CNIL | SAN-2026-001 | 08 janvier 2026 | Affaire FREE MOBILE et FREE | SAN-2026-001-ESSENTIELS

1. LA FIN DE L’IMPUNITÉ POUR LA DETTE TECHNIQUE EN MATIÈRE DE CONSERVATION

La formation restreinte rejette définitivement l’argument selon lequel les contraintes d’architecture du système d’information ou les difficultés techniques de déploiement d’un mécanisme de purge justifieraient la conservation de données au-delà des durées déclarées. Au jour du contrôle, FREE MOBILE conservait les données de plus de quinze millions de contrats résiliés depuis plus de cinq ans — dont trois millions depuis plus de dix ans — alors que l’opérateur s’était lui-même fixé des durées maximales de cinq ans (anti-fraude) et dix ans (comptabilité). La formation restreinte affirme que les contraintes techniques invoquées résultent de choix de conception initiaux contraires au privacy by design et ne constituent pas une cause d’exonération : « ces difficultés ou défaillances techniques n’exonèrent pas la société de sa responsabilité de s’assurer du tri ou de la suppression des données aux échéances de leurs durées de conservation telles qu’elle les a elle-même définies ». Cette position consacre le manquement à l’article 5-1-e) comme infraction formelle autonome, indépendante de tout lien causal avec une violation effective des données.

2. L’AUTHENTIFICATION MULTIFACTEURS DEVIENT UN STANDARD IMPÉRATIF POUR LES ACCÈS DISTANTS

L’absence d’authentification multifacteurs (MFA) sur le VPN de FREE MOBILE est retenue comme manquement cardinal à l’article 32 du RGPD. L’élément le plus aggravant de ce grief n’est pas l’absence d’un dispositif technique : c’est la non-activation délibérée d’un dispositif MFA que FREE MOBILE possédait mais n’avait pas activé. La formation restreinte établit un lien de causalité direct entre cette non-activation et la violation, affirmant que la MFA « aurait rendu extrêmement difficile l’attaque ». Elle s’appuie sur la délibération CNIL n° 2025-019 du 20 mars 2025 et les recommandations ANSSI d’octobre 2021 pour ancrer l’authentification multifacteurs dans l’état de l’art exigible. L’argument de la défense invoquant le principe de défense en profondeur pour justifier la suppression de cette couche est retourné contre elle : ce principe impose de multiplier les couches de sécurité, non d’en supprimer une en escomptant que les autres suffiront. Cette position établit que la MFA sur les accès distants à des bases de données massives n’est plus une bonne pratique optionnelle mais une exigence de conformité opposable.

3. DE LA JOURNALISATION PASSIVE À LA DÉTECTION ACTIVE : UNE OBLIGATION IMPLICITE DE L’ARTICLE 32

Pendant vingt-quatre jours, un attaquant a extrait environ 25 gigaoctets de données depuis les systèmes de FREE MOBILE — volume exceptionnel, horaires atypiques, fréquence des requêtes sans commune mesure avec un usage légitime — sans déclencher la moindre alerte. FREE MOBILE disposait d’un système de journalisation (logs), mais ce système enregistrait passivement les événements sans les analyser. La formation restreinte opère une distinction fondamentale qui constitue l’un des apports doctrinaux majeurs de la délibération : enregistrer des journaux ne suffit pas — encore faut-il les analyser en temps réel pour détecter des comportements anormaux. Elle s’appuie sur les lignes directrices 09/2022 du CEPD, qui considèrent que la capacité de détecter une violation constitue un « élément essentiel » de la sécurité, et sur la recommandation CNIL n° 2021-122 du 14 octobre 2021 relative à la journalisation active. Cette délibération inscrit ainsi l’obligation de détection active — systèmes SIEM, corrélation comportementale, alertes automatisées — dans le standard de conformité découlant de l’article 32-1-d) du RGPD pour les systèmes d’information exposés à l’internet et traitant des données de masse.

4. LA COMMUNICATION DE VIOLATION EST UNE OBLIGATION FONCTIONNELLE, PAS UNE FORMALITÉ

FREE MOBILE a envoyé un courriel à l’ensemble des 24,6 millions de personnes concernées entre le 24 et le 29 octobre 2024 — soit dans les jours suivant la découverte de la violation, ce qui est apprécié favorablement. Cependant, ce courriel ne décrivait ni les conséquences probables de la violation pour les destinataires, ni les mesures prises ou proposées pour en atténuer les effets, en méconnaissance de l’article 34, paragraphe 2, du RGPD. La formation restreinte établit un lien direct entre ces omissions et le préjudice psychologique collectif subi par les personnes : 2 614 plaintes ont été enregistrées à la CNIL, et l’imprécision des courriels « n’a pu qu’alimenter la crainte et l’incertitude des personnes ». Pour les 5,2 millions de clients dont l’IBAN avait été compromis, l’absence d’information sur le risque de domiciliation frauduleuse de prélèvements les a privés de la possibilité d’agir préventivement. Cette délibération consacre le principe selon lequel la notification de violation n’est pas remplie par le seul envoi d’un message, mais exige un contenu permettant réellement aux destinataires de comprendre le risque et de prendre des mesures de protection.

5. L’IMPORTATION DU CONCEPT D’UNITÉ ÉCONOMIQUE DANS LE DROIT DES DONNÉES PERSONNELLES

La formation restreinte opère une innovation jurisprudentielle en important dans le droit de la protection des données le concept d’« unité économique » issu du droit de la concurrence européen, en s’appuyant sur les arrêts Deutsche Wohnen (CJUE, 5 décembre 2023) et Natsionalna agentsia za prihodite (CJUE, 14 décembre 2023). Dès lors que la société ILIAD détient FREE MOBILE à 100%, une présomption réfragable d’influence déterminante s’applique, conduisant à qualifier les deux entités d’« entreprise unique » au sens du RGPD. La conséquence directe est que le plafond d’amende prévu à l’article 83 s’apprécie par rapport au chiffre d’affaires annuel mondial du groupe ILIAD (10,024 milliards d’euros en 2024), et non de la seule entité sanctionnée. Le plafond théorique de 2% s’élève ainsi à environ 200 millions d’euros, soit une capacité de sanction multipliée par rapport à une appréciation entité par entité. Cette innovation aligne le régime de sanction RGPD sur la logique du droit de la concurrence et renforce considérablement le caractère dissuasif du dispositif pour les responsables de traitement appartenant à des groupes d’envergure.

POINTS ESSENTIELS