I.

---

Contexte factuel : une violation d’une ampleur systémique

 

La délibération SAN-2026-001 du 8 janvier 2026 de la formation restreinte de la CNIL sanctionne la société FREE MOBILE pour trois manquements distincts et cumulatifs au Règlement général sur la protection des données : le manquement au principe de limitation de la conservation des données (article 5, paragraphe 1, e) du RGPD), le manquement à l’obligation de sécurité (article 32 du RGPD), et le manquement à l’obligation d’information des personnes concernées en cas de violation présentant un risque élevé (article 34 du RGPD). Ces trois griefs, retenus conjointement, illustrent une défaillance qui ne se limite pas à une vulnérabilité technique ponctuelle mais révèle une insuffisance structurelle et systémique du dispositif de conformité de l’opérateur.

L’affaire trouve son origine dans une violation de données survenue entre le 28 septembre 2024 et le 22 octobre 2024, soit vingt-quatre jours d’intrusion non détectée. L’attaquant a utilisé des identifiants de connexion légitimes usurpés pour accéder au réseau privé virtuel (VPN) de FREE MOBILE, puis à l’outil interne de gestion des abonnés dénommé MOBO (Mobile Back Office). Cet outil, conçu pour les besoins de la relation commerciale, permet de consulter, après saisie d’un critère de recherche, les données des abonnés mobiles de FREE MOBILE et, pour les clients dits « convergents » — c’est-à-dire simultanément abonnés à FREE MOBILE pour le mobile et à FREE pour le fixe — les données des abonnés fixes de la société FREE, incluant leur numéro de compte bancaire international (IBAN). L’architecture en entonnoir de cet outil, concentrant l’accès à deux bases de données appartenant à deux entités juridiques distinctes, constituait en elle-même une source de risque élevé qui aurait dû, ab initio, faire l’objet d’une analyse de risques approfondie et de mesures de sécurité spécifiques.

Ce n’est pas FREE MOBILE qui a découvert l’intrusion : c’est l’attaquant lui-même qui a contacté la société le 21 octobre 2024 pour l’informer de sa présence dans le système d’information. Cette circonstance est la plus révélatrice de l’état du dispositif de sécurité de l’opérateur — une entreprise dont le chiffre d’affaires consolidé dépasse les 10 milliards d’euros, dont le système d’information fait « régulièrement l’objet d’attaques » selon ses propres déclarations, et qui n’a pourtant pas été capable de détecter, en vingt-quatre jours, une activité de consultation massive, anormale dans son volume, ses horaires et sa fréquence. L’intrusion a été contenue le 22 octobre 2024, le lendemain de cette alerte extérieure.

---

Ampleur de la compromission : 24,6 millions de contrats

 

L’étendue de la violation est sans précédent dans le secteur des télécommunications françaises. Au terme de ses investigations, FREE MOBILE a établi que l’attaquant avait pu accéder aux données de 24 633 469 contrats, se décomposant en 19 460 891 contrats mobiles FREE MOBILE et 5 172 577 contrats fixes FREE. Pour l’ensemble de ces contrats, ont été exposées les données d’identité (civilité, prénom, nom), les données de contact (adresse électronique, numéro de téléphone, adresse postale) et les données contractuelles (numéro d’abonné, type d’offre, date de souscription, statut du contrat). Pour les seuls 5 172 577 clients convergents, l’IBAN a également été compromis. La combinaison de ces données — identité, coordonnées et données bancaires — crée des conditions favorables à des fraudes par domiciliation frauduleuse de prélèvements, à des attaques de spear phishing ciblé et à des tentatives d’usurpation d’identité bancaire. Ce n’est pas la compromission isolée de chaque donnée qui constitue le péril principal, mais leur agrégation qui rend l’ensemble particulièrement exploitable.

---

II.

---

L’architecture normative tripartite de la délibération

 

Avant d’examiner les manquements retenus, il convient de rappeler l’architecture normative sur laquelle repose la délibération. Ces trois dispositions — les articles 5-1-e), 32 et 34 du RGPD — ne forment pas un système redondant. Chacune appréhende une dimension distincte des obligations du responsable de traitement, et leur violation simultanée traduit l’ampleur systémique des défaillances de FREE MOBILE.

