CNIL | SAN-2026-001 | 08 JANVIER 2026 | AFFAIRE FREE MOBILE ET FREE |
ANALYSE CRITIQUE MANQUEMENTS FAQ CONSEILS
Par délibération du 8 janvier 2026, la formation restreinte de la CNIL a infligé à la société FREE MOBILE, quatrième opérateur mobile français et filiale à 100 % du groupe ILIAD (10 milliards d’euros de chiffre d’affaires consolidé), une amende administrative de 27 millions d’euros pour trois manquements distincts aux articles 5-1-e), 32 et 34 du RGPD, procédant tous trois d’une défaillance systémique commune : l’absence d’une gouvernance des données intégrant dès la conception les exigences réglementaires, et le défaut de mise en œuvre effective des politiques déclarées.
CONSEILS AUX RESPONSABLES DE TRAITEMENT
A. FAIRE DE L’AUTHENTIFICATION MULTIFACTEURS UN IMPÉRATIF DE GOUVERNANCE ET NON UNE OPTION BUDGÉTAIRE
La délibération SAN-2026-001 impose une leçon immédiate et de portée générale : tout accès distant à un système d’information contenant des données à caractère personnel à grande échelle doit désormais être regardé comme devant être protégé par une authentification multifacteurs (AMF). Il ne s’agit plus d’une recommandation dont la mise en œuvre pourrait dépendre d’arbitrages budgétaires ou de commodités d’exploitation ; il s’agit d’une exigence de conformité dont l’absence est susceptible de fonder, à elle seule, un grief au titre de l’article 32 du RGPD lorsque le profil de risque du traitement le justifie. La délibération n° 2025-019 du 20 mars 2025 de la CNIL relative à l’AMF, combinée aux recommandations de l’ANSSI d’octobre 2021, crée désormais une présomption réfragable de manquement en l’absence de déploiement de l’AMF sur les accès distants à des données volumétriques ou sensibles.
L’AMF n’est pas une simple surcouche technique : elle constitue le premier rempart contre l’un des vecteurs d’attaque les plus banals et les plus efficaces de la cybercriminalité contemporaine — l’usage d’identifiants compromis. Tout responsable de traitement doit donc procéder à une cartographie complète des accès distants ouverts sur son système d’information — accès VPN, outils d’administration, consoles d’hébergement, applications métiers sensibles, accès prestataires — puis classer chacun de ces accès en fonction de la criticité des données qu’il permet d’atteindre. Plus un accès distant ouvre, directement ou indirectement, vers des données nombreuses, sensibles ou stratégiques, plus l’AMF doit être regardée comme impérative.
Sur le plan opérationnel, le responsable de traitement doit définir une politique d’authentification formalisée, adoptée au niveau de la direction générale, précisant les catégories d’accès soumises à AMF, les technologies admises (application d’authentification de type TOTP, clé physique FIDO2, authentification contextuelle adaptative), les procédures d’enrôlement, les règles de secours en cas de perte du second facteur, et les modalités d’audit périodique du dispositif. La question pertinente n’est plus : « pouvons-nous déployer l’AMF ? » mais bien : « quels risques juridiques, techniques et réputationnels prenons-nous à ne pas l’avoir déjà généralisée ? »
En pratique, les modalités techniques acceptables se hiérarchisent comme suit, par ordre de robustesse croissante : l’authentification par SMS (acceptable, mais vulnérable au SIM swapping et à la compromission de l’opérateur) ; l’authentification par application mobile de type TOTP (recommandée pour la grande majorité des utilisateurs — coût faible, déploiement rapide, expérience utilisateur acceptable) ; l’authentification par clé physique de type YubiKey ou FIDO2 (optimale, résistante au phishing, mais coûteuse en gestion logistique). Il n’existe pas d’obstacle budgétaire sérieux au déploiement de l’AMF : les solutions TOTP sont disponibles à coût marginal, et le rapport coût/bénéfice est d’une évidence saisissante lorsque l’on rapproche un investissement de l’ordre de quelques dizaines de milliers d’euros d’un risque d’amende de plusieurs millions.
