{"id":162,"date":"2026-06-15T04:31:58","date_gmt":"2026-06-15T04:31:58","guid":{"rendered":"https:\/\/shattered.io\/fr\/2026\/06\/15\/sanction-cnil-free-42-millions-2026\/"},"modified":"2026-06-15T04:33:20","modified_gmt":"2026-06-15T04:33:20","slug":"sanction-cnil-free-42-millions-2026","status":"publish","type":"post","link":"https:\/\/shattered.io\/fr\/2026\/06\/15\/sanction-cnil-free-42-millions-2026\/","title":{"rendered":"Sanction CNIL Free : 42 M\u20ac, 24 M comptes [2026]"},"content":{"rendered":"\n

Le 13 janvier 2026, la formation restreinte de la CNIL a prononc\u00e9 deux d\u00e9cisions qui marquent un tournant pour le secteur des t\u00e9l\u00e9coms en France. Le r\u00e9gulateur a condamn\u00e9 Free Mobile \u00e0 27 millions d’euros et Free \u00e0 15 millions d’euros, soit 42 millions d’euros au total, pour des manquements \u00e0 la s\u00e9curit\u00e9 des donn\u00e9es apr\u00e8s la fuite d’octobre 2024. Cette sanction CNIL figure parmi les plus lourdes jamais inflig\u00e9es \u00e0 un op\u00e9rateur fran\u00e7ais. Elle sanctionne une intrusion qui a expos\u00e9 des donn\u00e9es personnelles li\u00e9es \u00e0 24 millions de contrats d’abonn\u00e9s, dont des IBAN. D\u00e9cryptage d’une d\u00e9cision qui red\u00e9finit le co\u00fbt du risque cyber pour les grands groupes.<\/p>\n\n\n\n

Sanction CNIL : ce qu’a d\u00e9cid\u00e9 le r\u00e9gulateur le 13 janvier 2026<\/h2>\n\n\n\n

La d\u00e9cision est tomb\u00e9e le 13 janvier 2026 et a \u00e9t\u00e9 rendue publique le lendemain, le 14 janvier. La CNIL n’a pas prononc\u00e9 une amende globale, mais deux sanctions distinctes visant deux entit\u00e9s juridiques du groupe Iliad. Free Mobile \u00e9cope de 27 millions d’euros. Free SAS, la maison m\u00e8re qui op\u00e8re notamment les offres fixes, est sanctionn\u00e9e \u00e0 hauteur de 15 millions d’euros. Le cumul atteint 42 millions d’euros.<\/p>\n\n\n\n

Dans son communiqu\u00e9, la formation restreinte justifie ces montants \u00ab en raison du caract\u00e8re inadapt\u00e9 des mesures prises pour assurer la s\u00e9curit\u00e9 des donn\u00e9es de leurs abonn\u00e9s \u00bb. La formulation est s\u00e9v\u00e8re. Elle vise directement l’organisation interne de la s\u00e9curit\u00e9, pas un simple incident isol\u00e9. Pour une autorit\u00e9 administrative ind\u00e9pendante qui module ses sanctions en fonction du chiffre d’affaires, de la gravit\u00e9 et du nombre de personnes touch\u00e9es, 42 millions d’euros traduisent un manquement jug\u00e9 structurel.<\/p>\n\n\n\n

La distinction entre les deux montants n’est pas anodine. Free Mobile, l’entit\u00e9 qui d\u00e9tenait le plus grand volume de donn\u00e9es sensibles et qui a concentr\u00e9 le plus de manquements, supporte pr\u00e8s des deux tiers de la facture. Free SAS reste lourdement sanctionn\u00e9e, ce qui souligne que la CNIL a examin\u00e9 s\u00e9par\u00e9ment la cha\u00eene de responsabilit\u00e9 au sein du groupe. Chaque soci\u00e9t\u00e9 r\u00e9pond de ses propres traitements, m\u00eame au sein d’un ensemble int\u00e9gr\u00e9 comme Iliad. Ce point de m\u00e9thode aura des cons\u00e9quences pour tous les groupes fran\u00e7ais organis\u00e9s en filiales.<\/p>\n\n\n\n