L’article 5, paragraphe 1, e) du RGPD pose le principe de limitation de la conservation, selon lequel les données doivent être « conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ». Ce principe est renforcé par l’article 5, paragraphe 2, qui consacre l’accountability : le responsable de traitement ne doit pas seulement respecter les principes de traitement mais doit être « en mesure de démontrer » ce respect. Cette exigence de preuve positive renverse la charge de la conformité et impose une gouvernance documentée et effective.

L’article 32 du RGPD définit l’obligation de sécurité selon une formulation intrinsèquement contextuelle — « mesures appropriées », « niveau adapté au risque » — qui impose une appréciation au regard du profil de risque propre à chaque traitement. La formation restreinte, fidèle à la méthode en deux temps posée par la Cour de justice de l’Union européenne dans l’arrêt Natsionalna agentsia za prihodite du 14 décembre 2023 (C-340/21), procède d’abord à l’identification des risques du traitement puis à la vérification de l’adéquation des mesures à ces risques. Cet arrêt précise également que « l’absence de violation de données à caractère personnel ne suffit pas à démontrer l’absence de manquement », signifiant que la conformité s’apprécie ex ante par rapport aux risques raisonnablement prévisibles, et non ex post par la seule survenance d’un incident.

L’article 34 du RGPD institue l’obligation de communication aux personnes concernées en cas de violation présentant un risque élevé. Son paragraphe 2 impose une communication « en des termes clairs et simples » décrivant la nature de la violation, les conséquences probables et les mesures prises ou proposées pour y remédier. Cette obligation est fonctionnellement distincte de la notification à l’autorité de contrôle (article 33) : elle s’adresse directement aux personnes affectées et vise à leur permettre de prendre les mesures préventives adaptées à leur situation individuelle.

---

III.

---

Conservation excessive : la fin de l’alibi technique

 

Le constat chiffré

La délégation de contrôle de la CNIL a constaté, lors de la mission sur place du 8 novembre 2024, la présence dans les bases actives de FREE MOBILE de données personnelles — identifiant du compte, civilité, prénom, nom de famille, adresse électronique et données contractuelles — relatives à plus de quinze millions de contrats résiliés depuis plus de cinq ans, dont trois millions résiliés depuis plus de dix ans.

Ces chiffres doivent être rapportés à la politique de conservation déclarée par la société elle-même. FREE MOBILE indiquait conserver les données de ses anciens abonnés pendant cinq ans après la résiliation à des fins de lutte contre la fraude, et pendant dix ans à des fins d’obligations comptables conformément aux articles L. 123-22 et suivants du Code de commerce. La présence de quinze millions de contrats dépassant la durée anti-fraude, et de trois millions dépassant même la durée comptable, révèle une désorganisation systémique de la gouvernance des données. Sur les trois millions de contrats résiliés depuis plus de dix ans, seuls 254 809 pouvaient se voir justifiés par l’existence d’un autre contrat en cours d’exécution du même titulaire. Pour les 2 806 690 contrats restants, FREE MOBILE n’a pu avancer aucune justification sérieuse, reconnaissant explicitement la conservation excessive.

Les contradictions de la politique interne

L’instruction a mis en lumière une incohérence révélatrice quant à la politique de conservation elle-même. Lors du contrôle du 8 novembre 2024, les représentants de FREE MOBILE avaient déclaré conserver les données de leurs anciens abonnés pendant dix ans à des fins anti-fraude. En cours de procédure, la société est revenue sur cette déclaration, indiquant qu’il s’agissait d’une « erreur de déclaration » et que la durée applicable était en réalité de cinq ans. Cette rétractation révèle soit une méconnaissance par les représentants de la société de leur propre politique — ce qui est en soi préoccupant pour un opérateur de cette envergure —, soit une politique insuffisamment formalisée et partagée en interne, les deux hypothèses témoignant d’une déficience sérieuse de la gouvernance des données personnelles.

