Free condamné à 42 millions € : le piratage de vos données était “bien trop facile” selon la CNIL
L’opérateur Free, ainsi que sa filiale Free Mobile, se retrouve aujourd’hui confronté à une amende record infligée par la Commission nationale de l’informatique et des libertés (Cnil). Cette décision, annoncée le 14 janvier 2026, fait suite à une cyberattaque majeure survenue en octobre 2024 ayant exposé les données personnelles de millions de clients. À travers cette affaire, la question de la sécurité informatique et du respect du RGPD chez les grands opérateurs télécoms est remise en lumière.
Une cyberattaque d’ampleur historique
L’incident dévoilé en octobre 2024 a rapidement été qualifié de l’un des plus importants piratages dans le secteur des télécommunications en France. Selon les éléments partagés par la Cnil, pas moins de 24 millions de clients et anciens clients ont vu leurs informations compromises lors de cette attaque.
L’événement s’est principalement déroulé sur les serveurs contenant les données contractuelles des abonnés, exposant noms, coordonnées, adresses postales, documents d’identité et parfois même des informations bancaires sensibles. Cet incident, détecté par Free après l’exploitation d’une faille de sécurité, a entraîné la saisie rapide des autorités compétentes.
Mise en examen d’un mineur soupçonné à l’origine du piratage début 2025
Les manquements relevés par la Cnil
Dans son rapport, la Cnil énumère plusieurs failles majeures constatées au sein des procédures de gestion de Free et Free Mobile. L’enquête révèle un défaut important dans la sécurisation des systèmes d’information de l’opérateur, facilitant l’intrusion du pirate présumé.
Un point mis particulièrement en avant concerne l’insuffisance des mesures d’authentification. L’utilisation d’un accès VPN jugé trop faible pour des serveurs hébergeant des données critiques a permis au cybercriminel de pénétrer le système. De plus, un retard significatif dans la détection des anomalies a allongé la durée de l’incident.
Le règlement général sur la protection des données (RGPD) impose aux entreprises de garantir un niveau de sécurité adapté aux risques. Pourtant, la Cnil note que Free et Free Mobile n’ont pas appliqué toutes les dispositions nécessaires pour protéger les données personnelles, notamment en matière de purge des informations d’anciens clients.
Plusieurs anciennes bases de données étaient encore stockées sans justification ni suppression programmée, contrevenant à l’obligation de limitation de conservation prônée par le RGPD. Ce manque de rigueur dans la politique de rétention a aggravé la portée de l’incident.
Le rapport de la Cnil met aussi en évidence des faiblesses techniques. Outre l’authentification insuffisante, les mécanismes de surveillance et d’audit interne se sont révélés inadaptés. Le système d’alerte n’a pas permis d’identifier assez tôt l’exfiltration de données, ce qui a accentué les conséquences de la fuite.
Côté organisationnel, la documentation et les protocoles internes relatifs à la cybersécurité manquaient de rigueur et de régularité dans leur mise à jour, rendant l’opérateur vulnérable à ce type de menace sophistiquée.
Nature de la sanction et calendrier des mesures correctives
La Cnil a annoncé un montant inédit de 42 millions d’euros d’amende visant Free et Free Mobile. Concrètement, elle répartit la sanction entre les deux entités selon leur implication et la gravité des manquements observés.
D’après le texte officiel, Free dispose désormais de trois mois pour renforcer ses dispositifs de sécurité, notamment en améliorant l’authentification et la surveillance de ses environnements internes. À cela s’ajoute un délai de six mois pour procéder à la suppression totale des données relatives aux anciens clients dont la conservation ne peut plus être justifiée.
Amélioration obligatoire de la sécurité des systèmes d’ici trois mois
Purge complète des données relevant d’anciens abonnés sous six mois
Audit renforcé et rapport périodique à remettre à la Cnil
Dès l’annonce de la sanction, Free a évoqué une décision qu’il juge d’une sévérité exceptionnelle dans l’histoire française des infractions liées à la vie privée. La direction de l’opérateur s’est dite prête à contester certains éléments du dossier tout en affirmant coopérer avec l’autorité de manière transparente.
Sur un plan opérationnel, l’affaire entraîne la mobilisation de ressources importantes pour revoir les politiques IT, former le personnel et rassurer la clientèle impactée par la fuite de données. Certaines associations de défense des consommateurs réclament déjà un suivi accru de la situation par les pouvoirs publics.
Pour de nombreux clients, la perte ou la diffusion non autorisée de données personnelles génère inquiétude et interrogations sur la fiabilité des opérateurs. Les équipes de Free multiplient désormais les communications pour informer sur les solutions mises en place et répondre aux sollicitations d’utilisateurs préoccupés.
L’incident incite également tout le marché des télécoms à reconsidérer le niveau minimal de vigilance à adopter face à l’évolution continue des menaces informatiques.
Cette sanction figure parmi les plus élevées jamais prononcées par la Cnil depuis l’entrée en vigueur du RGPD en Europe. Au-delà du cas Free, elle constitue un signal fort destiné à tous les acteurs hébergeant des volumes massifs de données à caractère personnel.
La perspective de contrôles accrus et de potentielles sanctions financières pouvant atteindre plusieurs dizaines de millions d’euros est désormais intégrée comme risque central par nombre d’entreprises du secteur numérique en France.
Nous utilisons des cookies pour vous offrir la meilleure expérience possible sur notre site et pour soutenir le travail de notre équipe. En acceptant les cookies, vous nous aidez à continuer à créer du contenu de qualité qui vous est utile. L’utilisation de ces cookies n’entraîne aucun coût supplémentaire pour vous. C’est une simple action de votre part, mais qui a un grand impact pour nous tous. Vous pouvez changer d'avis ou retirer votre consentement à tout moment via la Politique de confidentialité. Merci pour votre soutien et votre confiance.
Fonctionnel
Toujours activé
L’accès ou le stockage technique est strictement nécessaire dans la finalité d’intérêt légitime de permettre l’utilisation d’un service spécifique explicitement demandé par l’abonné ou l’utilisateur, ou dans le seul but d’effectuer la transmission d’une communication sur un réseau de communications électroniques.
Préférences
L’accès ou le stockage technique est nécessaire dans la finalité d’intérêt légitime de stocker des préférences qui ne sont pas demandées par l’abonné ou l’internaute.
Statistiques
Le stockage ou l’accès technique qui est utilisé exclusivement à des fins statistiques.Le stockage ou l’accès technique qui est utilisé exclusivement dans des finalités statistiques anonymes. En l’absence d’une assignation à comparaître, d’une conformité volontaire de la part de votre fournisseur d’accès à internet ou d’enregistrements supplémentaires provenant d’une tierce partie, les informations stockées ou extraites à cette seule fin ne peuvent généralement pas être utilisées pour vous identifier.
Marketing
L’accès ou le stockage technique est nécessaire pour créer des profils d’internautes afin d’envoyer des publicités, ou pour suivre l’utilisateur sur un site web ou sur plusieurs sites web ayant des finalités marketing similaires.
