CNIL | SAN-2026-001 | 08 JANVIER 2026 | AFFAIRE FREE MOBILE ET FREE |
ANALYSE CRITIQUE MANQUEMENTS FAQ CONSEILS
Par délibération du 8 janvier 2026, la formation restreinte de la CNIL a infligé à la société FREE MOBILE, quatrième opérateur mobile français et filiale à 100 % du groupe ILIAD (10 milliards d’euros de chiffre d’affaires consolidé), une amende administrative de 27 millions d’euros pour trois manquements distincts aux articles 5-1-e), 32 et 34 du RGPD, procédant tous trois d’une défaillance systémique commune : l’absence d’une gouvernance des données intégrant dès la conception les exigences réglementaires, et le défaut de mise en œuvre effective des politiques déclarées.
QUESTIONS DES RESPONSABLES DE TRAITEMENT
Q1. — L’authentification par identifiant et mot de passe est-elle encore suffisante pour les accès distants via VPN à des applications métiers contenant des données personnelles ?
Non, pour tout système d’information accessible depuis l’extérieur du réseau de l’organisme et traitant des données personnelles en volume ou incluant des données sensibles, l’authentification simple par identifiant et mot de passe n’est plus regardée comme suffisante au titre de l’article 32 du RGPD. La délibération SAN-2026-001 du 8 janvier 2026 a retenu, comme manquement autonome à l’article 32, l’absence d’authentification multifacteurs (AMF) sur le VPN de FREE MOBILE — dont l’objet était précisément de sécuriser les accès distants à l’outil de gestion des abonnés MOBO. La formation restreinte s’est appuyée sur la délibération CNIL n° 2025-019 du 20 mars 2025 portant adoption d’une recommandation relative à l’AMF, qui préconise explicitement le recours à l’authentification multifacteurs pour les traitements à risque et les accès depuis l’extérieur du réseau. Elle a, au surplus, établi un lien de causalité direct entre l’absence de MFA et la réalisation de la violation — l’attaquant ayant pu pénétrer le système en utilisant uniquement des identifiants compromis. La portée pratique est immédiate : tout responsable de traitement qui autorise des accès distants via VPN à des applications contenant des données personnelles volumétriques ou sensibles doit, sans délai, évaluer si une AMF est déployée sur ces accès et, dans la négative, planifier son déploiement comme une priorité de conformité non négociable.
Q2. — Disposer d’un système de journalisation des accès à son système d’information est-il suffisant pour satisfaire à l’obligation de sécurité posée par l’article 32 du RGPD ?
Non. La délibération SAN-2026-001 établit avec une netteté particulière la distinction entre la journalisation passive et la détection active. La formation restreinte a jugé insuffisant le système de journalisation de FREE MOBILE — pourtant existant — au motif qu’il ne comportait aucun mécanisme de corrélation, d’analyse comportementale et d’alerte automatisée. En d’autres termes, enregistrer des journaux d’accès sans les exploiter en temps réel pour détecter des anomalies revient à archiver la preuve des incidents après leur réalisation, et non à les interrompre en temps utile. La formation restreinte a affirmé que « la simple collecte des données de journalisation ne suffit pas à sécuriser un système d’information » et que « le dispositif de journalisation est efficace uniquement si une entité est en mesure de traiter les informations enregistrées dans les journaux afin d’être capable, le cas échéant, de détecter rapidement un comportement suspect. » L’attaque ayant duré vingt-quatre jours sans déclenchement d’aucune alerte illustre la réalité de cette insuffisance. Le standard exigible implique désormais, pour les traitements à risque élevé, le déploiement d’outils de type SIEM (Security Information and Event Management) capables d’identifier des comportements anormaux — volumes inhabituels de requêtes, connexions à des heures atypiques, accès séquentiels massifs — et de déclencher des alertes automatiques en temps réel.
Q3. — Un responsable de traitement peut-il s’exonérer de sa responsabilité au titre de l’article 32 du RGPD en invoquant la sophistication de l’attaque dont il a été victime ?