La sanction s’inscrit dans une s\u00e9quence d’enforcement intense. D\u00e9but 2026, la CNIL a explicitement pr\u00e9sent\u00e9 son action comme la preuve que la simplification annonc\u00e9e de certaines r\u00e8gles ne signifie pas un rel\u00e2chement de la pression. Le message adress\u00e9 au march\u00e9 est limpide : la s\u00e9curit\u00e9 des donn\u00e9es reste une obligation de r\u00e9sultat, et son non-respect se paie cher.<\/p>\n\n\n\n

La faille de 2024 : 24 millions de contrats expos\u00e9s<\/h2>\n\n\n\n

L’origine de la sanction remonte \u00e0 octobre 2024. Selon la CNIL, \u00ab un attaquant est parvenu \u00e0 s’infiltrer dans le syst\u00e8me d’information des soci\u00e9t\u00e9s \u00bb et a acc\u00e9d\u00e9 \u00e0 des donn\u00e9es personnelles concernant 24 millions de contrats d’abonn\u00e9s. Le chiffre est massif. Il place cette fuite parmi les plus volumineuses ayant touch\u00e9 un op\u00e9rateur t\u00e9l\u00e9com europ\u00e9en ces derni\u00e8res ann\u00e9es.<\/p>\n\n\n\n

Les donn\u00e9es expos\u00e9es ne se limitaient pas \u00e0 des coordonn\u00e9es de contact. La CNIL confirme que l’incident a touch\u00e9 des IBAN, c’est-\u00e0-dire des identifiants de comptes bancaires, pour les personnes qui \u00e9taient \u00e0 la fois clientes de Free Mobile et de Free. Un IBAN n’autorise pas, \u00e0 lui seul, \u00e0 retirer de l’argent. Mais combin\u00e9 \u00e0 un nom, une adresse et une signature de mandat, il ouvre la porte \u00e0 des pr\u00e9l\u00e8vements frauduleux et \u00e0 des op\u00e9rations d’hame\u00e7onnage tr\u00e8s cr\u00e9dibles. C’est pr\u00e9cis\u00e9ment ce m\u00e9lange de donn\u00e9es qui rend une telle fuite dangereuse sur le long terme.<\/p>\n\n\n\n

Le tableau ci-dessous r\u00e9capitule la structure des deux sanctions et les volumes en jeu.<\/p>\n\n\n\n

Entit\u00e9<\/th>Amende<\/th>Part du total<\/th>Donn\u00e9es concern\u00e9es<\/th>Manquements RGPD<\/th><\/tr><\/thead>
Free Mobile<\/td>27 M\u20ac<\/td>64 %<\/td>Contrats d’abonn\u00e9s, IBAN des clients communs<\/td>Articles 32, 34 et 5(1)(e)<\/td><\/tr>
Free SAS<\/td>15 M\u20ac<\/td>36 %<\/td>Donn\u00e9es d’abonn\u00e9s fixe, IBAN des clients communs<\/td>Articles 32 et 34<\/td><\/tr>
Total groupe<\/td>42 M\u20ac<\/td>100 %<\/td>24 millions de contrats expos\u00e9s<\/td>S\u00e9curit\u00e9 et information des personnes<\/td><\/tr>
Date de d\u00e9cision<\/td>13 janvier 2026<\/td>n\/a<\/td>Faille survenue en octobre 2024<\/td>Formation restreinte de la CNIL<\/td><\/tr>
Publication<\/td>14 janvier 2026<\/td>n\/a<\/td>D\u00e9lai d’instruction : environ 15 mois<\/td>Proc\u00e9dure contradictoire<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Le d\u00e9lai d’environ quinze mois entre la faille et la d\u00e9cision est repr\u00e9sentatif des proc\u00e9dures de sanction de la CNIL. L’autorit\u00e9 doit instruire le dossier, recueillir les observations des soci\u00e9t\u00e9s et garantir le caract\u00e8re contradictoire de la proc\u00e9dure avant que la formation restreinte ne tranche. Ce calendrier explique pourquoi des incidents survenus fin 2024 ne donnent lieu \u00e0 des amendes qu’en 2026.<\/p>\n\n\n\n

Pourquoi 42 millions : les manquements au RGPD retenus<\/h2>\n\n\n\n

La CNIL n’a pas sanctionn\u00e9 l’existence de la faille en tant que telle. Aucune entreprise n’est \u00e0 l’abri d’une attaque. Le r\u00e9gulateur a sanctionn\u00e9 l’insuffisance des mesures de protection et de gestion de l’incident. Trois fondements juridiques structurent la d\u00e9cision.<\/p>\n\n\n\n

