La Commission nationale de l’informatique et des libertés (CNIL) a annoncé, le 13 janvier 2026, deux sanctions majeures à l’encontre des sociétés FREE MOBILE et FREE. En cause : de graves manquements à leurs obligations en matière de protection des données personnelles. L’autorité de régulation a prononcé une amende de 27 millions d’euros contre FREE MOBILE et de 15 millions d’euros contre FREE, portant le montant total des sanctions à 42 millions d’euros.
Une cyberattaque d’ampleur révélée en octobre 2024
Ces décisions font suite à une cyberattaque survenue en octobre 2024, au cours de laquelle un attaquant est parvenu à s’introduire dans le système d’information des deux sociétés. Cette intrusion a conduit à la compromission de données personnelles relatives à près de 24 millions de contrats d’abonnés. Parmi les informations exposées figuraient notamment des coordonnées bancaires (IBAN) pour les personnes clientes à la fois de FREE MOBILE et de FREE.
L’ampleur de la violation et la sensibilité des données concernées ont suscité une vive inquiétude parmi les abonnés, entraînant le dépôt de plus de 2 500 plaintes à ce jour. Saisie de ces signalements, la CNIL a diligenté un contrôle approfondi afin d’évaluer la conformité des pratiques des deux opérateurs au regard du Règlement général sur la protection des données (RGPD).
Des défaillances graves en matière de sécurité des données
À l’issue de son enquête, la formation restreinte de la CNIL, l’organe chargé de prononcer les sanctions a constaté un manquement à l’obligation d’assurer la sécurité des données personnelles, prévue par l’article 32 du RGPD. Selon l’autorité, les mesures techniques et organisationnelles mises en place par FREE MOBILE et FREE au moment des faits étaient inadaptées au regard des risques encourus.
La CNIL a notamment relevé des faiblesses dans les procédures d’authentification permettant l’accès aux réseaux privés virtuels (VPN) des sociétés, utilisés notamment pour le télétravail des salariés. Ces dispositifs de sécurité ont été jugés insuffisamment robustes. Par ailleurs, les mécanismes de détection des comportements anormaux sur les systèmes d’information se sont révélés inefficaces, retardant l’identification de l’attaque.
Compte tenu du volume des données traitées, de leur nature sensible et des risques élevés pour les personnes concernées, la CNIL a estimé que les sociétés n’avaient pas déployé un niveau de protection approprié. Elle a rappelé que, si le risque zéro n’existe pas, les responsables de traitement ont l’obligation d’en réduire la probabilité et d’en limiter les conséquences.
Une information jugée insuffisante des abonnés concernés
La CNIL a également sanctionné les deux sociétés pour manquement à leur obligation d’information des personnes concernées par la violation de données, telle que prévue à l’article 34 du RGPD. Si FREE MOBILE et FREE ont bien mis en place un dispositif d’information en deux temps, un courriel adressé aux abonnés et un accompagnement via un numéro vert et le délégué à la protection des données, le contenu du message initial a été jugé incomplet.
Selon la formation restreinte, le courriel ne comportait pas l’ensemble des informations requises par la réglementation, notamment celles permettant aux personnes concernées de comprendre clairement les conséquences potentielles de la violation et les mesures concrètes à adopter pour s’en prémunir.
Conservation excessive des données chez FREE MOBILE
Un troisième manquement a été spécifiquement retenu à l’encontre de FREE MOBILE : la violation du principe de limitation de la durée de conservation des données personnelles, prévu à l’article 5-1-e du RGPD. La CNIL a constaté que la société conservait, sans justification valable, des données de millions d’anciens abonnés pendant une durée excessive.
Au moment du contrôle, aucun dispositif efficace ne permettait de trier les données afin de ne conserver que celles strictement nécessaires à des obligations légales, notamment comptables. En cours de procédure, FREE MOBILE a engagé des actions correctrices, en initiant un tri des données et en procédant à la suppression d’une partie des informations conservées au-delà des durées légales.
Des injonctions assorties de délais stricts
Tenant compte de la gravité des manquements, du nombre de personnes concernées, du caractère hautement personnel des données compromises et des capacités financières des entreprises, la CNIL a fixé le montant des sanctions à un niveau dissuasif. Elle a également assorti sa décision d’injonctions précises.
FREE MOBILE et FREE disposent ainsi d’un délai de trois mois pour finaliser le renforcement de leurs mesures de sécurité. De son côté, FREE MOBILE devra achever, dans un délai de six mois, le tri et la purge des données personnelles conservées sans justification.
Par ces décisions, la CNIL adresse un signal fort aux acteurs du secteur des télécommunications : la protection des données personnelles constitue une obligation centrale, dont le non-respect expose à des sanctions financières lourdes et à un risque réputationnel majeur.