Non. La délibération SAN-2026-001 confirme la jurisprudence constante selon laquelle l’argument tiré de la sophistication de l’attaque ne constitue pas une cause d’exonération de la responsabilité du responsable de traitement au titre de l’article 32 du RGPD. La formation restreinte énonce que « s’il n’apparaît pas possible pour un responsable de traitement de se prémunir contre l’ensemble des attaques, cela ne saurait exonérer le responsable de traitement de ses obligations ». Cet enseignement est cohérent avec la jurisprudence de la CJUE dans l’arrêt Natsionalna agentsia za prihodite du 14 décembre 2023, qui a précisé que l’article 32 institue une obligation de moyens renforcée : le responsable est tenu de mettre en œuvre toutes les mesures appropriées compte tenu des risques prévisibles, sans pour autant garantir une sécurité absolue. Le caractère approprié des mesures s’apprécie ex ante, en fonction des risques raisonnablement identifiables au moment de la conception et du déploiement du système. En l’espèce, le risque d’utilisation d’identifiants compromis pour accéder à un VPN sans second facteur d’authentification était parfaitement prévisible et documenté dans les référentiels ANSSI depuis plusieurs années. La sophistication de l’attaque n’est donc pas en cause : c’est l’absence de mesures élémentaires de sécurité qui est sanctionnée.
Q4. — Que signifie concrètement le principe de « défense en profondeur » consacré par la délibération SAN-2026-001 et quelles en sont les implications pour les responsables de traitement ?
Le principe de défense en profondeur (defense in depth), issu de la doctrine de sécurité des systèmes d’information de l’ANSSI et formellement consacré par la délibération SAN-2026-001 comme standard de conformité exigible au titre de l’article 32 du RGPD, postule qu’un système d’information sécurisé ne doit « pas faire reposer la sécurité sur un élément mais sur un ensemble cohérent », de sorte que « toute faille de sécurité potentielle d’un composant logiciel doit être compensée par au moins un second niveau de sécurité ». En termes pratiques, cela signifie que la sécurité d’un système ne peut pas reposer sur un seul mécanisme, aussi robuste soit-il, dès lors que sa compromission laisserait le système entièrement exposé. Pour un responsable de traitement, l’implication est la suivante : chaque composant critique de son système d’information doit faire l’objet d’une analyse portant sur la question : si ce composant est compromis ou défaillant, quel est le niveau de protection résiduel ? En l’espèce, l’absence d’AMF sur le VPN constituait la première faille ; l’absence de système de détection automatisée constituait la seconde. La conjonction de ces deux défaillances a créé une vulnérabilité totale. Pour chaque couche de sécurité identifiée comme insuffisante, le responsable doit mettre en place une mesure compensatoire alternative. La mise en œuvre de ce principe implique une cartographie des risques systématique, un plan de remédiation priorisé, et un suivi régulier de l’efficacité des mesures déployées.
Q5. — Le fait d’avoir défini une politique de durées de conservation dans sa documentation de conformité suffit-il à respecter l’article 5-1-e) du RGPD ?
Non. La délibération SAN-2026-001 illustre de manière exemplaire le fossé qu’il peut exister entre la conformité documentaire et la conformité effective. FREE MOBILE disposait bien d’une politique de confidentialité définissant des durées de conservation différenciées selon les finalités. Mais la formation restreinte a retenu le manquement à l’article 5-1-e) au motif que « les constatations réalisées au sein de la base de données de la société, associées aux déclarations de la société, démontrent l’absence de mise en œuvre effective de ces durées de conservation ». L’obligation posée par l’article 5-1-e) du RGPD est une obligation de résultat sur le fond et une obligation d’effectivité sur la forme : il ne suffit pas de définir des durées de conservation — encore faut-il que les mécanismes techniques permettant de les appliquer soient opérationnels. Tout responsable de traitement devrait donc procéder à un audit de conformité croisé : pour chaque catégorie de données et chaque finalité documentée dans le registre des traitements, vérifier qu’un mécanisme technique de purge ou d’anonymisation est effectivement en place, testé et journalisé. L’existence d’une purge planifiée ou en cours de déploiement ne suffit pas : la formation restreinte a relevé qu’au jour du contrôle, les données étaient « potentiellement conservées indéfiniment sans qu’aucune distinction ne soit faite en fonction des finalités poursuivies ».
Q6. — Les contraintes techniques liées à l’architecture du système d’information peuvent-elles justifier le non-respect des durées de conservation ?