Le premier est l’article 32 du RGPD, qui impose des \u00ab mesures techniques et organisationnelles appropri\u00e9es \u00bb pour garantir la s\u00e9curit\u00e9 des traitements. C’est le c\u0153ur du dossier. La CNIL a estim\u00e9 que le niveau de protection des syst\u00e8mes ne correspondait pas \u00e0 la sensibilit\u00e9 et au volume des donn\u00e9es trait\u00e9es par un op\u00e9rateur national. Pour des bases contenant des IBAN, l’attente du r\u00e9gulateur en mati\u00e8re de chiffrement, de cloisonnement et de surveillance est \u00e9lev\u00e9e.<\/p>\n\n\n\n

Le deuxi\u00e8me fondement est l’article 34, qui encadre l’information des personnes concern\u00e9es en cas de violation pr\u00e9sentant un risque \u00e9lev\u00e9 pour leurs droits et libert\u00e9s. Ce manquement vise la communication aux abonn\u00e9s. Lorsque des donn\u00e9es bancaires fuient, pr\u00e9venir clairement et rapidement les clients fait partie des obligations, car cela leur permet de surveiller leurs comptes et de renforcer leur vigilance.<\/p>\n\n\n\n

Le troisi\u00e8me fondement, retenu uniquement contre Free Mobile, est l’article 5(1)(e), qui pose le principe de limitation de la conservation. Les donn\u00e9es personnelles ne doivent pas \u00eatre gard\u00e9es plus longtemps que n\u00e9cessaire. La pr\u00e9sence de ce grief signale que l’enqu\u00eate a aussi mis en cause la dur\u00e9e de r\u00e9tention de certaines informations, un sujet souvent n\u00e9glig\u00e9 par les grandes entreprises mais d\u00e9sormais central dans l’analyse de la CNIL.<\/p>\n\n\n\n

Pour les responsables de la conformit\u00e9, la combinaison de ces trois articles dessine une grille de lecture pr\u00e9cise. Une bonne posture RGPD ne se r\u00e9sume pas \u00e0 emp\u00eacher l’intrusion. Elle suppose de r\u00e9duire la surface de donn\u00e9es conserv\u00e9es, de chiffrer ce qui doit l’\u00eatre, et d’avoir un plan d’information des personnes pr\u00eat \u00e0 \u00eatre d\u00e9clench\u00e9.<\/p>\n\n\n\n

