Le 13 janvier 2026, la formation restreinte de la CNIL a prononcé deux décisions qui marquent un tournant pour le secteur des télécoms en France. Le régulateur a condamné Free Mobile à 27 millions d’euros et Free à 15 millions d’euros, soit 42 millions d’euros au total, pour des manquements à la sécurité des données après la fuite d’octobre 2024. Cette sanction CNIL figure parmi les plus lourdes jamais infligées à un opérateur français. Elle sanctionne une intrusion qui a exposé des données personnelles liées à 24 millions de contrats d’abonnés, dont des IBAN. Décryptage d’une décision qui redéfinit le coût du risque cyber pour les grands groupes.
Sanction CNIL : ce qu’a décidé le régulateur le 13 janvier 2026
La décision est tombée le 13 janvier 2026 et a été rendue publique le lendemain, le 14 janvier. La CNIL n’a pas prononcé une amende globale, mais deux sanctions distinctes visant deux entités juridiques du groupe Iliad. Free Mobile écope de 27 millions d’euros. Free SAS, la maison mère qui opère notamment les offres fixes, est sanctionnée à hauteur de 15 millions d’euros. Le cumul atteint 42 millions d’euros.
Dans son communiqué, la formation restreinte justifie ces montants « en raison du caractère inadapté des mesures prises pour assurer la sécurité des données de leurs abonnés ». La formulation est sévère. Elle vise directement l’organisation interne de la sécurité, pas un simple incident isolé. Pour une autorité administrative indépendante qui module ses sanctions en fonction du chiffre d’affaires, de la gravité et du nombre de personnes touchées, 42 millions d’euros traduisent un manquement jugé structurel.
La distinction entre les deux montants n’est pas anodine. Free Mobile, l’entité qui détenait le plus grand volume de données sensibles et qui a concentré le plus de manquements, supporte près des deux tiers de la facture. Free SAS reste lourdement sanctionnée, ce qui souligne que la CNIL a examiné séparément la chaîne de responsabilité au sein du groupe. Chaque société répond de ses propres traitements, même au sein d’un ensemble intégré comme Iliad. Ce point de méthode aura des conséquences pour tous les groupes français organisés en filiales.
La sanction s’inscrit dans une séquence d’enforcement intense. Début 2026, la CNIL a explicitement présenté son action comme la preuve que la simplification annoncée de certaines règles ne signifie pas un relâchement de la pression. Le message adressé au marché est limpide : la sécurité des données reste une obligation de résultat, et son non-respect se paie cher.
La faille de 2024 : 24 millions de contrats exposés
L’origine de la sanction remonte à octobre 2024. Selon la CNIL, « un attaquant est parvenu à s’infiltrer dans le système d’information des sociétés » et a accédé à des données personnelles concernant 24 millions de contrats d’abonnés. Le chiffre est massif. Il place cette fuite parmi les plus volumineuses ayant touché un opérateur télécom européen ces dernières années.
Les données exposées ne se limitaient pas à des coordonnées de contact. La CNIL confirme que l’incident a touché des IBAN, c’est-à-dire des identifiants de comptes bancaires, pour les personnes qui étaient à la fois clientes de Free Mobile et de Free. Un IBAN n’autorise pas, à lui seul, à retirer de l’argent. Mais combiné à un nom, une adresse et une signature de mandat, il ouvre la porte à des prélèvements frauduleux et à des opérations d’hameçonnage très crédibles. C’est précisément ce mélange de données qui rend une telle fuite dangereuse sur le long terme.