Le rejet des justifications : la contrainte technique n’exonère pas

FREE MOBILE a articulé, pour justifier l’absence de mécanisme de purge opérationnel, un argument d’ordre technique : l’architecture de son système d’information « s’accorde difficilement avec des opérations de purge à grande échelle » en raison du « risque de blocage des services métiers », et un projet de purge progressive par lots avait été engagé en 2023. La formation restreinte a rejeté cet argument par une motivation qu’elle ancre dans l’exigence d’effectivité de l’accountability : « ces difficultés ou défaillances techniques n’exonèrent pas la société de sa responsabilité de s’assurer du tri ou de la suppression des données aux échéances de leurs durées de conservation telles qu’elle les a elle-même définies ». Plus encore, elle ajoute que les contraintes d’architecture invoquées résultent précisément de choix de conception initiaux qui n’ont pas intégré les exigences du privacy by design consacré par l’article 25 du RGPD, et que ces choix ne sauraient constituer une cause d’exonération rétroactive.

FREE MOBILE a également fait valoir qu’« alors qu’elle a débuté son activité en 2012, la question de la suppression des données ne s’est posée que très récemment ». Cet argument a été sèchement écarté : l’obligation de conservation limitée ne résulte pas du RGPD mais figurait déjà à l’article 6, 5° de la loi du 6 janvier 1978 dans sa rédaction antérieure. FREE MOBILE, active depuis 2012, y était donc soumise depuis le premier jour. La formation restreinte en tire une conséquence arithmétique imparable : « en cas de résiliation d’un abonné en 2012, la société aurait donc dû être en mesure de supprimer les données qui ne lui étaient plus nécessaires à des fins de fraude dès 2017 » — soit sept ans avant le contrôle.

La dissociation du lien de causalité avec la violation

Sur la question du lien entre le manquement à l’article 5-1-e) et la violation de données, FREE MOBILE a soutenu que l’attaquant n’avait accédé qu’aux contrats en cours et à ceux résiliés depuis moins d’un an, et non aux données conservées excessivement. La formation restreinte a adopté une position nuancée et doctrinalement essentielle : elle a reconnu ne pas être « en mesure de se prononcer » sur ce point, mais a maintenu le grief de conservation excessive comme infraction formelle autonome, dont la caractérisation ne requiert pas la démonstration d’un dommage concret. Cette position est cohérente avec l’enseignement de l’arrêt Natsionalna agentsia za prihodite selon lequel la non-conformité peut être sanctionnée indépendamment de la survenance d’une violation. Le manquement à l’article 5-1-e) est constitué par le seul fait de la conservation excessive, sans qu’il soit nécessaire d’en établir le lien causal avec le préjudice.

---

IV.

---

L’obligation de sécurité : trois défaillances cumulées

 

La méthode d’appréciation de la formation restreinte

La formation restreinte identifie d’abord le profil de risque élevé du traitement : données de 15,5 millions d’abonnés mobiles, incluant des IBAN pour les clients convergents, accessibles depuis l’extérieur via un VPN. Ce profil, caractérisé par le volume de données, leur sensibilité et la modalité d’accès distant, imposait des mesures de sécurité renforcées. Elle constate ensuite l’inadéquation manifeste des mesures mises en œuvre à ce profil. Deux défaillances principales fondent le manquement à l’article 32, auxquelles s’ajoute une troisième relative à la politique de mots de passe.

Première défaillance : l’absence d’authentification multifacteurs sur le VPN

L’attaquant s’est connecté au VPN de FREE MOBILE en utilisant des identifiants légitimes usurpés. Le VPN n’était protégé que par une authentification simple (identifiant + mot de passe), sans second facteur. L’authentification multifacteurs (AMF) repose sur la combinaison d’au moins deux facteurs de nature différente — facteur de connaissance, facteur de possession, facteur d’inhérence — et rend inopérante la seule compromission des identifiants : un attaquant disposant du mot de passe ne peut accéder au système sans détenir également le second facteur.