# Les trois piliers de l'article 32 RGPD mis en cause\n# 1. Confidentialite  -> chiffrement des donnees sensibles (IBAN, identite)\n# 2. Integrite        -> cloisonnement et controle des acces\n# 3. Resilience       -> detection, journalisation, plan de reponse\n\n# Article 34     : notification aux personnes en cas de risque eleve\n# Article 5(1)(e): duree de conservation limitee au strict necessaire<\/code><\/pre>\n\n\n\n
IBAN expos\u00e9s : le risque concret pour les abonn\u00e9s<\/h2>\n\n\n\n
La fuite d’IBAN est ce qui distingue cette affaire d’une simple fuite de coordonn\u00e9es. Beaucoup d’utilisateurs pensent qu’un IBAN n’a aucune valeur, puisqu’on le communique pour recevoir un virement. C’est une erreur dans le contexte d’une fuite massive. Un IBAN associ\u00e9 \u00e0 une identit\u00e9 compl\u00e8te permet de monter des fraudes au pr\u00e9l\u00e8vement SEPA et des campagnes d’hame\u00e7onnage cibl\u00e9 qui imitent l’op\u00e9rateur, la banque ou l’administration.<\/p>\n\n\n\n
Le m\u00e9canisme du pr\u00e9l\u00e8vement SEPA repose sur un mandat. En th\u00e9orie, un cr\u00e9ancier ne peut pr\u00e9lever que si le client a sign\u00e9 une autorisation. En pratique, des fraudeurs exploitent des failles dans le contr\u00f4le de ces mandats pour lancer des pr\u00e9l\u00e8vements sur des comptes dont ils connaissent l’IBAN. La victime doit alors rep\u00e9rer l’op\u00e9ration et demander un remboursement \u00e0 sa banque. La r\u00e9glementation europ\u00e9enne accorde un d\u00e9lai de huit semaines pour contester un pr\u00e9l\u00e8vement autoris\u00e9, et jusqu’\u00e0 treize mois pour un pr\u00e9l\u00e8vement non autoris\u00e9. Encore faut-il s’en apercevoir.<\/p>\n\n\n\n
Le risque d’hame\u00e7onnage est tout aussi s\u00e9rieux. Un attaquant qui conna\u00eet votre nom, votre adresse, votre num\u00e9ro de mobile et votre IBAN peut r\u00e9diger un message d’une cr\u00e9dibilit\u00e9 redoutable. Il n’a plus besoin de deviner : il cite des informations exactes pour gagner votre confiance, puis vous pousse \u00e0 valider un paiement ou \u00e0 communiquer un code re\u00e7u par SMS. C’est ce que les sp\u00e9cialistes appellent l’ing\u00e9nierie sociale enrichie par la donn\u00e9e. Pour comprendre les m\u00e9canismes de ces attaques, notre guide sur les attaques par hame\u00e7onnage<\/a> d\u00e9taille les signaux d’alerte.<\/p>\n\n\n\n
Free face aux plus grosses sanctions de la CNIL<\/h2>\n\n\n\n
Les 42 millions d’euros inflig\u00e9s \u00e0 Free et Free Mobile sont consid\u00e9rables, mais ils n’\u00e9tablissent pas de record. La CNIL a d\u00e9j\u00e0 prononc\u00e9 des amendes nettement sup\u00e9rieures, en particulier en 2025. Replacer la sanction dans cette hi\u00e9rarchie aide \u00e0 mesurer la trajectoire r\u00e9pressive du r\u00e9gulateur fran\u00e7ais.<\/p>\n\n\n\n
Entreprise \/ secteur<\/th>Montant<\/th>Ann\u00e9e<\/th>Motif principal<\/th><\/tr><\/thead>
Acteur sanctionn\u00e9 (montant record)<\/td>325 M\u20ac<\/td>2025<\/td>Sanction figurant sur la page CNIL<\/td><\/tr>
D\u00e9taillant de mode en ligne<\/td>150 M\u20ac<\/td>2025<\/td>Donn\u00e9es personnelles et cookies<\/td><\/tr>
Google LLC<\/td>50 M\u20ac<\/td>2019<\/td>Transparence et consentement publicitaire<\/td><\/tr>
Criteo<\/td>40 M\u20ac<\/td>2023<\/td>Base l\u00e9gale du suivi publicitaire<\/td><\/tr>
Free Mobile<\/td>27 M\u20ac<\/td>2026<\/td>S\u00e9curit\u00e9 des donn\u00e9es (article 32)<\/td><\/tr>
Free SAS<\/td>15 M\u20ac<\/td>2026<\/td>S\u00e9curit\u00e9 des donn\u00e9es (article 32)<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