Le tableau ci-dessous récapitule la structure des deux sanctions et les volumes en jeu.
| Entité | Amende | Part du total | Données concernées | Manquements RGPD |
|---|---|---|---|---|
| Free Mobile | 27 M€ | 64 % | Contrats d’abonnés, IBAN des clients communs | Articles 32, 34 et 5(1)(e) |
| Free SAS | 15 M€ | 36 % | Données d’abonnés fixe, IBAN des clients communs | Articles 32 et 34 |
| Total groupe | 42 M€ | 100 % | 24 millions de contrats exposés | Sécurité et information des personnes |
| Date de décision | 13 janvier 2026 | n/a | Faille survenue en octobre 2024 | Formation restreinte de la CNIL |
| Publication | 14 janvier 2026 | n/a | Délai d’instruction : environ 15 mois | Procédure contradictoire |
Le délai d’environ quinze mois entre la faille et la décision est représentatif des procédures de sanction de la CNIL. L’autorité doit instruire le dossier, recueillir les observations des sociétés et garantir le caractère contradictoire de la procédure avant que la formation restreinte ne tranche. Ce calendrier explique pourquoi des incidents survenus fin 2024 ne donnent lieu à des amendes qu’en 2026.
Pourquoi 42 millions : les manquements au RGPD retenus
La CNIL n’a pas sanctionné l’existence de la faille en tant que telle. Aucune entreprise n’est à l’abri d’une attaque. Le régulateur a sanctionné l’insuffisance des mesures de protection et de gestion de l’incident. Trois fondements juridiques structurent la décision.
Le premier est l’article 32 du RGPD, qui impose des « mesures techniques et organisationnelles appropriées » pour garantir la sécurité des traitements. C’est le cœur du dossier. La CNIL a estimé que le niveau de protection des systèmes ne correspondait pas à la sensibilité et au volume des données traitées par un opérateur national. Pour des bases contenant des IBAN, l’attente du régulateur en matière de chiffrement, de cloisonnement et de surveillance est élevée.
Le deuxième fondement est l’article 34, qui encadre l’information des personnes concernées en cas de violation présentant un risque élevé pour leurs droits et libertés. Ce manquement vise la communication aux abonnés. Lorsque des données bancaires fuient, prévenir clairement et rapidement les clients fait partie des obligations, car cela leur permet de surveiller leurs comptes et de renforcer leur vigilance.
Le troisième fondement, retenu uniquement contre Free Mobile, est l’article 5(1)(e), qui pose le principe de limitation de la conservation. Les données personnelles ne doivent pas être gardées plus longtemps que nécessaire. La présence de ce grief signale que l’enquête a aussi mis en cause la durée de rétention de certaines informations, un sujet souvent négligé par les grandes entreprises mais désormais central dans l’analyse de la CNIL.
Pour les responsables de la conformité, la combinaison de ces trois articles dessine une grille de lecture précise. Une bonne posture RGPD ne se résume pas à empêcher l’intrusion. Elle suppose de réduire la surface de données conservées, de chiffrer ce qui doit l’être, et d’avoir un plan d’information des personnes prêt à être déclenché.
# Les trois piliers de l'article 32 RGPD mis en cause
# 1. Confidentialite -> chiffrement des donnees sensibles (IBAN, identite)
# 2. Integrite -> cloisonnement et controle des acces
# 3. Resilience -> detection, journalisation, plan de reponse
# Article 34 : notification aux personnes en cas de risque eleve
# Article 5(1)(e): duree de conservation limitee au strict necessaireIBAN exposés : le risque concret pour les abonnés
La fuite d’IBAN est ce qui distingue cette affaire d’une simple fuite de coordonnées. Beaucoup d’utilisateurs pensent qu’un IBAN n’a aucune valeur, puisqu’on le communique pour recevoir un virement. C’est une erreur dans le contexte d’une fuite massive. Un IBAN associé à une identité complète permet de monter des fraudes au prélèvement SEPA et des campagnes d’hameçonnage ciblé qui imitent l’opérateur, la banque ou l’administration.
Le mécanisme du prélèvement SEPA repose sur un mandat. En théorie, un créancier ne peut prélever que si le client a signé une autorisation. En pratique, des fraudeurs exploitent des failles dans le contrôle de ces mandats pour lancer des prélèvements sur des comptes dont ils connaissent l’IBAN. La victime doit alors repérer l’opération et demander un remboursement à sa banque. La réglementation européenne accorde un délai de huit semaines pour contester un prélèvement autorisé, et jusqu’à treize mois pour un prélèvement non autorisé. Encore faut-il s’en apercevoir.