B. DÉPLOYER UNE CAPACITÉ DE DÉTECTION ACTIVE ET NON UNE SIMPLE JOURNALISATION PASSIVE
L’autre enseignement cardinal de la délibération tient à la distinction entre la journalisation et la détection. Enregistrer des journaux d’accès ne suffit pas. Conserver des fichiers de logs sans système de corrélation, sans règles d’alerte, sans supervision active et sans traitement opérationnel revient, pour l’essentiel, à archiver la trace des incidents après leur réalisation plutôt qu’à les interrompre en temps utile. FREE MOBILE disposait d’un système de journalisation des accès à son VPN et à l’outil MOBO — mais ce système se limitait à l’enregistrement passif des événements, sans le moindre mécanisme de corrélation, d’analyse comportementale et d’alerte automatisée. L’attaque a duré vingt-quatre jours et impliqué plus de 24 millions de consultations sans qu’aucune alerte ne soit déclenchée.
La formation restreinte, s’appuyant sur les recommandations de l’ANSSI du 14 octobre 2021 et sur l’article 32, §1, d) du RGPD, énonce que « la simple collecte des données de journalisation ne suffit pas à sécuriser un système d’information » et que « le dispositif de journalisation est efficace uniquement si une entité est en mesure de traiter les informations enregistrées dans les journaux afin d’être capable, le cas échéant, de détecter rapidement un comportement suspect. » Cette affirmation transforme la journalisation active d’une mesure recommandée en une exigence de conformité pour tout opérateur traitant des données volumétriques.
Tout responsable de traitement exposé à un niveau de risque élevé doit donc se doter d’une capacité de détection automatisée des comportements suspects. Cette capacité peut prendre diverses formes selon la taille et la maturité de l’organisation : plateforme SIEM (Security Information and Event Management) interne, service supervisé externalisé via un SOC mutualisé, moteur de corrélation embarqué dans l’infrastructure. L’essentiel est l’aptitude concrète du dispositif à identifier rapidement des anomalies significatives : connexions à des heures inhabituelles, volumes de requêtes incohérents avec l’activité normale d’un utilisateur, extractions massives, accès séquentiels systématiques, échecs répétés d’authentification, changements brutaux de comportement d’un compte.
Cette exigence implique un travail préalable de grande rigueur : définir des lignes de base comportementales permettant de distinguer l’usage normal de l’usage suspect ; paramétrer des seuils d’alerte évitant à la fois l’aveuglement et la saturation ; identifier les équipes destinataires des alertes ; fixer les délais et modalités de traitement ; documenter les scénarios de réponse. Une alerte non traitée n’est qu’un bruit supplémentaire. Une journalisation sans exploitation n’est qu’une conformité décorative.
Il est également recommandé d’articuler cette capacité de détection avec un programme régulier de tests et d’évaluation : exercices de simulation, revues de logs, scénarios de compromission d’identifiants, tests d’intrusion (red team). La logique posée par l’article 32, §1, d) du RGPD — « tester, analyser et évaluer régulièrement l’efficacité des mesures techniques et organisationnelles » — suppose une sécurité dynamique, non une conformité figée.
C. PURGER RÉELLEMENT LES DONNÉES : INTÉGRER LA SUPPRESSION À L’ARCHITECTURE DES SYSTÈMES D’INFORMATION
Le manquement à l’article 5-1-e) du RGPD retenu par la formation restreinte rappelle avec force une vérité souvent sous-estimée : définir une durée de conservation n’est pas supprimer une donnée. Un registre des traitements exact, une politique de confidentialité juridiquement soignée ou une matrice de durées de conservation n’ont de valeur que si l’architecture technique du système permet d’exécuter effectivement les suppressions, anonymisations ou archivages intermédiaires au moment requis.
La formation restreinte a écarté avec fermeté l’argument tiré des contraintes techniques de FREE MOBILE, affirmant que « ces difficultés ou défaillances techniques n’exonèrent pas la société de sa responsabilité » et que les contraintes d’architecture résultent précisément de choix de conception initiaux qui n’ont pas intégré dès l’origine les exigences du principe de privacy by design (article 25 du RGPD). Elle a par ailleurs relevé, de manière implacable, que l’obligation de conservation limitée préexistait à l’entrée en vigueur du RGPD, l’article 6, 5° de la loi du 6 janvier 1978 dans sa rédaction antérieure posant une exigence substantiellement identique : « dès lors que la société soutient conserver les données à caractère personnel de ses anciens abonnés pendant cinq ans après la fin de la relation contractuelle à des fins de fraude, en cas de résiliation d’un abonné en 2012, la société aurait donc dû être en mesure de supprimer les données qui ne lui étaient plus nécessaires à des fins de fraude dès 2017. » L’argument technique devient ainsi un argument à charge lorsqu’il révèle une absence de conception conforme dès l’origine.
