Actualités

Par deux décisions du 13 janvier 2026, la CNIL a prononcé une sanction de 27 millions € contre Free Mobile et de 15 millions € contre Free.

En 2024, un pirate informatique est parvenu à s’infiltrer dans le système d’information des sociétés et à accéder aux données personnelles de 24 millions d’abonnés (dont les données d’identité, contractuelles et, dans certains cas, IBAN).

La CNIL relève 3 manquements majeurs :

1️⃣ Manquement à l’obligation de conserver les données personnelles pendant une durée limitée

Des données relatives à plus de 15 millions de contrats résiliés depuis plus de 5 ans, dont 3 millions depuis plus de 10 ans, n’avaient jamais été supprimées, contrairement à ce qui était indiqué dans la politique de confidentialité.

2️⃣ Manquement à l’obligation d’assurer la sécurité des données personnelles

L’attaque est intervenue par la connexion au VPN de Free Mobile et Free, utilisé par les employés pour le travail à distance.

La CNIL relève que les sociétés Free Mobile et Free n’avaient pas mis en oeuvre certaines mesures élémentaires de sécurité.

L’attaque a ainsi été facilitée par :
– une authentification VPN insuffisamment robuste (absence d’authentification des postes nomades et d’authentification multi facteur des utilisateurs),
– un dispositif d’analyse de connexions inefficace (absence de mesures de sécurité pour détecter une activité suspecte sur le VPN).

3️⃣ Manquement à l’obligation de communiquer auprès des personnes concernées par la violation de données

La CNIL constate que le courrier d’information adressé aux personnes concernées par la violation était trop vague en ce qu’il a simplement indiqué :
– que toutes les mesures nécessaires ont été prises immédiatement pour mettre fin à l’attaque et renforcer la protection des systèmes d’information,
– que les personnes concernées devraient être vigilantes face au risque d’emails, SMS ou appels frauduleux.

Les délibérations :
Free Mobile
Free