14/01
Free écope de 42 millions d’euros d’amende pour la fuite massive de données de ses abonnés Freebox et Free Mobile
La CNIL sanctionne Free et Free Mobile de 42 millions d’euros après une violation massive de données.
La Commission nationale de l’informatique et des libertés (CNIL) a prononcé, par sa délibération SAN-2026-002 du 8 janvier 2026, une sanction pécuniaire à l’encontre des sociétés Free et Free Mobile. Cette décision fait suite à l’importante violation de données personnelles survenue en octobre 2024, ayant affecté plusieurs millions d’abonnés des deux opérateurs. La formation restreinte de la CNIL a estimé que les manquements constatés constituaient des violations graves et caractérisées du règlement général sur la protection des données (RGPD).
Une violation de données d’ampleur exceptionnelle
L’incident de sécurité a permis à un tiers non autorisé d’accéder à des bases de données clients contenant de nombreuses informations personnelles, parmi lesquelles des données d’identification, de contact, des informations contractuelles, ainsi que des coordonnées bancaires, notamment des IBAN. Compte tenu de la nature et du volume des données concernées, la CNIL a considéré que la violation faisait peser des risques élevés pour les droits et libertés des personnes, en particulier des risques de fraude et d’usurpation d’identité.
La CNIL a retenu, entre autres, un manquement à l’article 32 du RGPD, qui impose aux responsables de traitement de mettre en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque. En l’espèce, la formation restreinte a estimé que les dispositifs de protection déployés par Free et Free Mobile étaient insuffisants au regard de la sensibilité des données traitées et de la taille de leur base d’abonnés. Certaines failles techniques et organisationnelles ont facilité l’accès non autorisé aux systèmes d’information, révélant une gestion du risque jugée défaillante.
Une information incomplète des personnes concernées
La CNIL a également relevé un manquement à l’article 34 du RGPD relatif à l’information des personnes concernées en cas de violation de données. Si Free et Free Mobile ont bien notifié l’incident à leurs abonnés, la formation restreinte a considéré que les communications transmises étaient incomplètes. Elles ne permettaient pas aux personnes concernées d’appréhender pleinement la nature des données compromises, ni l’étendue des risques encourus, ce qui a pu limiter leur capacité à prendre des mesures de protection appropriées.
S’agissant spécifiquement de Free Mobile, la CNIL a en outre constaté un manquement à l’article 5, du RGPD, relatif à la limitation de la durée de conservation des données. L’opérateur conservait certaines données personnelles d’anciens abonnés au-delà des durées strictement nécessaires aux finalités poursuivies, sans justification suffisante. Cette conservation prolongée a accru l’impact potentiel de la violation de données, d’autant que l’opérateur n’a pas pu justifier la conservation de ces données pour la majorité d’entre elles.
Au regard de l’ensemble de ces éléments, la CNIL a prononcé une amende de 27 millions d’euros à l’encontre de Free Mobile et de 15 millions d’euros à l’encontre de Free, soit un total de 42 millions d’euros. Ces montants tiennent compte de la gravité des manquements, du nombre très élevé de personnes concernées, de la sensibilité des données exposées et de la position des sociétés sur le marché des télécommunications. La décision est assortie d’une injonction imposant aux deux entités de finaliser, dans un délai de trois mois, la mise en œuvre de mesures de sécurité renforcées afin de se conformer aux exigences du RGPD.