par Fanny PARAZINES, étudiante du Master 2 Droit des communications électroniques
En janvier 2026, la Commission Nationale de l’Informatique et des Libertés (CNIL) a rendu deux décisions de sanction marquantes à l’encontre des sociétés Free Mobile et Free, prononçant des amendes respectives de 27 millions et 15 millions d’euros, soit 42 millions d’euros au total pour des manquements à la sécurité et à la gestion des données personnelles de leurs abonnés. Cette décision s’inscrit dans un contexte plus large de renforcement de la régulation du numérique, où la CNIL n’hésite plus à imposer des sanctions d’un montant élevé pour obtenir l’effectivité du RGPD.
Une cyberattaque révélant des insuffisances graves dans la sécurisation des données
Le contrôle mené par la CNIL faisait suite à une violation particulièrement grave des systèmes d’information de Free, survenue en octobre 2024. La violation a permis à un hacker (ou tiers non autorisé) d’accéder aux données personnelles associées à plus de 24 millions de contrats d’abonnés. Les informations compromises incluaient notamment des données d’identification (nom, prénom, adresse, numéro de téléphone), mais aussi des données bancaires, telles que les IBAN, ce qui exposait les personnes concernées à des risques élevés de fraude et d’usurpation d’identité. Si l’existence d’une cyberattaque n’est pas en soi constitutive d’un manquement au RGPD, la CNIL a considéré que les circonstances de l’incident révélaient surtout une défaillance structurelle dans la sécurisation des traitements, au sens de l’article 32 du RGPD. En effet, les entreprises sont contraintes, en tant que responsables de traitement, de mettre en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque.
Des manquements répétés aux obligations fondamentales du RGPD
En l’espèce, l’autorité a relevé que Free n’avait pas instauré des mécanismes de sécurité proportionnés à ses responsabilités. En effet, l’opérateur mobile traite plusieurs dizaines de millions de données, représentant alors un risque très élevé en cas d’atteinte ou de fuite de ces données. Ces manquements ont notamment été observés en matière de contrôle des accès ; il est vrai que les administrateurs des bases de données de Free, ceux qui ont donc un accès direct à ces données à caractère personnel, n’étaient pas contraints à un mécanisme de double identification pour s’identifier à leur poste. Ce mécanisme est pourtant très courant, demandant peu de technique et peut ralentir les personnes malveillantes. De plus, le système de détection des activités anormales et de sécurisation des bases de données contenant des informations particulièrement sensibles, n’avait pas été mis à jour depuis longtemps, et était donc largement inefficace face à des cyberattaques sophistiquées.
Ces lacunes traduisent un défaut d’anticipation des risques, en contradiction avec l’exigence d’accountability posée à l’article 5, §2 du RGPD, selon laquelle le responsable de traitement doit être en mesure de démontrer le respect effectif des principes de protection des données.
Par ailleurs, la CNIL a également mis en évidence des manquements au principe de limitation de la conservation prévu à l’article 5, §1, e) du RGPD. Certaines données étaient toujours présentes dans les bases de données de Free, concernant pourtant des abonnés ayant résiliées leur abonnement depuis 2019, soit 5 ans auparavant, sans justification valable. Au-delà d’être totalement illégale, cette conservation des données à caractère personnel a grandement accru l’ampleur de la violation.
Enfin, les modalités d’information des personnes concernées ont été jugées insuffisantes au regard des exigences de l’article 34 du RGPD, qui impose une communication claire et complète lorsque la violation est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes. Le mail envoyé aux personnes concernées n’était pas suffisamment explicite, selon la CNIL. Il n’aurait pas permis aux abonnés, dont les données ont fuité, de se rendre compte de la gravité de la situation, ne les incitant pas à opérer des actions protectrices de leur côté, comme par exemple, bloquer leur compte bancaire.
La proportionnalité de l’amende prononcée par la CNIL
Cette décision illustre que la CNIL ne sanctionne pas l’incident de sécurité en tant que tel, mais l’absence de conformité proactive aux obligations du RGPD, notamment en matière de sécurité des données (art. 32), de notification des violations (art. 34) et de limitation de la conservation (art. 5, §1, e). Le montant de l’amende est fixé selon une appréciation proportionnée et individualisée, tenant compte de la gravité des manquements, du nombre de personnes concernées, de la nature des données en cause, du caractère évitable des défaillances. Enfin il est observé avec attention la situation économique de l’organisme sanctionné pour s’assurer que l’amende soit suffisamment dissuasive et proportionnée. Le RGPD prévoit un cadre de sanctions graduées qui peuvent aller jusqu’à 10 ou 20 millions d’euros ou, pour les grandes entreprises, jusqu’à 4 % du chiffre d’affaires mondial. Ce mécanisme n’est pas simplement punitif, mais sert à favoriser un changement réel dans les pratiques de traitement des données.
Free : touché par la nouvelle prise de position forte de la CNIL pour dissuader les grosses entreprises
La sanction infligée à Free s’inscrit dans une stratégie assumée de la CNIL visant à responsabiliser les grandes entreprises qui traitent des volumes importants de données personnelles. Elle fait écho à d’autres décisions récentes, notamment la condamnation de Google à 325 millions d’euros pour des pratiques publicitaires et de dépôt de cookies non conformes, marquées par l’absence de consentement valable et un défaut d’information des utilisateurs.
À travers ces sanctions, la CNIL adresse un message clair : le respect des droits des personnes ne peut être relégué au rang de simple contrainte économique, mais constitue une condition essentielle de l’activité numérique. En combinant contrôles, injonctions et amendes élevées, l’autorité entend assurer l’effectivité des principes fondamentaux du RGPD, tels que la sécurité, la transparence et la limitation de la conservation des données.
Au-delà de leur impact financier, ces décisions revêtent une portée symbolique forte, rappelant que les acteurs privés demeurent pleinement responsables de la protection des données qu’ils traitent et doivent intégrer la conformité réglementaire au cœur de leur gouvernance. La condamnation de Free illustre ainsi la maturation progressive de la régulation européenne du numérique, caractérisée par un usage plus affirmé des pouvoirs de sanction des autorités de contrôle.