Violations de données personnelles : la Cnil condamne FREE de plus 40 millions d’euros d’amende

Dans deux décisions du 13 janvier 2026, rendues par la formation restreinte de la Commission nationale de l’informatique et des libertés (ci-après la « Cnil »), après délibérations du 8 janvier 2026, les sociétés FREE et FREE MOBILE ont été sanctionnées à une amende cumulée de 42 millions d’euros. Ces décisions font suite à un nombre particulièrement élevé de plaintes relatives à des violations de données personnelles, illustrant la volonté de la Cnil d’appliquer de manière rigoureuse les exigences de sécurité prévues par l’article 32 du Règlement général sur la protection des données (ci-après le « RGPD »). 

Un contexte marqué par une violation massive des données des abonnés 

En octobre 2024, les systèmes d’information des sociétés FREE et FREE MOBILE ont fait l’objet d’une cyberattaque ayant permis à un tiers d’accéder à des données personnelles relatives à près de 24 millions de contrats d’abonnés. 

Lorsque les personnes concernées étaient clientes à la fois de FREE MOBILE et de FREE, certaines données bancaires, notamment des IBAN, ont également été compromises. 

À la suite de cet incident, plus de 2 500 plaintes ont été adressées à la Cnil. Ces signalements ont conduit l’autorité de contrôle à diligenter une procédure de contrôle, laquelle a mis en évidence plusieurs manquements au RGPD, imputables à chacune des sociétés en leur qualité de responsables de traitement pour les données de leurs propres abonnés. 

Des manquements graves au RGPD  

Les sanctions prononcées à l’encontre de FREE et FREE MOBILE reposent principalement sur un manquement à l’article 32 du RGPD, qui impose aux responsables de traitement la mise en œuvre de mesures techniques et organisationnelles appropriées afin de garantir la sécurité des données personnelles. 

La Cnil a notamment relevé que les procédures d’authentification mises en place pour l’accès aux réseaux privés virtuels (VPN), utilisés en particulier pour le travail à distance des salariés, n’étaient pas suffisamment robustes. Elle a également constaté l’inefficacité des dispositifs destinés à détecter les comportements anormaux sur les systèmes d’information des sociétés. 

Au regard du volume et de la nature des données traitées, la formation restreinte a estimé que les mesures de sécurité déployées n’étaient pas adaptées, rappelant que si le risque zéro n’existe pas, il appartient néanmoins aux organismes d’en réduire la probabilité et d’en limiter les conséquences. 

Par ailleurs, la Cnil a sanctionné un manquement à l’obligation d’information des personnes concernées par la violation de données, prévue à l’article 34 du RGPD. Si FREE et FREE MOBILE avaient mis en place une communication en deux temps – via l’envoi d’un courriel d’information, complété par un numéro vert et un dispositif interne de gestion des demandes auprès du délégué à la protection des données –, la Cnil a considéré que le courriel adressé aux abonnés était incomplet. Celui-ci ne permettait pas aux personnes concernées de comprendre clairement les conséquences de la violation ni d’identifier les mesures concrètes à adopter pour s’en protéger. 

Enfin, la société FREE MOBILE a été sanctionnée pour un manquement au principe de limitation de la durée de conservation des données, prévu à l’article 5, § 1, e) du RGPD. La Cnil a constaté l’absence de mécanisme effectif de tri des données des anciens abonnés, conduisant à la conservation, sans justification, de millions de données pendant une durée excessive. 

Une violation de données qui coûte cher  

Cette décision s’inscrit dans une volonté affirmée de la Cnil de sanctionner fermement les manquements aux obligations issues du RGPD. À titre de comparaison, l’autorité avait récemment condamné les sociétés Mobius Solutions Ltd, ancien prestataire de Deezer, et Nexpublica France, pour des violations de données et des failles de sécurité, à des amendes respectives d’un million et de 1,7 million d’euros. 

Dans le cas de FREE et FREE MOBILE, le montant des sanctions a été déterminé au regard de plusieurs critères propres à l’espèce : les capacités financières des sociétés, le nombre particulièrement élevé de personnes concernées, l’importance du nombre de plaignants, ainsi que la nature hautement personnelle de certaines données compromises, notamment les coordonnées bancaires. 

La Cnil a ainsi estimé que les principes essentiels de sécurité des données avaient été méconnus, justifiant des sanctions d’une ampleur inédite au regard du volume de contrats affectés. 

Un climat pesant lié à la montée des cyberattaques  

Cette décision intervient dans un contexte de forte augmentation des cyberattaques visant les opérateurs de télécommunications. FREE, quatrième opérateur mobile en France, a été particulièrement touchée par cette tendance. En octobre 2024, elle était victime d’une attaque permettant l’accès aux données personnelles de 24 millions d’utilisateurs. 

Toutefois, elle n’est pas un cas isolé. D’autres opérateurs, tels que Bouygues Télécom, SFR ou Orange, ont également été confrontés à des attaques portant atteinte à la confidentialité des données de leurs clients. Récemment, Orange a notamment détecté une cyberattaque sur l’un de ses systèmes, entraînant des perturbations de service et le blocage temporaire de l’accès à certaines plateformes. De son côté, SFR a informé de nombreux abonnés, fin 2025, d’une violation de leurs données personnelles consécutive à une attaque informatique. 

Ces événements rappellent concrètement l’obligation d’information pesant sur les organismes en cas de fuite de données. Lorsqu’une violation est susceptible d’engendrer un risque pour les droits et libertés des personnes, elle doit être notifiée à la Cnil dans un délai de 72 heures et, en cas de risque élevé, portée à la connaissance des personnes concernées.  

Une urgence quant à la sécurité des traitements 

Dans un environnement marqué par des menaces toujours plus sophistiquées, les opérateurs téléphoniques doivent adapter en permanence leurs dispositifs de sécurité. La Cnil rappelle à cet égard l’importance des mesures préventives, mais également la conduite à tenir lorsqu’une violation de données est avérée, afin de limiter les impacts et prévenir de nouvelles atteintes. 

Dans ses décisions, la Cnil est restée ferme. Elle a exigé de FREE et FREE MOBILE l’adoption de mesures de sécurité renforcées, la mise en conformité de leurs traitements avec le RGPD, ainsi que la réalisation d’un tri des données relatives aux contrats résiliés depuis plus de dix ans. Ces actions devront être achevées dans un délai maximal de six mois. 

Cette sanction d’un montant exceptionnel illustre les préoccupations croissantes des autorités publiques en matière de protection des données personnelles. Dans un contexte où les cyberattaques se multiplient, chaque faille ou manquement au RGPD expose les organisations à des risques majeurs : atteinte à la confiance des utilisateurs, sanctions financières, et conséquences réputationnelles durables. 

LOCK-T 

Avec la participation de Karly Mapangou Nunez, stagiaire