Une cyberattaque survenue en octobre 2024 a exposé des données personnelles liées à 24 millions de contrats d’abonnés des sociétés FREE MOBILE et FREE, avec, pour certains clients, la compromission d’un IBAN. Le 13 janvier 2026, la CNIL a frappé fort : 27 millions d’euros d’amende pour FREE MOBILE et 15 millions d’euros pour FREE. Au-delà du montant, ces décisions rappellent trois exigences essentielles du RGPD : sécuriser efficacement les données, informer clairement les personnes concernées et ne pas conserver les informations plus longtemps que nécessaire.
1. Une attaque massive… et une enquête alimentée par des milliers de plaintes
L’affaire prend sa source en octobre 2024, lorsqu’un attaquant réussit à s’infiltrer dans le système d’information des sociétés et à accéder à des données personnelles concernant 24 millions de contrats d’abonnés. Dans certains cas — lorsque les personnes étaient clientes à la fois de FREE MOBILE et de FREE — la fuite aurait inclus un élément particulièrement sensible : l’IBAN.
Cet épisode a suscité une réaction très forte des abonnés : plus de 2 500 plaintes auraient été déposées à ce jour. Dans ce type de situation, la CNIL (Commission nationale de l’informatique et des libertés) peut diligenter des contrôles pour vérifier si l’entreprise a respecté ses obligations en matière de protection des données.
Point important pour comprendre la suite : la CNIL a considéré que chaque société était responsable des traitements concernant ses propres abonnés. Autrement dit, même lorsqu’un groupe comprend plusieurs entités, la conformité RGPD s’apprécie entité par entité, en fonction de qui décide des finalités et des moyens du traitement (en termes simples : qui “pilote” la gestion des données).
À l’issue du contrôle, la formation restreinte (l’organe de la CNIL chargé de prononcer les sanctions) a retenu plusieurs manquements et a prononcé des amendes significatives, en tenant compte notamment :
- des capacités financières des sociétés ;
- de la méconnaissance de principes essentiels de sécurité ;
- du nombre de personnes concernées ;
- du caractère hautement personnel des données compromises ;
- des risques concrets liés à la fuite, en particulier lorsque des IBAN sont concernés.
2. Sécurité des données : quand l’“indispensable” n’est pas au rendez-vous
Le premier reproche — et le plus lourd de conséquences — concerne l’obligation d’assurer la sécurité des données personnelles (article 32 du RGPD). Le RGPD n’impose pas une sécurité “parfaite”, mais une sécurité adaptée aux risques, tenant compte de la nature des données, du volume traité et des menaces connues.
Dans ce dossier, la formation restreinte a estimé qu’au jour de la violation, certaines mesures élémentaires n’étaient pas correctement déployées, ce qui aurait pu rendre l’attaque plus difficile.
Parmi les points relevés :
- une procédure d’authentification insuffisamment robuste pour se connecter au VPN (notamment utilisé pour le travail à distance des employés) ;
- des mesures de détection des comportements anormaux sur le système d’information jugées inefficaces.
Pourquoi la CNIL insiste-t-elle autant sur ces sujets ? Parce que, dans la plupart des cyberattaques, l’accès initial se fait précisément via des portes d’entrée “pratiques” (comptes, accès distants, VPN, outils collaboratifs). Une authentification fragile ou une surveillance inefficace, c’est souvent la différence entre une tentative bloquée… et une intrusion réussie.
La CNIL rappelle également une idée centrale en cybersécurité : on ne peut pas supprimer tout risque, mais on peut réduire fortement la probabilité d’un incident et limiter sa gravité si l’incident survient malgré tout.
À noter : les sociétés auraient mis en place plusieurs mesures de renforcement au cours de la procédure, et la CNIL leur a enjoint d’achever la mise en œuvre de ces nouvelles mesures dans un délai de trois mois.
Leçon pratique pour les organisations (même hors secteur télécom) : la conformité RGPD ne se limite pas à des documents. Sur la sécurité, la CNIL attend des mesures effectives, éprouvées, cohérentes avec le niveau de risque — et capables de résister à des attaques réalistes (authentification renforcée, supervision, alertes pertinentes, réaction rapide).
3. Informer les personnes : un e-mail ne suffit pas s’il n’explique pas clairement les risques
Deuxième manquement : l’obligation de communiquer aux personnes concernées lorsqu’une violation de données est susceptible d’engendrer un risque élevé (article 34 du RGPD). Là encore, l’idée est simple : quand l’incident peut exposer les personnes (fraude, usurpation d’identité, hameçonnage ciblé…), elles doivent être prévenues pour pouvoir se protéger.