Deux enseignements ressortent de ce classement. D’abord, la CNIL a franchi un cap en 2025 avec des sanctions atteignant plusieurs centaines de millions d’euros, l\u00e0 o\u00f9 le plafond symbolique tournait auparavant autour de 50 millions. Ensuite, la sanction Free se distingue par son motif. Les plus grosses amendes ant\u00e9rieures portaient surtout sur la publicit\u00e9, les cookies et le consentement. La sanction de janvier 2026 vise la s\u00e9curit\u00e9 brute des syst\u00e8mes apr\u00e8s une intrusion. Ce d\u00e9placement du curseur, de la conformit\u00e9 marketing vers la cyberd\u00e9fense, est l’un des signaux les plus importants de l’affaire.<\/p>\n\n\n\n
Note de prudence sur ce tableau : les montants de 2025 (325 M\u20ac et 150 M\u20ac) figurent sur la page officielle des sanctions de la CNIL, mais l’identit\u00e9 pr\u00e9cise de la soci\u00e9t\u00e9 vis\u00e9e par le plus haut montant n’est pas reproduite ici faute de confirmation directe. Les amendes Google (2019), Criteo (2023) et Free (2026) sont, elles, document\u00e9es par les communiqu\u00e9s de l’autorit\u00e9.<\/p>\n\n\n\n
La France dans l’application du RGPD en Europe<\/h2>\n\n\n\n
La sanction Free ne se comprend pleinement qu’\u00e0 l’\u00e9chelle europ\u00e9enne. Depuis l’entr\u00e9e en application du RGPD en mai 2018, les autorit\u00e9s de protection des donn\u00e9es ont prononc\u00e9 des amendes pour un total cumul\u00e9 d’environ 6,31 milliards d’euros, selon le d\u00e9compte de l’Enforcement Tracker, qui recense plus de 3 194 actions. La France figure parmi les r\u00e9gulateurs les plus actifs, aux c\u00f4t\u00e9s de l’Irlande, du Luxembourg et de l’Italie.<\/p>\n\n\n\n
Indicateur<\/th>Valeur<\/th>Source<\/th>P\u00e9riode<\/th><\/tr><\/thead>
Total cumul\u00e9 des amendes RGPD dans l’UE<\/td>\u2248 6,31 Md\u20ac<\/td>Enforcement Tracker<\/td>2018-2026<\/td><\/tr>
Nombre d’actions r\u00e9pertori\u00e9es<\/td>3 194<\/td>Enforcement Tracker<\/td>2018-2026<\/td><\/tr>
Plus grosse amende RGPD jamais inflig\u00e9e<\/td>1,2 Md\u20ac<\/td>Irish DPC (Meta)<\/td>Mai 2023<\/td><\/tr>
Sanctions CNIL (cumul r\u00e9cent)<\/td>\u2248 486,8 M\u20ac (78 amendes)<\/td>CMS \/ 83 mesures<\/td>P\u00e9riode r\u00e9cente<\/td><\/tr>
Sanction Free \/ Free Mobile<\/td>42 M\u20ac<\/td>CNIL<\/td>Janvier 2026<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
La plus lourde amende RGPD de l’histoire reste les 1,2 milliard d’euros inflig\u00e9s \u00e0 Meta Platforms Ireland par l’autorit\u00e9 irlandaise (Irish DPC) en mai 2023, pour des transferts de donn\u00e9es vers les \u00c9tats-Unis. \u00c0 cette aune, les 42 millions de Free rel\u00e8vent d’une cat\u00e9gorie interm\u00e9diaire : une sanction lourde \u00e0 l’\u00e9chelle fran\u00e7aise, mais loin des records transfrontaliers visant les g\u00e9ants am\u00e9ricains. Le cabinet CMS a, pour sa part, recens\u00e9 83 mesures de la CNIL dont 78 amendes pour un total de 486,8 millions d’euros, un volume qui illustre la r\u00e9gularit\u00e9 de l’action fran\u00e7aise.<\/p>\n\n\n\n
Cette comparaison nourrit notre analyse sur les violations de donn\u00e9es<\/a> et leurs cons\u00e9quences r\u00e9glementaires. Le RGPD a transform\u00e9 la fuite de donn\u00e9es d’un risque r\u00e9putationnel en un risque financier chiffrable, int\u00e9gr\u00e9 d\u00e9sormais aux mod\u00e8les de risque des directions g\u00e9n\u00e9rales.<\/p>\n\n\n\n
Impact march\u00e9 : ce que la sanction change pour les t\u00e9l\u00e9coms<\/h2>\n\n\n\n
Pour le groupe Iliad, maison m\u00e8re de Free, 42 millions d’euros repr\u00e9sentent une charge r\u00e9elle mais absorbable au regard d’un chiffre d’affaires annuel de plusieurs milliards. L’impact direct sur les comptes reste limit\u00e9. L’impact indirect, lui, est plus profond. La sanction valide publiquement la th\u00e8se selon laquelle l’op\u00e9rateur a sous-investi dans la s\u00e9curit\u00e9, ce qui p\u00e8se sur la confiance des abonn\u00e9s au moment o\u00f9 le march\u00e9 fran\u00e7ais se livre une guerre des prix f\u00e9roce.<\/p>\n\n\n\n
