Source: CNIL — Le 14 janvier 2026, la Commission Nationale de l’Informatique et des Libertés annonce deux décisions de sanction à l’encontre de Free Mobile et Free, à la suite d’une violation de données d’octobre 2024 ayant exposé des informations relatives à 24 millions de contrats d’abonnés.

🔐 Constat principal: un attaquant s’est infiltré dans les SI des deux sociétés et a accédé à des données personnelles. Des IBAN ont été compromis lorsque les personnes étaient clientes à la fois de Free Mobile et de Free. La CNIL relève des manquements à l’Article 32 du RGPD: authentification VPN insuffisamment robuste (notamment pour le télétravail) et détection inefficace des comportements anormaux. Les mesures de sécurité n’étaient pas adaptées au volume et à la nature des données. Les sociétés ont engagé des renforcements en cours de procédure; la CNIL leur enjoint de finaliser ces mesures sous 3 mois.

⚠️ Communication aux personnes (Article 34 RGPD): la notification était organisée en deux niveaux (courriel d’information, puis numéro vert et dispositif via le DPO). Toutefois, le courriel ne contenait pas toutes les informations requises, ne permettant pas aux personnes de comprendre directement les conséquences de la violation ni les mesures de protection à adopter.

🗂️ Conservation des données (Article 5-1-e RGPD, Free Mobile): absence de tri des données d’anciens abonnés et conservation excessive et non justifiée de millions de données. En cours de procédure, Free Mobile a initié un tri (conserver 10 ans les seules données nécessaires aux obligations comptables) et supprimé une partie des données conservées trop longtemps. La CNIL enjoint de finaliser le tri et la purge sous 6 mois.

💶 Sanctions: amende de 27 M€ pour Free Mobile et 15 M€ pour Free, en tenant compte des capacités financières, de la méconnaissance de principes essentiels de sécurité, du nombre de personnes concernées, du caractère « hautement » personnel des données compromises et des risques liés aux IBAN. Décisions: SAN-2026-001 et SAN-2026-002; références RGPD: Articles 32, 34 et 5-1-e.

TTPs observés:

  • Accès via VPN avec authentification insuffisamment robuste
  • Détection d’anomalies/SIEM insuffisante

Il s’agit d’une décision de sanction/incident de conformité visant à constater et sanctionner des manquements au RGPD et à imposer des mesures correctrices.

🔗 Source originale : https://www.cnil.fr/fr/sanction-free-2026