La CNIL a annoncé, mercredi, avoir sanctionné Free Mobile et Free d'une amende de 42 millions d'euros, pour violation du RGPD. Une conséquence de la cyberattaque subie il y a un an et demi par l'opérateur.
Pour Free, le couperet vient de tomber. Ce mercredi 14 janvier 2026, la CNIL, la Commission nationale de l'informatique et des libertés, a annoncé une double sanction contre Free, après la terrible cyberattaque d'octobre 2024. Le gendarme des données a adressé des amendes de 27 millions d'euros à Free Mobile, et 15 millions d'euros pour Free, pour un total de 42 millions d'euros. Au final, ce sont 24 millions de contrats qui ont été exposés, des coordonnées bancaires (IBAN) ont circulé, et 2 500 plaintes ont été déposées.
Les systèmes de protection de Free furent inefficaces
L'enquête de la CNIL dépeint un scénario évidemment regrettable. En octobre 2024, un pirate informatique s'est introduit dans les serveurs de Free avec une certaine facilité. Le point d'entrée, ce fut les accès VPN qui permettent aux salariés de se connecter à distance. Ces connexions, censées être ultra-sécurisées, disposaient en réalité d'une authentification beaucoup trop faible pour bloquer l'intrusion.
Mais le plus inquiétant reste ailleurs. Free disposait de systèmes censés repérer toute activité suspecte sur son réseau informatique. Le hic, c'est qu'ils n'ont rien vu venir. Ces garde-fous, pourtant essentiels, se sont révélés totalement aveugles face à l'intrusion. Un problème, hélas, quand on gère les données sensibles de dizaines de millions de clients, y compris des IBAN pour ceux abonnés aux deux services. Des campagnes malveillantes ont depuis été lancées, grâce notamment aux IBAN bancaires, qui renforcent la crédibilité des hackers dans leur approche.
La formation restreinte de la CNIL souligne et rappelle que si le risque zéro n'existe pas en cybersécurité, mais elle ajoute qu'il existe des standards minimaux à respecter. Free était, de son point de vue, assez loin du compte. D'autant que les sociétés ont commencé à renforcer leur arsenal sécuritaire... seulement après l'attaque. Elles ont désormais trois mois pour boucler ces chantiers.
Pour la CNIL, Free a échoué dans sa communication de crise
Il est à noter que Free avait, auprès de Clubic notamment, très rapidement communiqué et fait preuve d'une certaine transparence autour de l'attaque. Mais outre les failles techniques, Free a aussi raté sa gestion de crise, aux yeux de la CNIL. Certes, l'opérateur a envoyé un e-mail d'information à ses clients et ouvert un numéro vert. Mais le message expédié était lacunaire. Selon l'autorité indépendante, il était impossible pour les abonnés de saisir pleinement l'étendue des dégâts ni les gestes concrets pour se protéger. Un manquement au RGPD qui laisse les victimes dans le flou.
Free Mobile traîne un autre boulet, à savoir sa politique de conservation des données. L'opérateur stockait des millions d'informations d'anciens clients sans raison légitime, pendant des années. Aucun tri, aucune suppression automatique une fois passée la période légale de dix ans pour les obligations comptables. Un détail qui augmentait l'exposition aux risques pour ces anciens abonnés, et qui a pesé au moment de trancher sur une sanction.
Les deux sociétés disposent de délais serrés pour rectifier le tir : six mois pour Free Mobile pour purger ses bases de données obsolètes, trois mois pour finaliser les nouvelles mesures de sécurité. Le délai court à compter de la notification de la délibération à Free, intervenue le 8 janvier 2026. Cette sanction record en tout cas un tournant, car Orange, SFR et Bouygues Telecom ont aussi été touchés, ces deux dernières années, par des cyberattaques. Gérer des données personnelles n'est pas un privilège, mais une responsabilité dont les manquements se paient cash, la CNIL tient à le faire comprendre.
