la cnil sanctionne free et free mobile avec une amende de 42 millions d’euros pour des violations massives de données personnelles, soulignant l'importance de la protection des informations privées.

La CNIL inflige une amende de 42 millions d’euros à Free et Free Mobile pour violation massive de données personnelles

  • 10

Le signal envoyé par la CNIL est difficile à ignorer : une sanction financière de 42 millions d’euros visant Free et Free Mobile, à la suite d’une violation de grande ampleur ayant exposé des données personnelles liées à des millions de contrats. Derrière le chiffre, il y a un récit devenu familier dans la vie numérique contemporaine : une intrusion, une base d’informations convoitée, des clients qui découvrent que leur identité, leurs coordonnées ou même un IBAN peuvent circuler. L’affaire illustre aussi la manière dont la protection des données s’est transformée en enjeu industriel et juridique, où l’on ne juge pas seulement l’existence de mesures de sécurité, mais leur pertinence face au risque et leur capacité à résister à l’épreuve du réel.

Sommaire

La décision intervient après une attaque remontant à octobre 2024, et elle s’appuie sur une lecture stricte des obligations du RGPD. Au-delà de l’amende, l’autorité exige des correctifs concrets sous délai, ce qui revient à placer l’opérateur sous une forme de pression opérationnelle durable. Free, de son côté, conteste le caractère « inédit » de la sévérité et annonce un recours. À travers cette confrontation, une question traverse tout le secteur : qu’est-ce qu’une sécurité « appropriée » quand on gère des volumes massifs de données d’abonnés et des systèmes exposés en permanence ?

Amende de 42 millions d’euros : pourquoi la CNIL sanctionne Free et Free Mobile après la fuite d’octobre 2024

La CNIL a prononcé une amende totale de 42 millions d’euros en distinguant les responsabilités : 27 millions d’euros pour Free Mobile et 15 millions d’euros pour Free. Le montant frappe parce qu’il reste rare à l’échelle française, mais aussi parce qu’il vise deux entités d’un même groupe, Iliad, ce qui met en lumière la réalité des architectures partagées et des frontières parfois floues entre filiales. En clair : lorsqu’un incident traverse plusieurs systèmes et plusieurs métiers, l’autorité ne se contente pas d’un responsable unique, elle examine la chaîne complète de traitement.

L’origine est une violation de sécurité révélée en octobre 2024. Les éléments repris par l’autorité décrivent un attaquant parvenu à s’introduire dans le système d’information et à accéder à une volumétrie considérable de données liées à des contrats d’abonnés. Le périmètre évoqué tourne autour de plus de 24 millions de contrats concernés, ce qui ne veut pas dire 24 millions de personnes distinctes dans tous les cas, mais reflète une exposition massive et une surface d’impact élevée. Quand une base est aussi large, la question n’est plus seulement « qui sera victime ? », mais « quel type de fraude devient industriellement possible ? »

Les catégories de données mentionnées sont typiques d’un opérateur télécom : informations d’identité, coordonnées, éléments contractuels. Pour certains clients, l’exposition aurait inclus un IBAN, notamment lorsque les personnes étaient à la fois clientes de Free et de Free Mobile. Un IBAN, pris seul, ne suffit pas à vider un compte, mais l’association avec un nom, une adresse, un e-mail ou un numéro de téléphone crée une matière première idéale pour l’ingénierie sociale : faux mails de « mise à jour de dossier », appels se faisant passer pour un service fraude, ou tentatives d’ouverture de compte avec des justificatifs falsifiés.

La décision ne s’arrête pas au volet financier. La CNIL ordonne aussi la mise en œuvre de « mesures techniques et organisationnelles appropriées » dans un délai de trois mois. Ce type d’injonction est déterminant : il transforme une sanction en programme de transformation accéléré, avec une exigence de résultats observables. Sur le terrain, cela peut signifier renforcer la segmentation, revoir les habilitations, améliorer la journalisation, ou durcir des procédures internes qui, jusque-là, étaient jugées suffisantes.