L’élément particulièrement aggravant est que FREE MOBILE disposait d’un dispositif d’authentification multifacteurs via smartphone, mais que « ce dispositif n’était pas activé au moment de l’attaque ». Il ne s’agit donc pas d’une impossibilité technique mais d’une non-activation délibérée d’une mesure disponible et opérationnelle. La formation restreinte établit un lien de causalité direct : l’activation de la MFA « aurait rendu extrêmement difficile l’attaque ». Elle ancre ce grief dans la délibération n° 2025-019 du 20 mars 2025 de la CNIL portant recommandation relative à l’authentification multifacteur, ainsi que dans les recommandations ANSSI d’octobre 2021, qui constituent l’état de l’art en la matière.

Face à l’argument de la défense invoquant le principe de défense en profondeur pour justifier la non-activation de la MFA, la formation restreinte répond avec une rigueur technique méritoire : ce principe « consiste à ne pas faire reposer la sécurité sur un élément mais sur un ensemble cohérent » et « toute faille de sécurité potentielle d’un composant logiciel doit être compensée par au moins un second niveau de sécurité ». Le principe de défense en profondeur n’autorise pas à supprimer une couche de sécurité ; il impose au contraire de les multiplier pour qu’aucune défaillance unitaire ne compromette l’ensemble du système.

Deuxième défaillance : l’absence de détection automatisée des comportements suspects

La formation restreinte relève que l’activité de l’attaquant présentait « de nombreuses caractéristiques suspectes » : volume de consultations inhabituellement élevé (environ 25 gigaoctets de données extraites), horaires de connexion atypiques, taux d’erreur élevés sur certaines requêtes, rythme de requêtes sans rapport avec une utilisation légitime de l’outil. Une telle activité, anormale dans sa structure même, aurait dû déclencher des alertes automatiques dans un système de surveillance correctement configuré. L’absence d’alerte pendant vingt-quatre jours n’est pas une défaillance ponctuelle — c’est l’inexistence d’un mécanisme de détection active.

La formation restreinte opère ici une distinction fondamentale, qui constitue l’un des apports doctrinaux majeurs de cette délibération : la journalisation passive ne suffit pas. Il ne suffit pas d’enregistrer les événements dans des journaux (logs) ; encore faut-il que ces journaux soient analysés en temps réel pour détecter des anomalies et déclencher des réponses appropriées. Elle cite à cet égard la recommandation n° 2021-122 du 14 octobre 2021 de la CNIL relative à la journalisation, qui impose une traçabilité « active » permettant de générer des alertes en cas de comportement anormal, et les lignes directrices 09/2022 du CEPD qui considèrent que « la capacité de détecter une violation, d’y remédier et de la communiquer dans les meilleurs délais devrait être considérée comme un élément essentiel » de la sécurité.

FREE MOBILE a tenté de justifier sa déficience par la complexité de son système d’information, soutenant qu’il est « toujours plus aisé d’analyser une situation a posteriori ». La formation restreinte écarte cet argument par un raisonnement d’une cohérence implacable : « le fait que son système d’information soit extrêmement complexe et fasse régulièrement l’objet d’attaques aurait justement dû conduire FREE MOBILE à mettre en place un système de journalisation à la hauteur de ce risque ». La complexité est une circonstance aggravante qui appelle des mesures renforcées, non une excuse qui les dispense.

Troisième défaillance : une politique de mots de passe sous-dimensionnée

La formation restreinte relève également des insuffisances dans la politique de mots de passe, en particulier concernant le seuil de blocage des comptes après tentatives infructueuses de connexion : FREE MOBILE avait fixé ce seuil à 50 tentatives, alors que la recommandation CNIL n° 2022-100 du 21 juillet 2022 préconise un maximum de 10 tentatives lorsque le mot de passe repose sur 8 caractères avec 3 catégories de caractères. Ce seuil de 50 tentatives est qualifié de « bien supérieur aux recommandations » et « privé de tout effet utile », car il offre à un attaquant un nombre excessif d’essais pour des attaques automatisées de type password spraying. La formation restreinte note toutefois, avec pertinence, qu’« aucun critère de complexité ni seuil de blocage n’aurait pu empêcher les intrusions, puisque les attaquants étaient en possession des mots de passe », ce qui relativise l’impact causal de ce grief par rapport aux deux défaillances principales.