Non. La délibération SAN-2026-001 écarte fermement cet argument. La formation restreinte retient que les contraintes d’architecture évoquées par FREE MOBILE résultent précisément de choix de conception initiaux qui n’ont pas intégré dès l’origine les exigences du privacy by design consacré par l’article 25 du RGPD, et que ces choix « ne sauraient constituer une cause d’exonération dont bénéficierait rétroactivement la société ». Elle ajoute que « ces difficultés ou défaillances techniques n’exonèrent pas la société de sa responsabilité de s’assurer du tri ou de la suppression des données aux échéances de leurs durées de conservation ». En d’autres termes, un système d’information qui ne peut techniquement pas supprimer des données lorsque leur durée de conservation est atteinte est un système dont la conception est elle-même non conforme. L’article 25 du RGPD, qui consacre le principe de privacy by design, impose précisément que les choix de conception intègrent dès l’origine les exigences de la protection des données — ce qui inclut la capacité à supprimer ou anonymiser les données à l’échéance des durées de conservation définies. Pour les responsables de traitement qui se trouveraient dans une situation analogue — politique de conservation définie mais mécanismes de purge inexistants ou non opérationnels —, la décision constitue une incitation impérative à engager sans délai un chantier de remédiation technique.
Q7. — L’obligation de conservation limitée posée par l’article 5-1-e) du RGPD est-elle une obligation récente dont l’application ne s’imposait pas aux opérateurs ayant démarré leurs activités avant 2018 ?
Non. La délibération SAN-2026-001 souligne avec force que l’obligation de conservation limitée des données personnelles n’est pas une création du RGPD entré en application le 25 mai 2018. Elle figurait déjà, sous une formulation substantiellement identique, à l’article 6, 5° de la loi du 6 janvier 1978 dans sa rédaction antérieure. FREE MOBILE avait soutenu qu’« alors qu’elle a débuté son activité en 2012, la question de la suppression des données ne s’est posée que très récemment ». La formation restreinte a écarté cet argument avec une rigueur implacable, observant que la société était tenue de purger les données depuis la première échéance de conservation applicable à ses données historiques, et qu’« en cas de résiliation d’un abonné en 2012, la société aurait donc dû être en mesure de supprimer les données qui ne lui étaient plus nécessaires à des fins de fraude dès 2017 ». Cette précision est importante pour tous les opérateurs anciens : l’ancienneté de leur activité ne les exonère en aucune manière de l’obligation de mise en conformité rétrospective de leurs bases de données historiques.
Q8. — Lors d’une violation de données, suffit-il d’envoyer rapidement un courriel aux personnes concernées pour respecter l’obligation de l’article 34 du RGPD ?
Non. La délibération SAN-2026-001 illustre la distinction entre la promptitude de la communication — que la formation restreinte a jugé satisfaisante en l’espèce, les courriels ayant été envoyés dans les trois jours suivant la notification à la CNIL — et la qualité du contenu de cette communication. L’obligation posée par l’article 34, §2, du RGPD est une obligation de contenu minimal : le message doit décrire « en des termes clairs et simples » la nature de la violation et comporter au moins les coordonnées du DPO, une description des conséquences probables de la violation pour les personnes concernées, et une description des mesures prises ou proposées pour y remédier. Un courriel rapide mais lacunaire ne satisfait pas à cette obligation. La formation restreinte a relevé que le courriel de FREE MOBILE ne comportait ni la description des conséquences probables — notamment le risque de domiciliation frauduleuse de prélèvements pour les 5,2 millions de clients dont l’IBAN était compromis — ni la description des mesures de remédiation. Une telle omission prive les personnes concernées des informations nécessaires pour se défendre activement. La promptitude sans contenu adéquat est aussi fautive que le silence : elle rassure fictivement sans protéger effectivement.
Q9. — En présence d’une violation de données affectant des catégories différentes de personnes (certaines exposant leurs coordonnées seules, d’autres exposant également leur IBAN), le responsable de traitement peut-il adresser un message unique à l’ensemble des personnes concernées ?
La délibération SAN-2026-001 soulève indirectement cette question sans la trancher formellement, mais ses enseignements permettent d’y apporter une réponse fondée. L’article 34, §2, du RGPD impose une communication « en des termes clairs et simples » décrivant les « conséquences probables » de la violation pour les personnes concernées. Lorsque les conséquences probables diffèrent significativement selon les catégories de personnes affectées — comme en l’espèce, entre les clients mobiles seuls (dont les données d’identité et de contact sont compromises) et les clients convergents (dont l’IBAN est également exposé) —, un message unique et identique pour toutes les personnes est susceptible d’être jugé insuffisant à l’égard de la catégorie la plus exposée. En effet, pour les titulaires d’un IBAN compromis, les conséquences probables incluent le risque de domiciliation frauduleuse de prélèvements — risque qui ne concerne pas les abonnés ne détenant pas de client convergent. La bonne pratique, que la décision incite à adopter, consiste à segmenter la communication selon les catégories de données compromises et d’adapter le message aux risques spécifiques courus par chaque groupe.