La dynamique de l’affaire s’est aussi jouée sur la réaction des personnes concernées. Plus de 2 500 plaintes ont été adressées à l’autorité, ce qui contribue à déclencher et à nourrir le contrôle. Dans les faits, ces plaintes reflètent une anxiété concrète : « Vais-je être ciblé par des escrocs ? », « Mon identité va-t-elle servir à un crédit ? », « Dois-je changer de banque ? ». C’est précisément cet écart entre le vécu des clients et les discours techniques qui rend la décision aussi suivie par le grand public.

Enfin, l’affaire comporte un volet pénal : un mineur de 16 ans, soupçonné d’être à l’origine du piratage, a été mis en examen en janvier 2025. Cet élément rappelle que la sophistication d’une attaque n’est pas toujours corrélée à l’âge, et que des compétences offensives peuvent se former très tôt, notamment via des communautés en ligne. Insight final : la sanction financière attire les regards, mais la véritable question posée au marché est celle de la résilience face à des profils d’attaquants imprévisibles.

la cnil sanctionne free et free mobile avec une amende de 42 millions d’euros pour une violation massive de données personnelles, soulignant l'importance de la protection des informations privées.

Délibération SAN-2026-001 et logique de contrôle : du signalement à la décision publique

La communication de la CNIL s’appuie sur une délibération rendue publique, identifiée comme SAN-2026-001 et publiée sur Légifrance début janvier. Ce détail compte, car une décision publiée n’est pas seulement une punition : c’est un document pédagogique pour tout le secteur. Les DPO, juristes et RSSI y cherchent des indices sur l’interprétation de l’article 32 du RGPD, sur la façon dont l’autorité évalue l’« état de l’art », et sur ce qu’elle considère comme un niveau de preuve acceptable.

Le cycle est désormais bien installé : incident, retours clients, plaintes, contrôles, échanges contradictoires, puis décision. Mais chaque étape peut peser dans l’appréciation finale. Une entreprise capable de documenter précisément sa chronologie (détection, containment, analyses, décisions) se place souvent en meilleure posture que celle qui improvise. Et c’est là que la « gestion de crise » devient une composante de la protection des données au même titre que le chiffrement ou la segmentation réseau.

Dans ce dossier, la dimension « réaction » est aussi discutée que la dimension « prévention ». Le régulateur ne se contente pas de demander : « Aviez-vous des verrous ? ». Il s’interroge également : « Avez-vous su qualifier rapidement ? », « Avez-vous informé correctement ? », « Avez-vous contenu et prouvé ? ». Question rhétorique que beaucoup d’entreprises se posent depuis : si demain un incident comparable survient, aurons-nous des traces exploitables, ou seulement des impressions ? Insight final : en matière RGPD, la conformité se juge autant à la qualité des dispositifs qu’à la qualité des preuves.

Pour comprendre les obligations, il faut maintenant regarder ce que le RGPD exige concrètement et comment la CNIL interprète la notion de sécurité « appropriée ».

RGPD et article 32 : la “sécurité appropriée” au cœur de la sanction CNIL contre Free

Le nœud juridique de cette sanction se lit à travers l’article 32 du RGPD, celui qui impose des mesures techniques et organisationnelles « appropriées » pour garantir un niveau de sécurité adapté au risque. Le mot « approprié » est volontairement souple : il oblige les entreprises à raisonner, à arbitrer et à démontrer. Dans le cas d’un opérateur comme Free ou Free Mobile, l’équation est encore plus exigeante, car la volumétrie des abonnés, la criticité des services et la diversité des systèmes augmentent mécaniquement l’exposition.

Dans la pratique, « approprié » signifie plusieurs choses à la fois. D’abord, la sécurité doit être proportionnée à la sensibilité des informations : des données d’identité et de contact sont déjà attractives, et l’ajout de coordonnées bancaires (même partielles) accroît la valeur frauduleuse. Ensuite, l’organisation doit être cohérente : on attend une gouvernance d’accès, des revues d’habilitations, une gestion sérieuse des secrets et une capacité à détecter des comportements anormaux. Enfin, l’entreprise doit pouvoir prouver ce qu’elle fait : procédures écrites, journaux, audits, résultats de tests, éléments de remédiation.