Le risque d’hameçonnage est tout aussi sérieux. Un attaquant qui connaît votre nom, votre adresse, votre numéro de mobile et votre IBAN peut rédiger un message d’une crédibilité redoutable. Il n’a plus besoin de deviner : il cite des informations exactes pour gagner votre confiance, puis vous pousse à valider un paiement ou à communiquer un code reçu par SMS. C’est ce que les spécialistes appellent l’ingénierie sociale enrichie par la donnée. Pour comprendre les mécanismes de ces attaques, notre guide sur les attaques par hameçonnage détaille les signaux d’alerte.
Free face aux plus grosses sanctions de la CNIL
Les 42 millions d’euros infligés à Free et Free Mobile sont considérables, mais ils n’établissent pas de record. La CNIL a déjà prononcé des amendes nettement supérieures, en particulier en 2025. Replacer la sanction dans cette hiérarchie aide à mesurer la trajectoire répressive du régulateur français.
| Entreprise / secteur | Montant | Année | Motif principal |
|---|---|---|---|
| Acteur sanctionné (montant record) | 325 M€ | 2025 | Sanction figurant sur la page CNIL |
| Détaillant de mode en ligne | 150 M€ | 2025 | Données personnelles et cookies |
| Google LLC | 50 M€ | 2019 | Transparence et consentement publicitaire |
| Criteo | 40 M€ | 2023 | Base légale du suivi publicitaire |
| Free Mobile | 27 M€ | 2026 | Sécurité des données (article 32) |
| Free SAS | 15 M€ | 2026 | Sécurité des données (article 32) |
Deux enseignements ressortent de ce classement. D’abord, la CNIL a franchi un cap en 2025 avec des sanctions atteignant plusieurs centaines de millions d’euros, là où le plafond symbolique tournait auparavant autour de 50 millions. Ensuite, la sanction Free se distingue par son motif. Les plus grosses amendes antérieures portaient surtout sur la publicité, les cookies et le consentement. La sanction de janvier 2026 vise la sécurité brute des systèmes après une intrusion. Ce déplacement du curseur, de la conformité marketing vers la cyberdéfense, est l’un des signaux les plus importants de l’affaire.
Note de prudence sur ce tableau : les montants de 2025 (325 M€ et 150 M€) figurent sur la page officielle des sanctions de la CNIL, mais l’identité précise de la société visée par le plus haut montant n’est pas reproduite ici faute de confirmation directe. Les amendes Google (2019), Criteo (2023) et Free (2026) sont, elles, documentées par les communiqués de l’autorité.
La France dans l’application du RGPD en Europe
La sanction Free ne se comprend pleinement qu’à l’échelle européenne. Depuis l’entrée en application du RGPD en mai 2018, les autorités de protection des données ont prononcé des amendes pour un total cumulé d’environ 6,31 milliards d’euros, selon le décompte de l’Enforcement Tracker, qui recense plus de 3 194 actions. La France figure parmi les régulateurs les plus actifs, aux côtés de l’Irlande, du Luxembourg et de l’Italie.
| Indicateur | Valeur | Source | Période |
|---|---|---|---|
| Total cumulé des amendes RGPD dans l’UE | ≈ 6,31 Md€ | Enforcement Tracker | 2018-2026 |
| Nombre d’actions répertoriées | 3 194 | Enforcement Tracker | 2018-2026 |
| Plus grosse amende RGPD jamais infligée | 1,2 Md€ | Irish DPC (Meta) | Mai 2023 |
| Sanctions CNIL (cumul récent) | ≈ 486,8 M€ (78 amendes) | CMS / 83 mesures | Période récente |
| Sanction Free / Free Mobile | 42 M€ | CNIL | Janvier 2026 |
La plus lourde amende RGPD de l’histoire reste les 1,2 milliard d’euros infligés à Meta Platforms Ireland par l’autorité irlandaise (Irish DPC) en mai 2023, pour des transferts de données vers les États-Unis. À cette aune, les 42 millions de Free relèvent d’une catégorie intermédiaire : une sanction lourde à l’échelle française, mais loin des records transfrontaliers visant les géants américains. Le cabinet CMS a, pour sa part, recensé 83 mesures de la CNIL dont 78 amendes pour un total de 486,8 millions d’euros, un volume qui illustre la régularité de l’action française.
