Le 13 janvier 2026, la CNIL frappe fort contre FREE et FREE Mobile après une cyberattaque majeure, révélant des failles graves de sécurité et de gouvernance des données personnelles de millions d’abonnés.
La CNIL a infligé 27 millions d’euros d’amende à FREE Mobile et 15 millions d’euros à FREE après une violation de données survenue en octobre 2024. Un attaquant a accédé aux informations personnelles liées à 24 millions de contrats d’abonnés, incluant des IBAN pour les clients communs aux deux entités. L’enquête de l’autorité française de protection des données met en cause des mesures de sécurité jugées insuffisantes, une détection inefficace des comportements anormaux et une information incomplète des personnes concernées. La décision souligne des manquements majeurs au RGPD, tant sur la sécurisation des systèmes que sur la gestion et la durée de conservation des données, dans un contexte de risques élevés pour les victimes.
Une intrusion révélatrice de failles structurelles
L’attaque détectée en octobre 2024 s’est produite dans un environnement pourtant critique pour la sécurité nationale des données, celui des télécommunications. L’intrus est parvenu à pénétrer le système d’information de FREE et de FREE Mobile, accédant à des données personnelles associées à 24 millions de contrats d’abonnés. Parmi ces informations figuraient des coordonnées sensibles, et dans certains cas des IBAN, lorsque les personnes étaient clientes des deux sociétés. Ce niveau d’exposition a immédiatement placé l’incident dans la catégorie des violations à haut risque au sens du RGPD.
La CNIL a ouvert un contrôle à la suite de plus de 2 500 plaintes déposées par des abonnés. L’enquête a établi que chaque société restait responsable du traitement des données de ses propres clients, tout en partageant des infrastructures et des pratiques communes. La formation restreinte de la CNIL a considéré que les mesures de sécurité déployées au moment des faits n’étaient pas adaptées à la quantité et à la sensibilité des données traitées.
L’autorité a notamment relevé une procédure d’authentification insuffisamment robuste pour l’accès aux VPN utilisés par les salariés, en particulier dans un contexte de travail à distance. Cette faiblesse a facilité l’intrusion initiale. Les dispositifs de détection des comportements anormaux se sont également révélés inefficaces, empêchant une identification rapide de l’attaque. Pour la CNIL, ces carences constituent une méconnaissance de principes essentiels de sécurité, même si le risque zéro n’existe pas. La logique du RGPD impose de réduire la probabilité d’une attaque et d’en limiter l’impact, ce qui n’a pas été fait ici.
Des obligations RGPD ignorées malgré l’alerte
Au-delà de la sécurité technique, la CNIL a sanctionné la manière dont FREE et FREE Mobile ont informé les personnes concernées. Les sociétés ont mis en place un dispositif en deux temps, combinant un courriel d’information et un numéro vert associé à un traitement interne des demandes via le délégué à la protection des données. Toutefois, le message envoyé ne comportait pas l’ensemble des informations exigées par l’article 34 du RGPD.
Selon la formation restreinte, ces omissions empêchaient les abonnés de comprendre immédiatement les conséquences concrètes de la violation et les mesures de protection qu’ils pouvaient adopter. Cette lacune est d’autant plus problématique que certaines données compromises, comme les IBAN, exposent directement les personnes à des risques de fraude financière.
FREE Mobile a par ailleurs été sanctionnée pour un manquement distinct, relatif à la durée de conservation des données. La CNIL a constaté l’absence de mécanisme de tri permettant de distinguer les informations devant être conservées à des fins comptables de celles devant être supprimées. Des millions de données d’anciens abonnés étaient ainsi conservées sans justification pendant des périodes excessives. En cours de procédure, l’opérateur a engagé un tri pour limiter la conservation à dix ans pour les seules obligations comptables et a supprimé une partie des données concernées. La CNIL lui impose désormais de finaliser cette purge dans un délai de six mois.
Les montants des sanctions, 27 millions d’euros pour FREE Mobile et 15 millions d’euros pour FREE, tiennent compte des capacités financières des groupes, du nombre de personnes affectées et du caractère hautement personnel des données exposées. Cette décision illustre une approche de plus en plus offensive de la CNIL face aux défaillances cyber des acteurs stratégiques, où la protection des données devient un enjeu de renseignement économique et de confiance collective.
Cette affaire rappelle que la sécurité des données abonnés, au cœur des infrastructures télécoms, constitue désormais un enjeu critique de cyberintelligence autant qu’une obligation réglementaire. Il va être interessant de suivre les autres cas que la CNIL a dû traiter : SFR, Bouygues, CorsicaGSM, Etc.