Pour les concurrents, le signal est clair. Orange, SFR et Bouygues Telecom d\u00e9tiennent des bases de donn\u00e9es comparables, avec les m\u00eames IBAN et les m\u00eames donn\u00e9es d’identit\u00e9. Aucun ne peut ignorer qu’une faille du m\u00eame type d\u00e9clencherait une proc\u00e9dure identique. La sanction Free agit donc comme un prix de r\u00e9f\u00e9rence pour le risque cyber dans le secteur. Les directions financi\u00e8res des op\u00e9rateurs devront d\u00e9sormais arbitrer entre le co\u00fbt d’un renforcement de la s\u00e9curit\u00e9 et le co\u00fbt attendu d’une amende, et la balance vient de pencher nettement vers l’investissement.<\/p>\n\n\n\n
Au-del\u00e0 des t\u00e9l\u00e9coms, toute entreprise fran\u00e7aise manipulant des coordonn\u00e9es bancaires en masse est concern\u00e9e : banques en ligne, plateformes d’e-commerce, fournisseurs d’\u00e9nergie, services d’abonnement. La logique de la CNIL est sectorielle dans son intensit\u00e9, mais universelle dans son principe. La s\u00e9curit\u00e9 des IBAN devient un point de contr\u00f4le prioritaire. Cette dynamique rejoint les tendances d\u00e9crites dans notre dossier sur la fuite de donn\u00e9es en France en 2026<\/a>, o\u00f9 plus de 250 millions de donn\u00e9es ont \u00e9t\u00e9 expos\u00e9es.<\/p>\n\n\n\n
La position de la CNIL : s\u00e9curit\u00e9, obligation de r\u00e9sultat<\/h2>\n\n\n\n
La doctrine que d\u00e9fend la CNIL \u00e0 travers cette sanction tient en une id\u00e9e : la s\u00e9curit\u00e9 des donn\u00e9es est une obligation continue, et son d\u00e9faut est sanctionnable ind\u00e9pendamment de la responsabilit\u00e9 de l’attaquant. Dans son communiqu\u00e9, l’autorit\u00e9 insiste sur \u00ab le caract\u00e8re inadapt\u00e9 des mesures prises pour assurer la s\u00e9curit\u00e9 des donn\u00e9es de leurs abonn\u00e9s \u00bb. La faute reproch\u00e9e n’est pas d’avoir \u00e9t\u00e9 attaqu\u00e9, mais de ne pas avoir \u00e9t\u00e9 suffisamment pr\u00e9par\u00e9.<\/p>\n\n\n\n
Ce positionnement s’inscrit dans la continuit\u00e9 de la strat\u00e9gie d’enforcement affich\u00e9e par la CNIL d\u00e9but 2026, pr\u00e9sent\u00e9e comme la d\u00e9monstration que l’all\u00e8gement de certaines formalit\u00e9s ne r\u00e9duit pas l’exigence de fond. Le r\u00e9gulateur d\u00e9place la conformit\u00e9 d’une logique de paperasse vers une logique de r\u00e9sultat op\u00e9rationnel. Disposer d’une politique de s\u00e9curit\u00e9 sur le papier ne suffit plus ; encore faut-il qu’elle r\u00e9siste \u00e0 une attaque r\u00e9elle.<\/p>\n\n\n\n
Il faut souligner un point de rigueur journalistique : le communiqu\u00e9 public de la CNIL ne contient pas de citation attribu\u00e9e nomm\u00e9ment \u00e0 son pr\u00e9sident ou au rapporteur de l’affaire. Les formulations cit\u00e9es ici sont celles de la d\u00e9cision institutionnelle de la formation restreinte, l’organe coll\u00e9gial qui prononce les sanctions. Cette pr\u00e9cision \u00e9vite de pr\u00eater \u00e0 des personnes des propos qu’elles n’ont pas tenus publiquement, une rigueur d’autant plus n\u00e9cessaire que de nombreuses analyses approximatives ont circul\u00e9 apr\u00e8s l’annonce.<\/p>\n\n\n\n
Contexte historique : l’escalade des sanctions depuis 2019<\/h2>\n\n\n\n
Pour saisir la port\u00e9e de la d\u00e9cision de janvier 2026, il faut remonter la chronologie de la r\u00e9pression fran\u00e7aise. En 2019, la premi\u00e8re grande amende RGPD de la CNIL, 50 millions d’euros contre Google, avait fait figure d’\u00e9lectrochoc. \u00c0 l’\u00e9poque, ce montant semblait vertigineux. Il visait un d\u00e9faut de transparence et de consentement dans la publicit\u00e9, pas une faille de s\u00e9curit\u00e9.<\/p>\n\n\n\n