Cette comparaison nourrit notre analyse sur les violations de données et leurs conséquences réglementaires. Le RGPD a transformé la fuite de données d’un risque réputationnel en un risque financier chiffrable, intégré désormais aux modèles de risque des directions générales.
Impact marché : ce que la sanction change pour les télécoms
Pour le groupe Iliad, maison mère de Free, 42 millions d’euros représentent une charge réelle mais absorbable au regard d’un chiffre d’affaires annuel de plusieurs milliards. L’impact direct sur les comptes reste limité. L’impact indirect, lui, est plus profond. La sanction valide publiquement la thèse selon laquelle l’opérateur a sous-investi dans la sécurité, ce qui pèse sur la confiance des abonnés au moment où le marché français se livre une guerre des prix féroce.
Pour les concurrents, le signal est clair. Orange, SFR et Bouygues Telecom détiennent des bases de données comparables, avec les mêmes IBAN et les mêmes données d’identité. Aucun ne peut ignorer qu’une faille du même type déclencherait une procédure identique. La sanction Free agit donc comme un prix de référence pour le risque cyber dans le secteur. Les directions financières des opérateurs devront désormais arbitrer entre le coût d’un renforcement de la sécurité et le coût attendu d’une amende, et la balance vient de pencher nettement vers l’investissement.
Au-delà des télécoms, toute entreprise française manipulant des coordonnées bancaires en masse est concernée : banques en ligne, plateformes d’e-commerce, fournisseurs d’énergie, services d’abonnement. La logique de la CNIL est sectorielle dans son intensité, mais universelle dans son principe. La sécurité des IBAN devient un point de contrôle prioritaire. Cette dynamique rejoint les tendances décrites dans notre dossier sur la fuite de données en France en 2026, où plus de 250 millions de données ont été exposées.
La position de la CNIL : sécurité, obligation de résultat
La doctrine que défend la CNIL à travers cette sanction tient en une idée : la sécurité des données est une obligation continue, et son défaut est sanctionnable indépendamment de la responsabilité de l’attaquant. Dans son communiqué, l’autorité insiste sur « le caractère inadapté des mesures prises pour assurer la sécurité des données de leurs abonnés ». La faute reprochée n’est pas d’avoir été attaqué, mais de ne pas avoir été suffisamment préparé.
Ce positionnement s’inscrit dans la continuité de la stratégie d’enforcement affichée par la CNIL début 2026, présentée comme la démonstration que l’allègement de certaines formalités ne réduit pas l’exigence de fond. Le régulateur déplace la conformité d’une logique de paperasse vers une logique de résultat opérationnel. Disposer d’une politique de sécurité sur le papier ne suffit plus ; encore faut-il qu’elle résiste à une attaque réelle.
Il faut souligner un point de rigueur journalistique : le communiqué public de la CNIL ne contient pas de citation attribuée nommément à son président ou au rapporteur de l’affaire. Les formulations citées ici sont celles de la décision institutionnelle de la formation restreinte, l’organe collégial qui prononce les sanctions. Cette précision évite de prêter à des personnes des propos qu’elles n’ont pas tenus publiquement, une rigueur d’autant plus nécessaire que de nombreuses analyses approximatives ont circulé après l’annonce.