Q10. — Un responsable de traitement qui appartient à un groupe de sociétés peut-il être sanctionné pour des manquements relatifs à un traitement dont les données appartiennent en partie à une autre entité du même groupe ?
Oui, dans les limites de sa propre sphère de responsabilité. La délibération SAN-2026-001 tranche une question délicate posée par la structure du groupe ILIAD : FREE MOBILE gérait, via son outil MOBO, des données appartenant à ses propres abonnés mobiles mais également, pour les clients convergents, des données relatives aux abonnés fixes de la société FREE. La formation restreinte a appliqué le principe de responsabilité personnelle en retenant que FREE MOBILE est responsable de traitement pour l’ensemble des données transitant par son propre outil MOBO, y compris les données des clients convergents de FREE, dès lors que c’est son outil qui y donne accès. Les manquements en matière de sécurité de l’outil MOBO sont donc imputables à FREE MOBILE seule, « conformément au principe de responsabilité personnelle ». En pratique, tout responsable de traitement qui exploite des outils permettant d’accéder aux données de clients ou utilisateurs d’autres entités du groupe doit s’assurer que ces outils répondent au niveau de sécurité approprié — indépendamment du fait que les données sous-jacentes soient « techniquement » celles d’une autre entité.
Q11. — Quelle est la valeur normative des recommandations de la CNIL (comme sa délibération n° 2025-019 sur l’AMF) dans l’appréciation de la conformité à l’article 32 du RGPD ?
Les recommandations de la CNIL n’ont pas de caractère contraignant au sens strict. Elles ne constituent pas des textes réglementaires dont la violation entraînerait automatiquement la caractérisation d’un manquement. Cependant, la délibération SAN-2026-001 illustre le mécanisme par lequel ces recommandations acquièrent une portée quasi-normative dans le cadre de la procédure de sanction : elles cristallisent l’état des connaissances à un moment donné et créent une présomption réfragable de manquement pour les responsables de traitement qui ne les respectent pas. La formation restreinte a utilisé la délibération n° 2025-019 sur l’AMF comme document de référence permettant d’établir le standard de conformité exigible pour les accès distants à données sensibles, et a jugé insuffisante l’authentification simple de FREE MOBILE en se fondant notamment sur ce document. En pratique, la non-conformité à une recommandation publiée de la CNIL sur un sujet directement pertinent pour le traitement concerné constitue un facteur de risque juridique substantiel, que le responsable de traitement devra être en mesure de justifier par des mesures alternatives offrant un niveau de protection équivalent.
Q12. — En cas de non-respect avéré des durées de conservation définies dans le registre des traitements, la CNIL peut-elle prononcer une injonction de mise en conformité assortie d’une astreinte indépendamment de l’amende ?
Oui. La délibération SAN-2026-001 prononce, en sus de l’amende de 27 millions d’euros, une injonction de mise en conformité pour les manquements aux articles 5-1-e) et 32 du RGPD, assortie d’une astreinte journalière en cas de non-exécution dans le délai imparti de six mois. Cette décision est emblématique d’une tendance de fond de la formation restreinte à ne pas se limiter à la sanction pécuniaire lorsque des manquements structurels persistent au jour de la décision. L’injonction a pour objet d’ordonner au responsable de traitement de procéder aux mesures correctives nécessaires dans un délai déterminé, sous peine de paiement d’une astreinte pouvant être prononcée séparément pour chaque jour de retard. Cette combinaison — amende pour le passé, injonction avec astreinte pour l’avenir — constitue un levier coercitif puissant qui transforme la non-conformité persistante en risque financier cumulatif et évolutif.
QUESTIONS DES PERSONNES CONCERNÉES
Q13. — Comment savoir si mes données personnelles ont été compromises dans le cadre de la violation de données affectant FREE MOBILE ?
FREE MOBILE a envoyé, entre le 24 et le 29 octobre 2024, un courriel d’information à l’ensemble des abonnés dont les données avaient été compromises. Si vous avez reçu ce message, vos données figuraient parmi les 24 633 469 contrats affectés. Si vous n’avez pas reçu ce message mais que vous étiez abonné à FREE MOBILE ou à la fois à FREE MOBILE et à FREE (client dit « convergent ») à la période concernée (fin septembre/octobre 2024), vous pouvez exercer votre droit d’accès prévu par l’article 15 du RGPD en adressant une demande écrite au service client de FREE MOBILE ou à son délégué à la protection des données, afin d’obtenir la confirmation de l’existence d’un traitement vous concernant et, le cas échéant, la confirmation que vos données faisaient partie des données compromises. En l’absence de réponse dans un délai d’un mois, vous pouvez saisir la CNIL d’une plainte.