Pour rendre ces exigences concrètes, imaginons un fil conducteur : Nadia, responsable conformité dans une entreprise de services numériques qui gère, elle aussi, des données d’abonnés. En lisant une décision comme celle visant Free, elle ne cherche pas des recettes miracles, mais des points de comparaison. Elle se demande : « Avons-nous un inventaire de nos données ? », « Qui peut extraire une base clients ? », « À quoi ressemble un pic de requêtes suspect ? ». Le RGPD devient alors un outil de pilotage, pas seulement une contrainte.

Mesures techniques et organisationnelles : ce que les entreprises doivent pouvoir démontrer

Quand la CNIL parle de mesures « techniques et organisationnelles », elle vise un ensemble qui dépasse largement l’IT. Techniquement, on pense à la segmentation, au chiffrement, à la supervision, à l’authentification forte, et aux sauvegardes protégées. Organisationnellement, on parle de processus : validation des accès, formation, gestion d’incident, et arbitrage budgétaire. Or, l’erreur fréquente consiste à empiler des outils sans gouvernance, ce qui donne une illusion de contrôle.

Voici une liste d’exemples concrets que Nadia pourrait utiliser comme grille de lecture interne, en écho aux attentes généralement associées à l’article 32 :

  • Contrôle des accès : principe du moindre privilège, revues régulières, suppression rapide des comptes obsolètes.
  • Traçabilité : journaux centralisés, horodatage fiable, conservation suffisante pour enquêter.
  • Détection : alertes sur comportements atypiques (export massif, connexions inhabituelles, escalade de privilèges).
  • Protection des données : chiffrement au repos et en transit quand pertinent, rotation des secrets, cloisonnement.
  • Gestion de crise : playbooks, exercices, chaîne de décision, scénarios de notification aux autorités et aux clients.

Cette liste n’est pas un « catalogue CNIL », mais une façon pragmatique de comprendre ce que l’autorité attend quand elle parle d’adéquation au risque. Et l’adéquation se prouve, notamment lors d’un contrôle, par des éléments datés : comptes rendus d’audit, tickets de correction, preuves de tests, résultats d’exercices.

La décision visant Free met aussi en évidence un point sensible : la gestion après compromission. Dans les crises réelles, la tentation est grande de se concentrer sur le colmatage technique. Pourtant, l’autorité examinera aussi la communication, la qualification et la documentation. Insight final : la sécurité « appropriée » n’est pas une photographie d’outils, c’est une capacité durable à prévenir, détecter, contenir et prouver.

Cette lecture du RGPD conduit naturellement à la question suivante : comment une fuite de cette nature se transforme-t-elle en coûts multiples, bien au-delà de l’amende ?

Impact pour les abonnés et pour Free : au-delà de l’amende, les coûts cachés d’une violation de données personnelles

Une amende de 42 millions d’euros est spectaculaire, mais elle ne représente qu’une partie de l’addition. Dans une violation impliquant des données personnelles à grande échelle, les coûts se répartissent sur plusieurs lignes : remédiation, relation client, audits, conseils juridiques, contentieux, et parfois perte de revenus liée à la réputation. Le secteur télécom est particulièrement exposé, car le service est quotidien, la concurrence vive, et le changement d’opérateur relativement simple pour une partie des consommateurs.

Pour les abonnés, l’impact est rarement immédiat sous la forme d’un prélèvement frauduleux (un IBAN seul ne le permet pas), mais plutôt sous la forme d’une pression continue. Après une fuite, les escrocs testent des scénarios : mails de « confirmation d’identité », faux appels au support, SMS prétendant proposer un remboursement. Ce qui rend ces attaques efficaces, c’est la précision : quand un fraudeur connaît votre nom, votre adresse et des détails contractuels, le discours paraît crédible. La donnée volée devient alors un levier de persuasion.