Contexte historique : l’escalade des sanctions depuis 2019
Pour saisir la portée de la décision de janvier 2026, il faut remonter la chronologie de la répression française. En 2019, la première grande amende RGPD de la CNIL, 50 millions d’euros contre Google, avait fait figure d’électrochoc. À l’époque, ce montant semblait vertigineux. Il visait un défaut de transparence et de consentement dans la publicité, pas une faille de sécurité.
Les années suivantes ont vu la CNIL affiner sa pratique sur les cookies et le ciblage publicitaire, avec des sanctions comme les 40 millions d’euros contre Criteo en 2023. Puis 2025 a marqué une rupture d’échelle, avec des amendes atteignant plusieurs centaines de millions d’euros figurant sur la page officielle des sanctions. La sanction Free de 2026 prolonge cette trajectoire en l’orientant vers un nouveau terrain : la sécurité technique des systèmes.
Cette évolution accompagne celle du paysage réglementaire européen. La directive NIS2, le règlement DORA pour le secteur financier et le Cyber Resilience Act pour les produits connectés ajoutent des couches d’obligations qui se cumulent avec le RGPD. Une même faille peut désormais déclencher plusieurs procédures parallèles. Nos analyses sur NIS2 en France et sur le Cyber Resilience Act détaillent ce maillage en construction.
Réactions et analyse du secteur de la conformité
Du côté des professionnels de la conformité, la sanction confirme une tendance redoutée depuis plusieurs années : la sécurité informatique est devenue le premier poste de risque RGPD, devant les questions de consentement publicitaire qui dominaient jusqu’ici. Les délégués à la protection des données (DPO) des grands groupes français lisent la décision Free comme un avertissement direct adressé à leur propre organisation.
L’analyse de la rédaction de shattered.io est la suivante : la décision crée un effet de référence durable. Tant que les amendes liées à la sécurité restaient rares, les directions pouvaient considérer le risque comme théorique. Avec 42 millions d’euros placés sur une faille de sécurité concrète chez un opérateur de premier plan, la probabilité perçue d’une sanction augmente, et avec elle la volonté d’investir. C’est précisément le mécanisme dissuasif que recherche le régulateur.
Un second axe d’analyse concerne la conservation des données. Le grief tiré de l’article 5(1)(e) contre Free Mobile rappelle une vérité souvent ignorée : la donnée la mieux protégée est celle qu’on ne conserve pas. Réduire les durées de rétention diminue mécaniquement la surface exposée en cas d’intrusion. Cette discipline de minimisation, longtemps perçue comme une contrainte abstraite, devient un levier concret de réduction du risque financier.
Enfin, la dimension bancaire de la fuite pourrait nourrir un contentieux civil. Les abonnés dont l’IBAN a été exposé et qui subiraient une fraude pourraient chercher à engager la responsabilité de l’opérateur, indépendamment de la sanction administrative. Le précédent de la CNIL, qui établit officiellement un défaut de sécurité, constitue un point d’appui pour d’éventuelles actions de groupe.
Que peuvent faire les abonnés Free concernés
Si vous étiez client de Free ou Free Mobile en octobre 2024, quelques réflexes limitent le risque. La fuite remonte à plus d’un an, mais les données volées circulent durablement et peuvent être exploitées longtemps après l’incident.
- Surveillez vos relevés bancaires. Repérez tout prélèvement inconnu, même de faible montant. Les fraudeurs testent souvent avec de petites sommes avant de passer à l’échelle.
- Activez les alertes de votre banque. La plupart des établissements proposent une notification par SMS ou application à chaque prélèvement, ce qui réduit le délai de détection.
- Méfiez-vous des messages personnalisés. Un courriel ou un SMS citant votre nom, votre adresse et votre opérateur n’est pas forcément légitime. Ne cliquez pas, ne communiquez aucun code reçu par SMS.
- Renforcez vos accès. Activez l’authentification à deux facteurs sur vos comptes sensibles. Notre comparatif sur les outils de protection de la vie privée aide à durcir votre posture.
- Contestez vite en cas de fraude. Vous disposez de huit semaines pour un prélèvement autorisé et jusqu’à treize mois pour un prélèvement non autorisé. N’attendez pas.
