La CNIL a infligé une amende record de 42 millions d’euros à Free et Free Mobile, à la suite de la cyberattaque de 2024 qui a exposé les données de dizaines de millions d’abonnés, dont plus de 5 millions d’IBAN. Cette décision ouvre de nouvelles perspectives pour les clients concernés, même si l’opérateur conteste la sévérité de la sanction et annonce un recours devant le Conseil d’État.

Sanction de la CNIL contre Free et Free Mobile après une fuite massive de données personnelles
La CNIL inflige une amende record de 42 millions d’euros à Free et Free Mobile pour des manquements graves au RGPD après un vol massif de données. © Labo Maison

Une sanction record pour Free et Free Mobile

La Commission nationale de l’informatique et des libertés (CNIL) a rendu publique, le 14 janvier 2026, une décision très sévère à l’encontre de Free et Free Mobile, avec des amendes respectives de 15 et 27 millions d’euros, soit 42 millions au total. Le régulateur sanctionne l’opérateur pour des manquements graves au RGPD, en lien direct avec le piratage massif révélé à l’automne 2024.

Selon la CNIL, les mesures de sécurité mises en place par le groupe Iliad étaient « inadaptées » au regard du volume et de la sensibilité des données traitées, en particulier les informations bancaires. Le gendarme des données rappelle que, même si le risque zéro n’existe pas, des dispositifs plus robustes auraient pu rendre l’attaque plus difficile ou en limiter l’impact.

À Lire également : Free revoit le prix de ses offres Freebox Pop S et Freebox Revolution Light à la hausse

Une fuite qui touche plus de 24 millions de contrats

L’enquête a montré qu’un attaquant avait réussi à s’introduire dans les systèmes internes de Free pendant plusieurs semaines, accédant aux données liées à environ 24,6 millions de contrats. Parmi ces informations figuraient l’identité des abonnés, leurs coordonnées, des éléments contractuels ainsi que, pour 5,1 millions d’entre eux, leurs coordonnées bancaires (IBAN).

La CNIL pointe également un problème de conservation excessive : des données d’anciens abonnés ont été gardées pendant des années sans justification, aggravant mécaniquement le nombre de personnes impactées. Au total, la conservation injustifiée concerne environ 15 millions de contrats, que Free doit désormais purger dans un calendrier imposé par le régulateur.

Des manquements multiples au RGPD

Dans sa décision, la CNIL retient plusieurs manquements au règlement général sur la protection des données, notamment à l’article 32 relatif à la sécurité des traitements. L’autorité souligne des faiblesses dans l’authentification des accès distants, des dispositifs de détection d’anomalies jugés inefficaces et une surveillance insuffisante des systèmes exposés.

Le régulateur reproche aussi à Free et Free Mobile une information incomplète des abonnés après la découverte de l’attaque, le mail envoyé ne comportant pas l’ensemble des mentions obligatoires prévues par l’article 34 du RGPD. Selon la CNIL, ces lacunes ont empêché de nombreux clients de comprendre immédiatement les risques encourus et les mesures de protection à adopter.

Free dénonce une sanction « d’une sévérité inédite »

De son côté, Free juge la décision disproportionnée et parle d’une sanction « d’une sévérité inédite » pour une cyberattaque, tout en rappelant avoir lui-même été victime de criminels. L’opérateur affirme avoir renforcé ses dispositifs de cybersécurité dès 2024, en améliorant les contrôles d’accès, la surveillance en temps réel et les procédures de gestion des incidents.

Le groupe a annoncé avoir saisi le Conseil d’État pour contester l’amende de 42 millions d’euros et demander une révision de la décision. Ce recours ne suspend toutefois pas, à ce stade, la reconnaissance par la CNIL de manquements « particulièrement graves » et d’une négligence dans la protection des données personnelles.

Quelles conséquences pour les abonnés concernés ?

L’amende infligée par la CNIL sera versée au budget de l’État et non aux victimes, mais la décision constitue une base juridique précieuse pour les abonnés souhaitant faire valoir leurs droits. Comme le rappelle 60 Millions de consommateurs, les clients dont les données ont été exposées peuvent théoriquement demander réparation de leur préjudice sur le fondement de l’article 82 du RGPD, à condition de prouver le dommage et le lien avec la fuite chez Free.

Plusieurs voies restent possibles pour les personnes touchées : démarches auprès de l’opérateur, médiation des communications électroniques, dépôt de plainte en cas de fraude et, pour les situations les plus graves, actions en justice individuelles ou collectives via une association agréée. L’affaire Free pourrait ainsi devenir un cas emblématique de la manière dont les victimes de cyberattaques peuvent, ou non, obtenir une indemnisation en France.

Source : Le Monde.