Prenons un exemple concret : Karim, abonné mobile, reçoit un appel d’un prétendu service « anti-fraude » indiquant qu’une commande de smartphone a été tentée à son nom. Le faux conseiller dispose de son adresse et d’une référence contractuelle partielle. Sous stress, Karim accepte de « vérifier » son identité via un lien. L’objectif réel est de récupérer des identifiants ou de pousser à un virement. Ce type de mise en scène illustre pourquoi la protection des données n’est pas qu’une question de confidentialité abstraite : elle influence directement la sécurité des personnes.

Tableau de lecture : ce que déclenche typiquement une sanction RGPD à grande échelle

Du côté de l’entreprise, la sanction agit comme un accélérateur : il faut corriger vite, prouver, et souvent reconstruire une partie de la confiance. Le tableau ci-dessous synthétise les postes les plus fréquents dans une crise de cette nature.

Poste de coût / d’effort
Exemples concrets
Effet attendu
Remédiation technique
Segmentation, durcissement des accès, supervision renforcée, rotation de secrets, corrections d’applications
Réduire la surface d’attaque et empêcher une récidive
Preuve et documentation
Audits, conservation et analyse de logs, reconstruction de chronologie, dossiers de conformité
Être en mesure de démontrer la maîtrise et la conformité
Relation client
Information des personnes, gestion des demandes, surcroît d’appels au support, messages anti-phishing
Limiter l’impact pour les abonnés et contenir la défiance
Risque juridique
Recours, gestion des plaintes, échanges avec l’autorité, contentieux éventuels
Réduire la portée financière et encadrer les obligations futures
Réputation et commercial
Campagnes de reconquête, rassurance, contrôle renforcé des communications
Éviter des résiliations et une dégradation durable de la marque

Dans le cas présent, Free a indiqué avoir renforcé son architecture de sécurité depuis l’incident et conteste le caractère exceptionnel de la sévérité. Le recours annoncé devant le Conseil d’État s’inscrit dans un débat classique : à partir de quel seuil considère-t-on que les efforts étaient proportionnés au risque « au moment des faits » ? Ce débat est central, car les standards de cybersécurité évoluent vite, et les entreprises plaident souvent l’écart entre une attaque réelle et les scénarios anticipés.

Pour les abonnés, l’enjeu est aussi psychologique : doit-on changer ses habitudes, surveiller davantage, devenir méfiant ? La meilleure réponse est souvent pratique : vigilance sur les communications entrantes, vérification des expéditeurs, et signalement rapide des tentatives suspectes. Insight final : l’amende est une conséquence visible, mais l’impact durable se mesure à la confiance, et la confiance se reconstruit avec des preuves d’amélioration, pas avec des promesses.

la cnil sanctionne free et free mobile avec une amende de 42 millions d'euros pour une violation massive des données personnelles, soulignant les enjeux cruciaux de la protection des informations privées.

Ce que le marché retient de la sanction CNIL : un standard plus exigeant pour la protection des données dans les télécoms

Si cette sanction est autant commentée, c’est qu’elle sert de repère à tout l’écosystème. Les télécoms concentrent des masses de données d’abonnés, opèrent des systèmes critiques et doivent maintenir un service continu. Cette combinaison crée une surface d’attaque étendue, où un défaut de cloisonnement, un compte trop permissif ou une supervision insuffisante peut suffire à déclencher une crise majeure. À travers Free et Free Mobile, c’est l’ensemble du secteur qui se sent observé.

La CNIL s’inscrit dans un mouvement plus large de fermeté face à la multiplication des violations. Les statistiques récentes de l’autorité ont déjà suggéré une hausse des notifications de violations entre 2023 et 2024, dans un contexte où les rançongiciels, l’extorsion et le vol de bases sont devenus des modèles économiques criminels. Dans ce paysage, une décision publique agit comme une jurisprudence de fait : elle influence les investissements, les audits, la rédaction des politiques internes et même les arbitrages budgétaires en comité de direction.

