Ces sanctions font suite à une violation de données massive ayant touché 24 millions de contrats d’abonnés. Cette décision rappelle aux opérateurs de télécommunications et à l’ensemble des entreprises traitant des données personnelles l’impératif d’une conformité RGPD rigoureuse en matière de sécurité informatique.
Le contexte de la sanction : une cyberattaque aux conséquences massives
En octobre 2024, un attaquant est parvenu à s’infiltrer dans le système d’information des sociétés Free Mobile et Free, accédant aux données de 24 millions de contrats d’abonnés. L’attaque, qui s’est déroulée du 28 septembre au 22 octobre 2024, a permis à l’attaquant d’accéder à des données à caractère personnel incluant noms, prénoms, adresses, numéros de téléphone, et pour les clients « convergents » (abonnés à la fois mobile et fixe), leurs coordonnées bancaires (IBAN).
Plus de 2 500 plaintes déposées auprès de la CNIL
La violation de données a généré un nombre sans précédent de plaintes auprès de la CNIL, avec plus de 2 614 réclamations au jour de la notification du rapport de sanction. Ce chiffre record témoigne de la forte inquiétude des personnes concernées face aux risques d’usurpation d’identité, de phishing et d’exploitation frauduleuse de leurs données.
Sécurité des données personnelles : les manquements sanctionnés
La formation restreinte de la CNIL a identifié plusieurs manquements graves aux obligations du RGPD, relevant à la fois de défaillances techniques et organisationnelles dans la protection des données.
Défaillances dans l’authentification et l’accès au VPN
La CNIL a constaté que la procédure d’authentification pour se connecter au VPN de Free Mobile n’était pas suffisamment robuste. Conformément aux recommandations de l’ANSSI, une authentification multi-facteur forte est indispensable, particulièrement lorsque la connexion est accessible depuis l’extérieur du réseau de l’entreprise.
Défaut d’authentification des postes nomades
L’ANSSI recommande depuis 2018 d’authentifier les postes nomades au moyen d’un certificat machine, distinct de l’identifiant utilisateur. Cette mesure permet de garantir que seuls les équipements maîtrisés par l’entreprise peuvent accéder aux ressources internes. Free n’avait pas mis en œuvre cette mesure de sécurité élémentaire facilitant ainsi l’intrusion de l’attaquant.
Absence de détection des comportements anormaux
Bien que Free disposait de dispositifs de journalisation, ceux-ci se sont révélés inefficaces pour détecter l’activité suspecte de l’attaquant. La CNIL a rappelé que la simple collecte de logs ne suffit pas : il faut mettre en œuvre un système d’analyse en temps réel capable de générer des alertes et de bloquer automatiquement les comportements anormaux.
Une attaque qui aurait pu être stoppée rapidement
L’attaquant a pu accéder pendant près d’un mois aux données des abonnés sans être détecté. Des exfiltrations massives de données (plusieurs millions de contrats en une journée) auraient dû déclencher des alertes. L’absence de détection des comportements suspects constitue un manquement grave à l’article 32 du RGPD[2].
Conservation excessive des données d’anciens abonnés
La CNIL a également sanctionné Free Mobile pour avoir conservé des millions de données d’anciens abonnés pendant une durée excessive, sans justification. Au jour du contrôle, plus de 2,8 millions de contrats résiliés depuis plus de dix ans étaient encore conservés dans la base de données, en violation du principe de limitation de la conservation prévu à l’article 5-1-e) du RGPD[3]. C’est donc une double peine, non seulement la surface d’attaque est plus importante, mais l’attaque permet en plus de révéler un autre manquement au RGPD. Bien qu’il s’agisse d’un chantier complexe, il est devenu essentiel de mettre en œuvre une politique de durée de conservation des données complète, conforme et documentée.
Communication insuffisante auprès des personnes concernées
L’article 34 du RGPD[4] impose aux responsables de traitement de communiquer aux personnes concernées la nature de la violation de données, ses conséquences probables et les mesures à prendre pour s’en protéger. La CNIL a jugé que le courriel d’information envoyé par Free était trop général et ne permettait pas aux personnes de comprendre les risques spécifiques auxquels elles étaient exposées.
