevé que les procédures d’authentification pour l’accès aux VPN internes, utilisés notamment pour le télétravail, n’étaient pas suffisamment robustes. Elle a aussi considéré que les outils de détection des comportements anormaux sur les systèmes d’information se sont révélés inefficaces. De même, les mesures de protection n’étaient pas proportionnées au volume et à la nature hautement sensible des données traitées.
Pour la CNIL, si le risque zéro n’existe pas, les entreprises sont tenues d’en réduire la probabilité et l’impact, ce qui n’a pas été le cas ici.
La CNIL a également sanctionné les deux sociétés pour manquement à l’article 34 du RGPD, relatif à l’obligation d’informer les personnes concernées en cas de violation de données.
Si Free et Free Mobile ont bien mis en place un dispositif d’information — combinant un courriel, un numéro vert et un support via le délégué à la protection des données —, le message adressé aux abonnés a été jugé incomplet. Selon la CNIL, il ne permettait pas aux personnes concernées de comprendre clairement les conséquences concrètes de la fuite, mais aussi des mesures de protection qu’elles pouvaient adopter pour limiter les risques (fraude, usurpation d’identité, hameçonnage).
Un troisième manquement concerne spécifiquement Free Mobile, sanctionné pour non-respect du principe de limitation de la durée de conservation des données (article 5-1-e du RGPD). En effet, la CNIL a constaté que l’opérateur conservait des millions de données d’anciens abonnés sans justification valable, faute de mécanismes de tri permettant de distinguer les données encore nécessaires (notamment à des fins comptables) de celles devant être supprimées.
En cours de procédure, Free Mobile a engagé des actions correctives, notamment la mise en place d’un tri limitant la conservation des données comptables à dix ans, ainsi que la suppression partielle de données conservées de manière excessive. La CNIL a toutefois exigé que ces opérations soient entièrement finalisées sous six mois.
Outre les sanctions financières, la CNIL a enjoint aux deux sociétés de renforcer durablement leur sécurité, avec un délai de trois mois pour achever le déploiement des nouvelles mesures techniques et organisationnelles engagées depuis l’enquête. Avec cette décision, l’autorité veut tirer la sonnettes d'alarme : la protection des données personnelles, en particulier lorsqu’elles sont massives et sensibles, constitue une obligation centrale et non négociable. La sanction infligée à Free et Free Mobile figure parmi les plus lourdes prononcées en France ces dernières années et rappelle que les défaillances en matière de cybersécurité peuvent avoir un coût financier, juridique et réputationnel considérable.
Personne n'est à l'abri des virus et du phishing. Protégez vos fichiers et vos données personnelles, utilisez un logiciel de sécurité!
Consultez nos dossiers sur le sujet des antivirus pour le Mac. Ces articles sont constamment mis à jour et relayent les dernières promotions.
Une intrusion massive révélée en 2024
Les faits remontent à octobre 2024, lorsqu’un pirate est parvenu à s’introduire dans le système d’information des deux sociétés. Cette intrusion a permis l’accès à des données personnelles relatives à 24 millions de contrats d’abonnés, incluant, dans certains cas, des coordonnées bancaires (IBAN) pour les clients disposant à la fois d’un abonnement Free Mobile et Free.
L’ampleur de la fuite et la sensibilité des données compromises ont rapidement suscité une vive inquiétude. Plus de 2 500 plaintes ont été déposées par des personnes concernées, déclenchant une enquête approfondie de la CNIL.
Des failles de sécurité jugées inacceptables
À l’issue de ses contrôles, la CNIL a estimé que les mesures de sécurité mises en place par Free Mobile et Free étaient manifestement insuffisantes, en violation de l’article 32 du RGPD, qui impose aux responsables de traitement de garantir un niveau de sécurité adapté aux risques.
L’autorité a notamment relevé que les procédures d’authentification pour l’accès aux VPN internes, utilisés notamment pour le télétravail, n’étaient pas suffisamment robustes. Elle a aussi considéré que les outils de détection des comportements anormaux sur les systèmes d’information se sont révélés inefficaces. De même, les mesures de protection n’étaient pas proportionnées au volume et à la nature hautement sensible des données traitées.
Pour la CNIL, si le risque zéro n’existe pas, les entreprises sont tenues d’en réduire la probabilité et l’impact, ce qui n’a pas été le cas ici.
Une information jugée incomplète des abonnés
La CNIL a également sanctionné les deux sociétés pour manquement à l’article 34 du RGPD, relatif à l’obligation d’informer les personnes concernées en cas de violation de données.
Si Free et Free Mobile ont bien mis en place un dispositif d’information — combinant un courriel, un numéro vert et un support via le délégué à la protection des données —, le message adressé aux abonnés a été jugé incomplet. Selon la CNIL, il ne permettait pas aux personnes concernées de comprendre clairement les conséquences concrètes de la fuite, mais aussi des mesures de protection qu’elles pouvaient adopter pour limiter les risques (fraude, usurpation d’identité, hameçonnage).
Free Mobile épinglé pour une conservation excessive des données
Un troisième manquement concerne spécifiquement Free Mobile, sanctionné pour non-respect du principe de limitation de la durée de conservation des données (article 5-1-e du RGPD). En effet, la CNIL a constaté que l’opérateur conservait des millions de données d’anciens abonnés sans justification valable, faute de mécanismes de tri permettant de distinguer les données encore nécessaires (notamment à des fins comptables) de celles devant être supprimées.
En cours de procédure, Free Mobile a engagé des actions correctives, notamment la mise en place d’un tri limitant la conservation des données comptables à dix ans, ainsi que la suppression partielle de données conservées de manière excessive. La CNIL a toutefois exigé que ces opérations soient entièrement finalisées sous six mois.
Qu'en penser ?
Outre les sanctions financières, la CNIL a enjoint aux deux sociétés de renforcer durablement leur sécurité, avec un délai de trois mois pour achever le déploiement des nouvelles mesures techniques et organisationnelles engagées depuis l’enquête. Avec cette décision, l’autorité veut tirer la sonnettes d'alarme : la protection des données personnelles, en particulier lorsqu’elles sont massives et sensibles, constitue une obligation centrale et non négociable. La sanction infligée à Free et Free Mobile figure parmi les plus lourdes prononcées en France ces dernières années et rappelle que les défaillances en matière de cybersécurité peuvent avoir un coût financier, juridique et réputationnel considérable.
Besoin d'aide pour choisir votre logiciel de sécurité ?
Personne n'est à l'abri des virus et du phishing. Protégez vos fichiers et vos données personnelles, utilisez un logiciel de sécurité!
Consultez nos dossiers sur le sujet des antivirus pour le Mac. Ces articles sont constamment mis à jour et relayent les dernières promotions.
Les meilleurs antivirus pour mac