Gouvernance, preuves, et “capacité d’atterrir” : la nouvelle frontière de la conformité RGPD

Une idée ressort fortement : la conformité ne se limite pas à « avoir des outils ». Elle implique une gouvernance et une capacité à « atterrir » après incident. Autrement dit, si une intrusion survient, l’entreprise doit être capable de répondre à des questions simples, mais impitoyables : quand l’attaque a-t-elle commencé, qu’a-t-elle touché, qui a décidé quoi, sur quelle base, et avec quelles preuves ? Sans cette colonne vertébrale, la meilleure technologie du monde peut sembler insuffisante face au régulateur.

Revenons à Nadia, notre responsable conformité fictive. Après avoir analysé l’affaire, elle propose à sa direction un exercice : simuler une exfiltration de données clients un vendredi soir, puis mesurer la capacité de l’équipe à produire une chronologie documentée en 24 heures. L’exercice met en évidence un point faible : les journaux ne sont pas centralisés, et les habilitations « exceptionnelles » sont accordées sans expiration automatique. La leçon est immédiate : la protection des données est aussi une discipline de gestion, pas uniquement une affaire d’outils.

La décision rappelle également que l’autorité peut imposer des corrections dans un délai court, ici trois mois, ce qui oblige à prioriser. Dans un grand SI, trois mois passent vite : il faut donc savoir distinguer l’essentiel du secondaire. Les entreprises qui s’en sortent le mieux sont souvent celles qui ont déjà une cartographie des systèmes, une classification des données et des chemins de remédiation testés à l’avance.

Enfin, le dossier soulève une tension structurante : la sécurité « appropriée » est évaluée à un instant T, mais la menace évolue en continu. Les opérateurs, comme beaucoup d’acteurs critiques, doivent donc traiter la cybersécurité comme une amélioration permanente, avec des mesures vérifiables et révisées. Insight final : la portée de cette affaire dépasse Free — elle installe une attente de maturité, où la conformité RGPD se prouve dans les faits, sous stress, et à grande échelle.