La consécration du principe de défense en profondeur

La délibération consacre formellement le principe de défense en profondeur (defense in depth), issu de la doctrine de l’ANSSI, comme standard de conformité exigible en vertu de l’article 32 du RGPD. Cette consécration opère une convergence normative explicite entre le droit de la protection des données et les référentiels techniques de l’ANSSI. L’article 32-1-d) du RGPD, qui impose « une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles », est interprété comme impliquant nécessairement la mise en place de systèmes de type SIEM (Security Information and Event Management) permettant la corrélation et l’analyse comportementale en temps réel. Cette interprétation, alignée sur les lignes directrices 09/2022 du CEPD, établit que la détection active constitue désormais une obligation implicite découlant de l’article 32, au même titre que les mesures de prévention.

---

V.

---

L’obligation d’information des personnes concernées : une communication fonctionnellement vide

 

FREE MOBILE a procédé à l’information des personnes concernées par courrier électronique, échelonné entre le 24 et le 29 octobre 2024 — réactivité notable dans les jours suivant la découverte de la violation, que la formation restreinte apprécie favorablement. En revanche, le contenu de ce message est jugé insuffisant au regard de l’article 34, paragraphe 2, du RGPD : le courriel adressé ne comportait ni description des conséquences probables de la violation pour les personnes concernées, ni description des mesures prises ou proposées pour en atténuer les effets négatifs.

La formation restreinte souligne que ces omissions « ne permettaient notamment pas aux personnes concernées de comprendre directement les conséquences de la violation, ainsi que les mesures qu’elles pouvaient mettre en place pour se protéger ». Or, pour les 5,2 millions de clients dont l’IBAN avait été compromis, comprendre ces conséquences était d’une importance pratique directe : la domiciliation frauduleuse de prélèvements, le spear phishing bancaire ciblé, l’usurpation d’identité bancaire sont des risques concrets que les personnes auraient pu prévenir — en alertant leur banque, en vérifiant leurs prélèvements, en étant particulièrement vigilantes aux sollicitations — si le courriel les en avait informées clairement.

FREE MOBILE avait mis en place des dispositifs complémentaires (numéro vert, traitement des demandes via le DPO), mais seules 58 239 personnes sur 24 633 469 contrats concernés ont appelé le numéro gratuit. Cette proportion d’environ 0,24% illustre que le dispositif complémentaire ne peut pas se substituer à un message principal suffisamment explicite. La formation restreinte établit un lien direct entre l’imprécision des courriels et l’anxiété des personnes concernées, relevant que la violation « a généré un nombre sans précédent de plaintes adressées à la CNIL » — 2 614 plaintes enregistrées — et que « l’imprécision des courriels de notification adressés en application de l’article 34 du RGPD n’a pu qu’alimenter la crainte et l’incertitude des personnes ».

L’enseignement juridique est structurant : la communication de violation est une obligation fonctionnelle et protectrice, non une formalité informative. Elle n’est pas remplie par le seul envoi d’un message : elle l’est uniquement si ce message permet réellement aux destinataires de comprendre le risque et d’agir. Un message qui minimise les conséquences ou les tait par stratégie de « panic control » — pour éviter une alarme sociale — constitue un manquement à l’article 34, quand bien même il a été envoyé promptement et à l’ensemble des personnes concernées.

---

VI.

---

Les moyens de défense de FREE MOBILE : analyse critique

 

L’argument de la co-responsabilité intra-groupe

FREE MOBILE a reproché au rapporteur d’« imputer indistinctement des manquements aux sociétés FREE MOBILE et FREE, sur la base des mêmes constats, sans prendre en compte leurs traitements et responsabilités respectifs ». Cet argument était assis sur une constatation objective : lors du contrôle du 8 novembre 2024, certaines mesures de sécurité étaient communes aux deux entités, et les deux sociétés étaient en partie représentées par les mêmes personnes. La formation restreinte l’a écarté en retenant que chacune des deux sociétés « met en œuvre un traitement relatif à la gestion de ses propres abonnés, à l’aide d’outils qui lui sont propres » et qu’il appartient à chaque entité de « répondre des obligations relatives à son propre système d’information ».