Tout responsable de traitement devrait organiser un chantier structuré en plusieurs temps. D’abord, une cartographie exhaustive des gisements de données : bases actives, sauvegardes, environnements de test, copies de travail, entrepôts décisionnels, journaux applicatifs, espaces partagés. Ensuite, une qualification de chaque jeu de données selon la finalité qui justifie sa conservation et la durée correspondante — en gardant à l’esprit que la délibération CNIL n° 2021-131 du 23 septembre 2021 recommande, à des fins d’obligations comptables, une conservation en archive intermédiaire de dix ans, et que seules les données strictement nécessaires à la justification comptable doivent être maintenues à l’exclusion de toutes données de contact ou comportementales sans lien direct avec cette finalité. Puis, la mise en place de mécanismes techniques de purge ou d’anonymisation, automatisés chaque fois que possible, documentés, testés et journalisés. Enfin, un dispositif de contrôle périodique vérifiant que la suppression prévue a bien eu lieu et que les données supprimées dans un environnement ne réapparaissent pas dans un autre au gré des synchronisations ou des restaurations.
Sur le plan doctrinal, la décision rappelle également qu’une donnée inutilement conservée n’est pas seulement traitée illicitement : c’est aussi une donnée qui augmente la surface d’exposition de l’organisation. Même lorsqu’il n’est pas démontré que la violation a porté sur des données historiques, leur présence dans le système entretient un risque structurel.
D. CONCEVOIR DES COMMUNICATIONS DE VIOLATION RÉELLEMENT UTILES AUX PERSONNES CONCERNÉES
La sanction fondée sur l’article 34 du RGPD contient un enseignement pratique majeur : une communication de violation de données ne doit pas être rédigée d’abord pour protéger l’organisation, mais pour armer utilement les personnes concernées. La tentation, en période de crise, est grande de produire un message juridiquement prudent, limité à des généralités, soucieux de ne pas « inquiéter inutilement » les abonnés ou de ne pas exposer l’organisation à des réactions médiatiques. Or, c’est précisément cette prudence défensive qui peut devenir fautive lorsqu’elle prive les personnes affectées d’informations concrètes sur les risques qu’elles courent et sur les mesures qu’elles peuvent prendre.
Une communication de qualité devrait comporter, au minimum, six blocs d’information : l’explication claire de ce qui s’est produit, sans jargon technique inutile ; l’identification aussi précise que possible des catégories de données concernées ; une description concrète des conséquences probables — hameçonnage ciblé, fraude bancaire, usurpation d’identité, risque de prélèvements frauduleux lorsqu’un IBAN est exposé ; les mesures déjà prises par l’organisation pour contenir l’incident ; les mesures recommandées aux personnes concernées ; un point de contact identifiable ; les voies de recours ou d’assistance utiles.
Cette communication doit en outre être segmentée lorsqu’il existe plusieurs catégories de personnes affectées par des risques différents. Lorsque certains clients voient seulement leurs données d’identité et de contact compromises, tandis que d’autres sont également exposés à un risque bancaire (comme les 5,2 millions de clients convergents dont l’IBAN était compromis), un message unique et uniforme est souvent insuffisant.
E. INTÉGRER LA SÉCURITÉ ET LA CONFORMITÉ DANS LA GOUVERNANCE STRATÉGIQUE DE L’ENTREPRISE
La délibération montre enfin qu’une crise de cybersécurité n’est presque jamais seulement un incident technique : elle est souvent la manifestation visible d’une gouvernance insuffisante — arbitrages budgétaires défavorables à la sécurité, absence de priorisation des chantiers de conformité, cloisonnement entre équipes techniques, juridiques et métiers, défaut d’implication de la direction générale. La conformité au RGPD n’est pas un appendice documentaire ; elle est une dimension de la direction stratégique de l’entreprise.
Il est recommandé d’instituer une gouvernance formalisée : comité de pilotage périodique sur la protection des données et la cybersécurité, suivi d’indicateurs de conformité, revue annuelle des risques, arbitrage documenté des écarts résiduels, plan pluriannuel de mise à niveau des mesures de sécurité, doctrine interne de gestion des violations. Une organisation incapable de démontrer l’existence de cette gouvernance s’expose, en cas d’incident, à ce que chaque défaillance technique soit relue par l’autorité de contrôle comme le symptôme d’une négligence structurelle plus profonde.