Dans cette affaire, la CNIL relève que les sociétés avaient mis en place une information “à deux niveaux” :
- un courriel d’information adressé aux personnes concernées ;
- un numéro vert et un dispositif interne de gestion des demandes auprès du délégué à la protection des données (DPO).
Sur le principe, cette organisation à deux niveaux peut sembler pertinente : un message initial pour alerter, puis un canal d’assistance pour répondre aux questions. Pourtant, la formation restreinte a considéré que le courriel ne contenait pas toutes les informations nécessaires prévues par l’article 34, paragraphe 2 du RGPD.
En clair, selon la CNIL, certaines omissions ne permettaient pas aux personnes de :
- comprendre directement les conséquences possibles de la violation ;
- identifier clairement les mesures de protection à mettre en place.
C’est un point très opérationnel : en matière de violation de données, la qualité de l’information est décisive. Un message trop général (“des données ont pu être consultées”) sans explication sur les risques et les bons réflexes laisse les personnes désarmées, alors même que les premières heures et les premiers jours sont souvent ceux où les tentatives de fraude (phishing, faux conseillers, fausses relances) se multiplient.
Bonnes pratiques à retenir : une communication RGPD “utile” doit expliquer, avec des mots simples :
- quelles catégories de données sont concernées (ex. coordonnées, identifiants, IBAN…) ;
- ce que cela peut impliquer concrètement (ex. tentatives d’escroquerie, usurpation, arnaques ciblées) ;
- quoi faire immédiatement (ex. vigilance sur les e-mails/SMS, vérification des prélèvements, procédures de signalement, canaux officiels) ;
- comment contacter un point d’entrée fiable (DPO, support dédié).
4. Conserver trop longtemps, c’est exposer plus : l’autre faute reprochée à FREE MOBILE
Troisième manquement, cette fois spécifique à FREE MOBILE : l’obligation de ne pas conserver les données personnelles au-delà de ce qui est nécessaire (principe de “durée de conservation limitée”, article 5-1-e du RGPD).
Lors du contrôle, la CNIL a constaté que la société n’avait pas mis en place de mesures permettant de trier les données des anciens abonnés : l’objectif est de ne conserver, après la fin du contrat, que ce qui est réellement nécessaire (par exemple pour des obligations comptables), puis de supprimer le reste lorsque la conservation n’est plus justifiée.
La formation restreinte rappelle une règle essentielle et souvent sous-estimée : la conformité RGPD implique de piloter une véritable mécanique de cycle de vie des données. Cela suppose :
- des durées de conservation définies (par finalité) ;
- des règles de tri (ce qu’on garde / ce qu’on archive / ce qu’on supprime) ;
- une capacité technique à purger réellement les bases et historiques.
Sur la base des constatations et des déclarations de l’entreprise, la CNIL a considéré que FREE MOBILE avait conservé des millions de données “sans justification” pendant une durée excessive.
En cours de procédure, la société aurait engagé un tri visant à conserver pendant dix ans les seules données nécessaires au respect d’obligations comptables et aurait supprimé une partie des données conservées trop longtemps. La CNIL a toutefois exigé d’aller au bout : FREE MOBILE a été enjointe de finaliser le tri et la purge dans un délai de six mois à compter de la notification de la délibération.
Pourquoi ce sujet est stratégique ? Parce qu’en cas de violation de données, “ce qui fuit” dépend directement de “ce qui est stocké”. Réduire les volumes inutiles, c’est réduire l’exposition, donc le risque… et souvent l’ampleur des conséquences (juridiques, réputationnelles, opérationnelles).
A retenir :
- Sécuriser l’accès aux systèmes critiques (notamment les accès distants) avec des mesures robustes et testées.
- Mettre en place une détection efficace des comportements anormaux et une réponse rapide aux alertes.
- En cas de violation, informer les personnes avec un message clair, complet et actionnable.
- Mettre en œuvre une politique de conservation réelle : tri, archivage utile, suppression automatique à échéance.
Les décisions concernées sont les délibérations SAN-2026-001 et SAN-2026-002 (8 janvier 2026), rendues publiques à la suite de la décision de sanction annoncée le 13 janvier 2026.
***
Pour toute demande de conseil juridique, n’hésitez pas à nous contacter. Vous pouvez dès à présent demander un devis gratuit ici.