Q14. — La compromission de mon IBAN constitue-t-elle un risque grave ? Que dois-je faire concrètement ?
La compromission d’un IBAN est une donnée qui mérite une attention particulière. L’IBAN seul ne permet pas de vider directement un compte bancaire comme le ferait la possession d’une carte bancaire et de son code confidentiel. Cependant, combiné aux données d’identité et de contact également compromises dans la violation FREE MOBILE, il peut être utilisé pour tenter de mettre en place des prélèvements frauduleux (sous couvert d’un mandat SEPA fictif), pour renforcer la crédibilité d’opérations d’ingénierie sociale bancaire, ou pour compléter un dossier d’usurpation d’identité. Les démarches recommandées sont les suivantes : signaler à son établissement bancaire la compromission de son IBAN dans le cadre de la violation FREE MOBILE ; activer les alertes de mouvements sur son compte ; surveiller attentivement les relevés bancaires pour détecter tout prélèvement non autorisé ; en cas de prélèvement frauduleux, contester immédiatement auprès de sa banque et conserver toutes les preuves des échanges.
Q15. — Puis-je obtenir réparation du préjudice subi du fait de la violation de données ? Sur quel fondement juridique ?
L’article 82 du RGPD reconnaît à toute personne ayant subi un dommage matériel ou moral du fait d’une violation du règlement le droit d’obtenir réparation du responsable du traitement ou du sous-traitant. La CJUE a précisé, dans l’arrêt Österreichische Post du 4 mai 2023 (C-300/21), que la réparation du seul préjudice moral est admissible, sans qu’il soit nécessaire de justifier d’un dommage matériel, dès lors que l’atteinte est réelle et non hypothétique. Une simple crainte, une anxiété ou une perte de contrôle sur ses données personnelles peut constituer un préjudice indemnisable. En pratique, pour faire valoir cette voie de recours, il convient de documenter soigneusement le préjudice subi : conservation du courriel de notification reçu, captures d’écran de tentatives d’hameçonnage personnalisées utilisant vos données, relevés bancaires faisant état d’un prélèvement litigieux, échanges avec la banque, coûts engagés pour se prémunir contre la fraude, éventuellement attestation médicale si un préjudice psychologique significatif est allégué. Ce qui n’est pas conservé est difficile à prouver a posteriori.
Q16. — Comment saisir la CNIL pour une plainte liée à la violation de données FREE MOBILE ?
Toute personne concernée par la violation de données FREE MOBILE peut adresser une plainte à la CNIL par voie électronique sur le portail en ligne plainte.cnil.fr, ou par voie postale à l’adresse de la Commission. La plainte doit préciser l’identité du plaignant, la nature du problème rencontré (violation de données, absence de réponse à une demande d’exercice de droits, communication insuffisante de la part de FREE MOBILE), et comporter, dans la mesure du possible, les pièces justificatives utiles (courriel de notification reçu de FREE MOBILE, copie de la demande d’exercice de droits envoyée, réponse ou absence de réponse du responsable de traitement). La CNIL dispose d’un délai de trois mois pour informer le plaignant des suites données à sa plainte. Au jour de la notification du rapport de sanction, la CNIL avait déjà reçu 2 614 plaintes d’abonnés concernés par cette violation.
Q17. — La décision de la CNIL de condamner FREE MOBILE à une amende de 27 millions d’euros m’est-elle directement utile pour obtenir réparation de mon préjudice individuel ?
La décision de la CNIL est une décision administrative de sanction : elle ne condamne pas FREE MOBILE à indemniser les personnes concernées. Elle constitue cependant un élément probatoire précieux dans le cadre d’une action en responsabilité civile fondée sur l’article 82 du RGPD, dans la mesure où elle constate officiellement l’existence de manquements aux articles 5-1-e), 32 et 34 du RGPD — dont la violation est justement la condition nécessaire à l’action indemnitaire. En pratique, une décision de sanction publiée de la CNIL permet d’établir plus aisément devant le juge civil l’existence d’un manquement imputable au responsable de traitement, ce qui facilite la démonstration du lien de causalité entre ce manquement et le préjudice allégué. Certaines associations de défense des droits numériques peuvent proposer d’accompagner des actions collectives dans ce type de situation, notamment sur le fondement de la procédure de représentation collective en matière de protection des données personnelles introduite en droit français.
Last Updated on 06/05/2026 by Armand-Ari BETTAN & Dominique KARPISEK-BETTAN | FYTT AVOCATS PRIVACYANGELS