En pratique, l’ensemble des enseignements de la décision SAN-2026-001 se décline en un socle minimal de conformité immédiate :
| Action prioritaire | Délai recommandé | Fondement normatif |
|---|---|---|
| Déploiement AMF sur tous les accès VPN et accès distants | 30 jours | Art. 32 RGPD — Délibération CNIL 2025-019 |
| Audit complet de la journalisation et déploiement d’alertes automatisées | 60 jours | Art. 32-1-d) RGPD — Recommandations ANSSI 2021 |
| Cartographie des gisements de données et vérification des purges | 90 jours | Art. 5-1-e) et 25 RGPD |
| Rédaction d’une procédure de communication de violation conforme | 30 jours | Art. 34 RGPD |
| Revue des habilitations (principe du moindre privilège) | 60 jours | Art. 32 RGPD |
| Test d’intrusion ciblé et exercice de simulation d’incident | 6 mois | Art. 32-1-d) RGPD |
CONSEILS AUX PERSONNES CONCERNÉES
A. COMPRENDRE LUCIDEMENT LES RISQUES LORSQUE LES DONNÉES D’IDENTITÉ ET DE CONTACT SONT COMPROMISES
Lorsqu’une violation de données expose des informations telles que le nom, le prénom, l’adresse postale, l’adresse électronique, le numéro de téléphone ou certaines données contractuelles, le premier risque n’est généralement pas la fraude immédiate la plus spectaculaire, mais la mise en crédibilité d’opérations malveillantes ultérieures. Un fraudeur qui vous contacte en connaissant déjà votre identité, votre opérateur, une référence contractuelle ou une partie de vos habitudes est beaucoup plus convaincant qu’un expéditeur anonyme. Les données compromises servent alors de levier de confiance trompeuse, notamment dans le cadre d’attaques de type hameçonnage ciblé (spear phishing).
Il convient donc d’adopter une vigilance méthodique. Tout courriel, message texte ou appel téléphonique se présentant comme émanant de votre opérateur, de votre banque ou d’une administration, et vous demandant d’agir vite, de cliquer sur un lien, de rappeler un numéro, de confirmer un identifiant ou de fournir un code reçu par message, doit être examiné avec une distance critique. La bonne pratique consiste à ne jamais utiliser les coordonnées figurant dans le message reçu, mais à reprendre contact par les canaux officiels et vérifiés.
Cette vigilance doit être maintenue dans le temps. Une violation de données ne produit pas toujours ses effets immédiatement. Les informations compromises peuvent circuler, être revendues et n’être exploitées que plusieurs semaines ou plusieurs mois plus tard. Conserver la mémoire de l’incident et adapter durablement son niveau d’attention est une mesure de prudence élémentaire.
B. RÉAGIR DE MANIÈRE SPÉCIFIQUE EN CAS DE COMPROMISSION DE L’IBAN
La compromission d’un IBAN doit être comprise avec précision afin d’éviter à la fois l’alarmisme excessif et la minimisation dangereuse. En principe, la seule connaissance d’un IBAN ne permet pas à un tiers de vider directement un compte bancaire comme le ferait la possession d’une carte bancaire et de son code confidentiel. Cependant, cette donnée n’est nullement anodine : elle peut être utilisée pour tenter de mettre en place des prélèvements frauduleux, pour renforcer la crédibilité de démarches d’ingénierie sociale ou pour compléter un dossier d’usurpation d’identité bancaire. La combinaison de l’IBAN avec les données d’identité et de contact — toutes également compromises dans le cadre de la violation FREE MOBILE — constitue le véritable péril pour les 5,2 millions de clients convergents exposés.
La conduite recommandée est concrète : surveiller avec une attention accrue les relevés de compte, activer si possible les alertes de mouvements bancaires, signaler à son établissement bancaire que l’IBAN a été compromis dans le cadre d’une violation de données, et demander quelles mesures préventives l’établissement propose en pareil cas. En présence d’un prélèvement non autorisé, agir immédiatement : opposition, contestation, demande de remboursement, conservation de la preuve des échanges. Il peut également être utile de demander à la banque quelles options existent : surveillance renforcée, liste blanche de créanciers habituels, changement de domiciliation selon les cas.
C. EXERCER SES DROITS AVEC MÉTHODE AUPRÈS DU RESPONSABLE DE TRAITEMENT
Les personnes concernées conservent, même après une violation de données, l’ensemble des droits que leur reconnaît le RGPD : droit d’accès (article 15), droit de rectification (article 16), droit à l’effacement (article 17), droit à la limitation du traitement (article 18). L’exercice de ces droits ne réparera pas en lui-même la violation subie, mais il permet de reprendre la main informationnelle sur sa situation et de documenter utilement une éventuelle réclamation ultérieure.