Les ann\u00e9es suivantes ont vu la CNIL affiner sa pratique sur les cookies et le ciblage publicitaire, avec des sanctions comme les 40 millions d’euros contre Criteo en 2023. Puis 2025 a marqu\u00e9 une rupture d’\u00e9chelle, avec des amendes atteignant plusieurs centaines de millions d’euros figurant sur la page officielle des sanctions. La sanction Free de 2026 prolonge cette trajectoire en l’orientant vers un nouveau terrain : la s\u00e9curit\u00e9 technique des syst\u00e8mes.<\/p>\n\n\n\n
Cette \u00e9volution accompagne celle du paysage r\u00e9glementaire europ\u00e9en. La directive NIS2, le r\u00e8glement DORA pour le secteur financier et le Cyber Resilience Act pour les produits connect\u00e9s ajoutent des couches d’obligations qui se cumulent avec le RGPD. Une m\u00eame faille peut d\u00e9sormais d\u00e9clencher plusieurs proc\u00e9dures parall\u00e8les. Nos analyses sur NIS2 en France<\/a> et sur le Cyber Resilience Act<\/a> d\u00e9taillent ce maillage en construction.<\/p>\n\n\n\n
R\u00e9actions et analyse du secteur de la conformit\u00e9<\/h2>\n\n\n\n
Du c\u00f4t\u00e9 des professionnels de la conformit\u00e9, la sanction confirme une tendance redout\u00e9e depuis plusieurs ann\u00e9es : la s\u00e9curit\u00e9 informatique est devenue le premier poste de risque RGPD, devant les questions de consentement publicitaire qui dominaient jusqu’ici. Les d\u00e9l\u00e9gu\u00e9s \u00e0 la protection des donn\u00e9es (DPO) des grands groupes fran\u00e7ais lisent la d\u00e9cision Free comme un avertissement direct adress\u00e9 \u00e0 leur propre organisation.<\/p>\n\n\n\n
L’analyse de la r\u00e9daction de shattered.io est la suivante : la d\u00e9cision cr\u00e9e un effet de r\u00e9f\u00e9rence durable. Tant que les amendes li\u00e9es \u00e0 la s\u00e9curit\u00e9 restaient rares, les directions pouvaient consid\u00e9rer le risque comme th\u00e9orique. Avec 42 millions d’euros plac\u00e9s sur une faille de s\u00e9curit\u00e9 concr\u00e8te chez un op\u00e9rateur de premier plan, la probabilit\u00e9 per\u00e7ue d’une sanction augmente, et avec elle la volont\u00e9 d’investir. C’est pr\u00e9cis\u00e9ment le m\u00e9canisme dissuasif que recherche le r\u00e9gulateur.<\/p>\n\n\n\n
Un second axe d’analyse concerne la conservation des donn\u00e9es. Le grief tir\u00e9 de l’article 5(1)(e) contre Free Mobile rappelle une v\u00e9rit\u00e9 souvent ignor\u00e9e : la donn\u00e9e la mieux prot\u00e9g\u00e9e est celle qu’on ne conserve pas. R\u00e9duire les dur\u00e9es de r\u00e9tention diminue m\u00e9caniquement la surface expos\u00e9e en cas d’intrusion. Cette discipline de minimisation, longtemps per\u00e7ue comme une contrainte abstraite, devient un levier concret de r\u00e9duction du risque financier.<\/p>\n\n\n\n
Enfin, la dimension bancaire de la fuite pourrait nourrir un contentieux civil. Les abonn\u00e9s dont l’IBAN a \u00e9t\u00e9 expos\u00e9 et qui subiraient une fraude pourraient chercher \u00e0 engager la responsabilit\u00e9 de l’op\u00e9rateur, ind\u00e9pendamment de la sanction administrative. Le pr\u00e9c\u00e9dent de la CNIL, qui \u00e9tablit officiellement un d\u00e9faut de s\u00e9curit\u00e9, constitue un point d’appui pour d’\u00e9ventuelles actions de groupe.<\/p>\n\n\n\n
Que peuvent faire les abonn\u00e9s Free concern\u00e9s<\/h2>\n\n\n\n
Si vous \u00e9tiez client de Free ou Free Mobile en octobre 2024, quelques r\u00e9flexes limitent le risque. La fuite remonte \u00e0 plus d’un an, mais les donn\u00e9es vol\u00e9es circulent durablement et peuvent \u00eatre exploit\u00e9es longtemps apr\u00e8s l’incident.<\/p>\n\n\n\n