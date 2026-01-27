Le 8 janvier 2026, la CNIL a rendu deux délibérations à l'encontre des sociétés Free Mobile 1 et Free 2 (les « Sociétés »), leur infligeant respectivement des amendes de 27 et 15 millions d'euros pour divers manquements au Règlement général sur la protection des données (RGPD).

En l'espèce, les Sociétés ont été alertées en octobre 2024, qu'un attaquant s'était introduit dans leurs systèmes d'information et avait pu accéder à plus de 24 millions de contrats d'abonnés contenant, dans certains cas, les IBAN des clients. Ces violations de données ont été notifiées à la CNIL le 23 octobre 2024.

À la suite de nombreuses plaintes déposées par des personnes touchées par ces violations de données, la CNIL a procédé à un contrôle de chacune des deux Sociétés et a notamment constaté :

un manquement à l'obligation d'assurer la sécurité des données en application de l'art. 32 du RGPD 3 : la CNIL a notamment relevé des insuffisances concernant (i) la procédure d'authentification pour se connecter au VPN des Sociétés et concernant (ii) les mesures de détection des comportements anormaux sur leurs systèmes d'information ;

: la CNIL a notamment relevé des insuffisances concernant (i) la procédure d'authentification pour se connecter au VPN des Sociétés et concernant (ii) les mesures de détection des comportements anormaux sur leurs systèmes d'information ; manquement à l'obligation de communiquer aux personnes concernées la survenance d'une violation de données à caractère personnel en application de l'art. 34 du RGPD 4 : les Sociétés ont informé les personnes concernées des violations de données survenues en envoyant un courriel d'information, en proposant un numéro vert et en mettant en place un dispositif interne de gestion des demandes auprès du délégué à la protection des données (ticket DPO).

La CNIL à toutefois considéré que le courriel d'information initial ne comportait pas toutes les informations requises et ne permettait donc pas de répondre aux exigences de l'art. 34 RGPD (ex : l'information communiquée n'était pas suffisamment précise s'agissant des mesures de remédiation mises en Suvre et s'agissant des conséquences probables de la violation de données en cause et les mesures à prendre pour en atténuer les éventuelles conséquences négatives).

Lors du contrôle de la société Free Mobile, la CNIL a également pu constater un manquement à l'obligation de conserver les données pour une durée proportionnée à la finalité du traitement en application de l'art. 5(1)(e) RGPD 5.

La CNIL a en effet relevé que Free Mobile n'avait pas finalisé le déploiement de son mécanisme de purge des données, entrainant la conservation potentiellement indéfinie des données liées aux factures et abonnements résiliées, sans que soit faite la moindre distinction de finalités. Elle a ainsi constaté la présence de données relatives à plus de 15 millions de contrats résiliés depuis plus de 5 ans dont 3 millions depuis plus de 10 ans. Free Mobile a donc conservé, sans justification, des millions de données pendant une durée jugée excessive.

Footnotes

1 Délibération SAN-2026-001 du 8 janvier 2026

2 Délibération SAN-2026-002 du 8 janvier 2026

3 art. 32, RGPD

4 art. 34, RGPD

5 art. 5(1)(e), RGPD