Pour être efficace, la démarche doit être structurée : adresser une demande datée, précise, conservée sous forme probatoire, en sollicitant notamment la confirmation de l’existence d’un traitement, les catégories de données concernées, la date ou la période de la violation, les destinataires ou catégories de destinataires, les durées de conservation, et les mesures correctives prises à la suite de l’incident. Une demande trop vague appelle souvent une réponse standardisée et peu utile.
En l’absence de réponse dans le délai d’un mois prévu par l’article 12, §3, du RGPD, ou en cas de réponse manifestement incomplète, la personne concernée peut saisir la CNIL d’une plainte. Cette saisine gagne en efficacité lorsqu’elle s’appuie sur des éléments concrets : copie du message de violation reçu, copie de la demande d’exercice de droits, réponse du responsable de traitement, pièces démontrant un préjudice ou un risque particulier.
D. PRÉSERVER LES PREUVES ET DOCUMENTER TOUT PRÉJUDICE EN VUE D’UNE ACTION INDEMNITAIRE
L’article 82 du RGPD reconnaît à toute personne ayant subi un dommage matériel ou moral du fait d’une violation du règlement le droit d’obtenir réparation du responsable du traitement. En pratique, la réussite d’une telle démarche dépend largement de la capacité de la personne concernée à démontrer et documenter la réalité de son préjudice.
Il importe de conserver l’ensemble des pièces utiles : message d’information reçu de l’organisme, relevés bancaires montrant un prélèvement litigieux, captures d’écran de courriels d’hameçonnage personnalisés, échanges avec la banque, dépôts de plainte, attestations, coûts engagés pour se prémunir contre la fraude, temps consacré aux démarches, certificat médical ou éléments attestant d’une anxiété significative lorsqu’un dommage moral est invoqué. Ce qui n’est pas conservé est souvent très difficile à prouver a posteriori.
Il convient de distinguer soigneusement ce qui relève du risque abstrait et ce qui relève du préjudice indemnisable. Les juridictions européennes et nationales admettent de mieux en mieux la réparation du dommage moral en matière de violation de données — en ce sens notamment, CJUE, 4 mai 2023, Österreichische Post, C-300/21, qui admet la réparation du seul préjudice moral sans dommage matériel si l’atteinte est réelle et non hypothétique —, mais elles exigent généralement des éléments permettant d’établir une atteinte réelle, même non économique. Plus la personne concernée documente les conséquences concrètes de la violation sur sa vie quotidienne, plus sa demande a de chances d’être prise au sérieux.
E. DÉVELOPPER UNE HYGIÈNE NUMÉRIQUE DURABLE APRÈS UNE VIOLATION DE DONNÉES
Au-delà des démarches immédiates, une violation de données doit conduire à renforcer durablement son hygiène numérique personnelle : modifier les mots de passe réutilisés sur plusieurs services, adopter un gestionnaire de mots de passe, activer l’AMF sur les comptes essentiels (messagerie électronique, banque, services administratifs, plateformes de commerce), vérifier régulièrement les paramètres de sécurité de ses comptes.
La messagerie électronique mérite une attention particulière, car elle constitue souvent la clé d’accès aux autres services. Une boîte mail compromise permet de réinitialiser des mots de passe, d’intercepter des messages de confirmation et de prendre le contrôle en cascade de nombreux comptes. Renforcer sa messagerie, vérifier les règles de transfert automatique, surveiller les connexions inhabituelles et sécuriser l’appareil mobile associé sont des mesures prioritaires.
Il faut résister à l’illusion selon laquelle la protection des données ne relèverait que des organismes qui les traitent. Certes, la responsabilité juridique première incombe au responsable de traitement — c’est le sens même de la sanction de 27 millions d’euros infligée à FREE MOBILE. Mais dans un environnement numérique où les violations de données sont devenues récurrentes, chaque personne a intérêt à développer des réflexes de prudence, de vérification et de conservation de preuve. Cette vigilance n’efface pas la faute de l’organisme, mais elle réduit l’exposition concrète aux conséquences les plus dommageables.
Last Updated on 06/05/2026 by Armand-Ari BETTAN & Dominique KARPISEK-BETTAN | FYTT AVOCATS PRIVACYANGELS