Absence de description des mesures de remédiation
Free s’est contentée d’indiquer que « toutes les mesures nécessaires ont été prises », sans décrire concrètement les actions correctives mises en œuvre. La formation restreinte a estimé que cette formulation abstraite ne respectait pas l’obligation de transparence imposée par le RGPD.
Montant de l’amende CNIL : des sanctions record pour le secteur
La CNIL a prononcé une amende de 27 millions d’euros à l’encontre de Free Mobile et de 15 millions d’euros contre Free, soit un total de 42 millions d’euros. Pour déterminer ces montants, la formation restreinte a pris en compte le chiffre d’affaires du groupe ILIAD (10,024 milliards d’euros en 2024), la gravité des manquements, le nombre de personnes concernées et la nature sensible des données compromises[5].
Application de la notion d’entreprise au sens du droit de la concurrence
Conformément à la jurisprudence de la CJUE[6], la CNIL a considéré que Free et Free Mobile, détenues à 100% par ILIAD, forment une unité économique. Le montant de l’amende a donc été calculé sur la base du chiffre d’affaires consolidé du groupe, afin d’assurer un caractère effectif, proportionné et dissuasif de la sanction.
Des injonctions assorties d’astreintes
Au-delà des amendes, la CNIL a prononcé des injonctions de mise en conformité assorties d’astreintes de 50 000 euros par jour de retard pour Free Mobile et 25 000 euros pour Free. Les sociétés doivent notamment achever la purge des données conservées de manière excessive et finaliser le déploiement de mesures de sécurité renforcées.
Conformité RGPD : que retenir ?
L’ANSSI rappelle qu’aucun système de sécurité ne doit reposer sur un seul mécanisme. Le principe de défense en profondeur impose de multiplier les couches de protection : authentification multi-facteur, authentification des postes, détection des comportements anormaux, chiffrement des données sensibles. La défaillance d’un seul élément ne doit pas compromettre l’ensemble du système.
Investir dans la détection et la réponse aux incidents
La capacité à détecter rapidement une violation de données et à y répondre efficacement constitue un élément essentiel de la sécurité informatique. Les entreprises doivent mettre en place des centres opérationnels de sécurité (SOC) capables d’analyser en temps réel les journaux d’événements et de déclencher des actions correctives automatiques.
Respecter les obligations de transparence en cas de violation
En cas de violation de données, les entreprises doivent informer les personnes concernées de manière claire, complète et actionnable. Il ne suffit pas d’évoquer des risques généraux : il faut décrire les scénarios concrets d’exploitation malveillante et les mesures de protection à adopter. La communication doit également préciser les actions correctives mises en œuvre par l’entreprise.
Mettre en place des durées de conservation adéquates
Une bonne gestion de la durée conservation des données, distinguant base active et base d’archivage présente de nombreux avantages au-delà de la conformité au RGPD, diminution de la potentielle surface d’attaque (donc, le cas échéant, du nombre de personnes concernées à informer), accès renforcés à la base d’archivage, meilleure gouvernance des données, sobriété numérique…
***
Cette décision s’inscrit dans la continuité de la doctrine de la CNIL. Elle illustre toutefois une sévérité croissante, traduisant le niveau de maturité que la CNIL attend désormais des acteurs traitant les données à caractère personnel en matière de sécurité et de gouvernance des données. Les entreprises, particulièrement celles traitant des données à grande échelle, doivent anticiper les risques et investir dans des mesures de sécurité conformes à l’état de l’art. Au-delà du risque de sanction financière, une défaillance en matière de protection des données entraîne un préjudice réputationnel majeur et une perte de confiance des clients.
Le cabinet HAAS Avocats est spécialisé depuis trente ans en droit des nouvelles technologies et de la propriété intellectuelle. Il accompagne les acteurs du numérique dans le cadre de leurs problématiques judiciaires et extrajudiciaires relatives au droit de la protection des données et de l’intelligence artificielle. Dans un monde incertain, choisissez de vous faire accompagner par un cabinet d’avocats fiables. Pour nous contacter, cliquez ici.
[1] Délibérations SAN-2026-001 et SAN-2026-002 du 8 janvier 2026
[2] Article 32 du RGPD
[3] Article 5-1-e du RGPD
[4] Article 34 du RGPD
[5] Article 83 RGPD
[6] CJUE, grande chambre, 5 décembre 2023, C-807/21