Derniers articles
découvrez comment tiktok réduit la durée de ses résumés vidéo créés automatiquement grâce à l'intelligence artificielle pour une expérience utilisateur optimisée.
TikTok réduit ses résumés vidéo générés automatiquement par IA
découvrez les nouvelles métriques insights d'instagram, incluant le taux de partage et le skip rate, pour mieux analyser l'engagement de vos contenus.
Instagram ajoute de nouvelles métriques Insights comme le taux de partage et le skip rate
découvrez comment instagram prévoit de privilégier les contenus long format dans ses recommandations pour offrir une expérience utilisateur enrichie et plus immersive.
Instagram envisage de pousser davantage les contenus long format dans ses recommandations
threads déploie progressivement sa messagerie sur desktop, offrant une expérience utilisateur enrichie et accessible directement depuis votre ordinateur.
Threads déploie progressivement la messagerie sur desktop
meta étend son assistant ia dédié aux entreprises à un plus grand nombre de pays et de langues, facilitant ainsi l'accès à des solutions innovantes à l'échelle mondiale.
Meta étend son assistant IA business à davantage de pays et de langues
youtube expérimente une nouvelle interface pour le fil d’actualité mobile, disponible en test auprès d’un groupe restreint d’utilisateurs afin d’améliorer l’expérience.
YouTube teste une nouvelle interface du fil d’actualité sur mobile auprès d’un groupe limité d’utilisateurs
x lance le déploiement de xchat sur ios pour renforcer sa stratégie de messagerie intégrée, offrant une expérience de communication améliorée et plus fluide aux utilisateurs.
X commence le déploiement de XChat sur iOS pour renforcer sa stratégie de messagerie intégrée
découvrez comment meta développe de nouveaux agents d'intelligence artificielle pour automatiser efficacement vos tâches quotidiennes et simplifier votre quotidien.
Meta prépare de nouveaux agents IA capables de gérer des tâches quotidiennes automatiquement
linkedin enregistre une croissance de 12 % de ses revenus publicitaires au premier trimestre 2026, témoignant de l'efficacité de sa plateforme pour les annonceurs.
LinkedIn annonce une croissance de 12 % de ses revenus publicitaires au premier trimestre 2026
linkedin lance les reserved ads, une nouvelle solution publicitaire offrant des inventaires garantis aux marques b2b pour maximiser leur visibilité et impact.
LinkedIn développe les Reserved Ads pour offrir des inventaires publicitaires garantis aux marques B2B
découvrez comment le nouvel outil de mots clés de tiktok facilite la recherche et améliore la visibilité des vidéos pour une expérience utilisateur optimisée.
TikTok introduit un nouvel outil de mots clés pour améliorer la découverte des vidéos
découvrez comment google marketing live 2026 annonce une accélération majeure des campagnes publicitaires automatisées grâce à l'intelligence artificielle, révolutionnant le marketing digital.
Google Marketing Live 2026 confirme une accélération massive des campagnes publicitaires pilotées par IA
instagram limite la visibilité des comptes qui republient en masse le contenu d'autres créateurs afin de favoriser l'originalité et protéger les droits d'auteur.
Instagram réduit désormais la portée des comptes qui republient massivement du contenu d’autres créateurs
découvrez comment slack améliore sa messagerie professionnelle en intégrant de nouvelles fonctions automatisées pour optimiser la communication et la productivité au travail.
Slack poursuit l’intégration de nouvelles fonctions automatisées dans sa messagerie professionnelle
meta conclut un accord important dans un procès aux états-unis concernant l'addiction des adolescents aux réseaux sociaux, marquant une étape clé dans la régulation des plateformes numériques.
Meta règle un procès majeur lié à l’addiction des adolescents aux réseaux sociaux aux États Unis
Installer une borne de recharge à domicile
Cette famille de 4 économise 1 800 € par an grâce à sa borne à domicile, voici exactement comment
en france, l'accès aux crèches et aux modes de garde continue de susciter un débat important, au cœur des préoccupations des familles souhaitant concilier vie professionnelle et vie familiale.
En France, le débat sur l’accès aux crèches et aux modes de garde reste central pour les familles
découvrez pourquoi les perspectives économiques mondiales restent incertaines malgré des signes de stabilisation, et quelles sont les implications pour les marchés et les investisseurs.
Les perspectives économiques mondiales restent incertaines malgré des signaux de stabilisation
au royaume-uni, les associations tirent la sonnette d'alarme face à l'augmentation préoccupante de la pauvreté infantile, appelant à des mesures urgentes pour protéger les enfants vulnérables.
Au Royaume-Uni, les associations alertent sur la hausse de la pauvreté infantile
découvrez comment les grandes banques centrales collaborent étroitement pour gérer les risques économiques mondiaux et assurer la stabilité financière internationale.
Les grandes banques centrales maintiennent une coordination face aux risques économiques mondiaux
en inde, les disparités de revenus entre les zones urbaines et rurales s'accentuent, impactant le développement économique et social du pays.
En Inde, les écarts de revenus entre zones urbaines et rurales continuent de se creuser
découvrez pourquoi les prix des matières premières industrielles baissent dans un contexte de ralentissement économique mondial et quelles en sont les conséquences pour l'industrie.
Les prix des matières premières industrielles reculent sur fond de ralentissement économique
découvrez les discussions en cours en suède sur la réforme des politiques d’intégration des migrants visant à améliorer l'accueil et l'inclusion.
En Suède, une réforme des politiques d’intégration des migrants est en discussion
Image de Claire Haddad
Claire Haddad
Claire Haddad écrit sur les enjeux de société, les transformations culturelles et les questions liées au vivre-ensemble. Son travail s’appuie sur une formation en sciences humaines et une analyse contextualisée des évolutions sociales.