5 prédictions pour l’application du RGPD en France
À partir de la trajectoire observée et du signal envoyé par la sanction Free, voici cinq évolutions probables pour les prochains mois.
- Les sanctions liées à la sécurité vont se multiplier. Après Free, la CNIL devrait cibler d’autres secteurs détenant des données financières en masse, en particulier l’e-commerce et les services d’abonnement, avec des montants alignés sur le précédent de 2026.
- La conservation des données deviendra un point d’audit central. Le grief de l’article 5(1)(e) va inciter les entreprises à raccourcir leurs durées de rétention pour réduire leur exposition, transformant la minimisation en priorité opérationnelle.
- Le chiffrement des IBAN se généralisera. Stocker des coordonnées bancaires en clair deviendra un risque juridique inacceptable. Le chiffrement au repos des données financières s’imposera comme un standard de fait, sous peine de sanction.
- Les actions de groupe progresseront. En s’appuyant sur les décisions de la CNIL, des associations de consommateurs lanceront davantage de recours collectifs, ajoutant un risque civil au risque administratif.
- La pression cumulée RGPD, NIS2 et DORA s’intensifiera. Une même faille déclenchera des procédures parallèles auprès de plusieurs régulateurs, augmentant le coût total d’un incident bien au-delà de la seule amende CNIL.
Foire aux questions sur la sanction CNIL contre Free
Combien Free a-t-il été condamné par la CNIL ?
La CNIL a prononcé deux amendes le 13 janvier 2026 : 27 millions d’euros contre Free Mobile et 15 millions d’euros contre Free SAS, soit un total de 42 millions d’euros. Cette sanction CNIL fait suite à la fuite de données d’octobre 2024.
Quelles données ont été exposées lors de la faille Free ?
Selon la CNIL, l’attaque a touché des données personnelles concernant 24 millions de contrats d’abonnés. Pour les clients à la fois de Free Mobile et de Free, des IBAN ont également été exposés, ce qui crée un risque de fraude au prélèvement et d’hameçonnage ciblé.
Quels articles du RGPD ont été violés ?
La CNIL a retenu des manquements à l’article 32 (sécurité des traitements) et à l’article 34 (information des personnes concernées). Un manquement supplémentaire à l’article 5(1)(e), relatif à la durée de conservation, a été retenu spécifiquement contre Free Mobile.
Un IBAN volé est-il dangereux ?
Un IBAN seul ne permet pas de vider un compte, mais combiné à votre nom et votre adresse, il facilite les prélèvements SEPA frauduleux et l’hameçonnage très personnalisé. Surveillez vos relevés et contestez rapidement tout prélèvement inconnu auprès de votre banque.
Cette amende est-elle la plus élevée prononcée par la CNIL ?
Non. La CNIL a prononcé des sanctions supérieures en 2025, dont des amendes atteignant plusieurs centaines de millions d’euros. La sanction Free reste néanmoins l’une des plus lourdes jamais infligées à un opérateur télécom français pour un défaut de sécurité.
Que faire si j’étais client Free en 2024 ?
Surveillez vos comptes bancaires, activez les alertes de prélèvement, méfiez-vous des messages personnalisés vous demandant un code ou un paiement, et activez l’authentification à deux facteurs sur vos comptes sensibles. En cas de prélèvement non autorisé, vous disposez de treize mois pour le contester.
Related Coverage
- FICOBA piraté : 1,2 million de comptes exposés
- Fuite de données France 2026 : 250 M exposés
- Cybermenace 2025 : l’ANSSI traite 1 366 incidents
- Cyberattaque ANTS : 11,7 millions de comptes
- NIS2 France : 15 000 entités, la CJUE saisie
- Violations de données : comment elles surviennent
Sources et références : Sanctions de la CNIL, CNIL, Texte du RGPD, Règlement (UE) 2016/679 sur EUR-Lex, Comité européen de la protection des données.