Si cette position est juridiquement défendable au regard du principe de personnalité des peines, elle laisse dans l’ombre une question que la délibération n’aborde pas frontalement : celle de l’éventuelle co-responsabilité de traitement au sens de l’article 26 du RGPD pour le traitement des données des clients convergents. Pour ces clients, les données fixes — dont l’IBAN — sont stockées dans les bases de FREE mais accessibles depuis l’outil MOBO de FREE MOBILE. Si les deux sociétés déterminent conjointement, fût-ce dans les faits, les moyens et les finalités de ce traitement commun, une qualification de responsabilité conjointe aurait pu conduire à examiner si FREE avait insuffisamment encadré les conditions dans lesquelles FREE MOBILE accédait à ses données. Le silence de la délibération sur ce point constitue l’une de ses limites analytiques les plus significatives, sans pour autant affecter la légitimité du dispositif de sanction lui-même.

L’argument de la sophistication de l’attaque

FREE MOBILE a également soutenu que la sophistication de l’attaque — l’attaquant ayant obtenu les identifiants par ingénierie sociale — l’exonérait de toute responsabilité, faisant valoir qu’aucune mesure de sécurité n’aurait pu anticiper un tel vecteur. La formation restreinte écarte cet argument en rappelant que l’obligation de sécurité est une obligation de moyens renforcée : il appartient au responsable de traitement de mettre en œuvre les mesures appropriées au regard des risques raisonnablement prévisibles, parmi lesquels figure explicitement, pour un système accessible depuis l’extérieur via un VPN, le risque de compromission des identifiants. L’ingénierie sociale comme vecteur d’obtention d’identifiants est une menace connue, documentée et anticipable par toute organisation disposant d’un système d’information exposé à l’internet. La mise en place d’une authentification multifacteurs est précisément la réponse standard à ce risque.

L’argument des mesures correctives en cours de procédure

FREE MOBILE a présenté, en cours de procédure, diverses mesures correctives : déploiement de l’authentification multifacteurs sur le VPN, lancement d’un projet de purge des données, renforcement des mécanismes de détection. La formation restreinte prend acte de ces efforts mais ne les valorise que partiellement, pour deux raisons. D’une part, au jour de la séance du 15 décembre 2025, 16 238 comptes résiliés depuis plus de dix ans demeuraient dans la base active. D’autre part, la finalisation du dispositif de purge complète était reportée à juin 2026, soit plus d’un an et demi après le contrôle initial. La mise en conformité partielle et différée ne saurait effacer la matérialité des manquements caractérisés.

---

VII.

---

L’innovation jurisprudentielle sur la notion d’« entreprise »

 

La délibération apporte une innovation jurisprudentielle importante en important dans le droit de la protection des données le concept d’« unité économique » issu du droit de la concurrence européen. S’appuyant sur les arrêts Deutsche Wohnen (CJUE, 5 décembre 2023) et Natsionalna agentsia za prihodite (CJUE, 14 décembre 2023), la formation restreinte affirme qu’« une entreprise est une unité économique, même si du point de vue juridique cette unité économique est constituée de plusieurs personnes morales ». Elle en déduit que la société ILIAD, qui détient FREE MOBILE à 100%, est présumée exercer une influence déterminante sur celle-ci et que les deux entités constituent « une seule entreprise » au sens du RGPD.

Cette qualification a des conséquences directes sur le plafond d’amende applicable : celui-ci s’apprécie en pourcentage du chiffre d’affaires annuel mondial de l’entreprise, soit le chiffre d’affaires consolidé d’ILIAD (10,024 milliards d’euros en 2024), et non le seul chiffre d’affaires de FREE MOBILE. Le plafond théorique de 2% du chiffre d’affaires prévu par l’article 83, paragraphe 4, du RGPD s’élève ainsi à environ 200 millions d’euros pour le groupe. Cette interprétation, alignée sur la jurisprudence de la CJUE en matière de droit de la concurrence, renforce considérablement la capacité dissuasive du dispositif de sanction pour les responsables de traitement appartenant à des groupes d’envergure.

 
 
 

---

POINTS ESSENTIELS

---