La CNIL a sanctionné les entreprises Free et Free Mobile avec de lourdes amendes suite à la cyberattaque survenue en octobre 2024. Suite à cette intrusion, les pirates avaient pu mettre la main sur les IBAN des clients.

Ce mercredi 14 janvier 2026, la CNIL a publié un nouveau communiqué pour évoquer les amendes à l’encontre de Free et Free Mobile, mais aussi les raisons de cette sanction. L’Agence française a prononcé une amende de 27 millions d’euros pour Free Mobile et 15 millions d’euros pour Free, soit 42 millions d’euros au total. Le montant de ces sanctions tient compte de plusieurs facteurs :

• Les capacités financières de Free et Free Mobile,
• La méconnaissance de principes essentiels en matière de sécurité,
• Du nombre de personnes concernées,
• Du caractère « hautement » personnel des données compromises,
• Des risques engendrés par la fuite de certaines données (IBAN).

Pour comprendre les raisons de cette sanction, remontons le temps jusqu’en octobre 2024. C’est précisément à ce moment que les ennuis ont commencé pour Free, avec la découverte d’une intrusion ayant permis à un pirate de voler des données sensibles au sujet des clients. Dans la foulée, un e-mail d’information avait été envoyé par Free pour notifier les personnes concernées.

“En octobre 2024, un attaquant est parvenu à s’infiltrer dans le système d’information des sociétés et à accéder à des données personnelles concernant 24 millions de contrats d’abonnés, dont des IBAN lorsque les personnes étaient à la fois clientes de la société FREE MOBILE et de la société FREE.“, précise la CNIL.

Il est vrai que dans le cas présent, la fuite de l’IBAN pose un vrai problème. Malgré les fuites de données récurrentes, c’est un document qui termine rarement entre les mains des pirates dans des proportions aussi importantes (et c’est tant mieux).

La CNIL évoque des problèmes de sécurité

La CNIL reproche à Free et Free Mobile de ne pas avoir rendu l’attaque plus difficile grâce à l’adoption de mesures de sécurité adéquates. Deux points importants sont mis en évidence et sont considérés comme des mesures non adaptées pour assurer la confidentialité des données :

• Authentification pas suffisamment robuste pour se connecter en VPN dans le cadre du télétravail,
• Système de détection des comportements anormaux inefficaces,

“Même s’il est impossible d’éliminer tout risque, celles-ci peuvent en réduire la probabilité et, le cas échéant, en limiter la gravité.“, peut-on lire.

Au terme de son analyse, la CNIL retient la violation de trois articles du RGPD :

• Article 32 : obligation d’assurer la sécurité des données personnelles (raisons évoquées ci-dessus)
• Article 34 : obligation de communiquer auprès des personnes concernées par la violation de données. La CNIL estime que le courriel d’information ne contenait pas toutes les informations nécessaires, notamment sur les conséquences de cette fuite de données (faux conseillers bancaires, arnaque aux prélèvements SEPA, etc.) et les mesures à mettre en place pour se protéger.
• Article 5-1-e : obligation de conserver les données personnelles pendant une durée limitée (uniquement pour Free Mobile). Il s’avère que Free Mobile conserve au-delà des durées légales les informations au sujet des anciens abonnés, sans jamais faire le tri.

Free et Free Mobile passent à l’action

Désormais, les équipes de Free et Free Mobile sont passées à l’action pour améliorer leur niveau de sécurité. Disons qu’elles n’ont pas trop le choix puisqu’elles disposent d’un délai de 3 mois pour dérouler ces projets et combler leurs lacunes en matière de sécurité.

En complément, un délai de 6 mois a été accordé pour permettre de nettoyer les bases de données afin d’éliminer les données relatives aux anciens clients.

Aujourd’hui, Free et Free Mobile ont été sanctionnés, mais d’autres entreprises pourraient l’être par la suite. Il y a plusieurs cyberattaques importantes en France ces dernières années, y compris du côté des concurrents de Bouygues Telecom. Affaire à suivre.