CNIL | SAN-2026-001 | 08 JANVIER 2026 | AFFAIRE FREE MOBILE ET FREE |
ANALYSE CRITIQUE MANQUEMENTS FAQ CONSEILS
Par délibération du 8 janvier 2026, la formation restreinte de la CNIL a infligé à la société FREE MOBILE, quatrième opérateur mobile français et filiale à 100 % du groupe ILIAD (10 milliards d’euros de chiffre d’affaires consolidé), une amende administrative de 27 millions d’euros pour trois manquements distincts aux articles 5-1-e), 32 et 34 du RGPD, procédant tous trois d’une défaillance systémique commune : l’absence d’une gouvernance des données intégrant dès la conception les exigences réglementaires, et le défaut de mise en œuvre effective des politiques déclarées.
RAPPEL DES FAITS ET DE LA PROCÉDURE
A. LE RESPONSABLE DU TRAITEMENT ET LE CONTEXTE DE L’INCIDENT
La société FREE MOBILE est un opérateur de téléphonie mobile de droit français, filiale à 100 % de la société ILIAD. Au 31 décembre 2024, elle comptait environ 15,5 millions d’abonnés mobiles. Le groupe ILIAD, dont le chiffre d’affaires s’élevait en 2024 à 10,024 milliards d’euros pour un résultat net de 367 millions d’euros, est présent dans plusieurs États membres de l’Union européenne et compte plus de 50,2 millions d’abonnés. Cette assise économique n’est pas sans incidence sur l’appréciation des manquements, la formation restreinte y ayant recours pour apprécier la proportionnalité des mesures de sécurité que la société était en mesure de déployer.
Le 21 octobre 2024, FREE MOBILE a été alertée par l’attaquant lui-même — non par ses propres systèmes de surveillance — de la compromission des données personnelles de ses abonnés. Les investigations internes ont permis d’établir que l’intrusion avait débuté le 28 septembre 2024 et s’était poursuivie jusqu’au 22 octobre 2024, soit une durée de vingt-quatre jours durant lesquels aucun dispositif interne n’avait détecté l’activité frauduleuse. La société a procédé à la notification de la violation auprès de la CNIL le 23 octobre 2024, complétée le 5 novembre 2024, et a informé les personnes concernées par courriel de manière échelonnée entre le 24 et le 29 octobre 2024.
B. LE DÉROULEMENT TECHNIQUE DE L’ATTAQUE
L’attaquant s’est introduit dans le système d’information de FREE MOBILE en se connectant au réseau privé virtuel (VPN) de la société, dont l’accès n’était protégé que par une authentification simple (identifiant et mot de passe). Il a ensuite accédé à l’outil de gestion des abonnés dénommé « MOBO », qui constitue l’interface permettant aux agents de la société de consulter les données relatives à la relation commerciale avec les clients. Cet outil ne donne pas directement accès aux données brutes mais interroge, via une fonctionnalité de recherche, la base de données des abonnés mobiles de FREE MOBILE ainsi que, pour les clients dits « convergents », celle des abonnés fixes de la société FREE.
Au terme de son activité non détectée, l’attaquant a pu prendre connaissance des données afférentes à 24 633 469 contrats, dont 19 460 891 contrats mobiles FREE MOBILE et 5 172 577 contrats fixes FREE. Les données exfiltrées comprenaient des données d’identité (civilité, prénom, nom), des données de contact (adresse postale, adresse électronique, numéro de téléphone), des données contractuelles (type d’offre, situation du contrat) et, pour les clients convergents, leur IBAN. Au jour de la notification du rapport de sanction, 2 614 plaintes avaient été reçues par la CNIL.
C. LA PROCÉDURE DE SANCTION
Par décision n° 2024-205C du 6 novembre 2024, la présidente de la Commission a ordonné une mission de contrôle sur place, qui s’est déroulée le 8 novembre 2024 dans les locaux des sociétés FREE MOBILE et FREE, 16 rue de la Ville Lévêque à Paris (75008). Le 17 février 2025, la présidente a désigné un rapporteur aux fins d’instruction des éléments recueillis.
Le 24 juillet 2025, la présidente de la Commission a décidé de disjoindre les procédures initialement engagées conjointement contre les sociétés FREE MOBILE et FREE, chacune étant désormais poursuivie dans le cadre d’une procédure autonome. Cette disjonction a abouti à deux délibérations distinctes en date du 8 janvier 2026 : la présente délibération SAN-2026-001 concernant FREE MOBILE, et la délibération SAN-2026-002 concernant FREE.
Le rapporteur a fait notifier le 25 juillet 2025 à FREE MOBILE un rapport retenant des manquements aux articles 5-1-e, 32 et 34 du RGPD et proposant une amende administrative, une injonction sous astreinte et la publication de la décision. La société a présenté ses observations le 15 septembre 2025, le rapporteur y a répondu le 15 octobre 2025, et la société a produit de secondes observations le 17 novembre 2025. L’instruction a été clôturée le 18 novembre 2025, et les observations orales des parties ont été présentées lors de la séance du 15 décembre 2025.
D. TABLEAU RÉCAPITULATIF DES DISPOSITIONS ET JURISPRUDENCES CITÉES DANS LA DÉLIBÉRATION
| Référence | Nature | Objet | Localisation dans la délibération |
|---|---|---|---|
| Art. 5, §1, e) RGPD | Disposition réglementaire | Principe de limitation de la conservation — durée n’excédant pas celle nécessaire aux finalités | Manquement 1 — conservation excessive |
| Art. 32, §1 et §2 RGPD | Disposition réglementaire | Obligation de sécurité — mesures techniques et organisationnelles appropriées — confidentialité, intégrité, disponibilité, résilience | Manquement 2 — sécurité insuffisante |
| Art. 34 RGPD | Disposition réglementaire | Communication aux personnes concernées en cas de risque élevé — délai des meilleurs délais — contenu minimal (conséquences probables, mesures prises) | Manquement 3 — communication défaillante |
| Art. 83, §2 RGPD | Disposition réglementaire | Critères de détermination du montant des amendes administratives (gravité, négligence, catégories de données, circonstances aggravantes/atténuantes) | Détermination de la sanction |
| Délib. CNIL n° 2025-019 du 20 mars 2025 | Jurisprudence/Recommandation CNIL | Recommandation relative à l’authentification multifacteur — préconisation pour les traitements sensibles et les accès distants | Manquement sécurité — absence de MFA |
| Délib. CNIL n° 2021-131 du 23 septembre 2021 | Référentiel CNIL | Référentiel gestion des activités commerciales — durée d’archivage intermédiaire à des fins comptables : dix ans | Manquement conservation |
| Délib. CNIL n° 2022-100 du 21 juillet 2022 | Recommandation CNIL | Recommandation relative aux mots de passe et autres secrets partagés | Sécurité — politique d’authentification |
| CJUE, 14 décembre 2023, Natsionalna agentsia za prihodite, C-20241065 | Jurisprudence CJUE | L’absence de violation de données ne démontre pas l’absence de manquement à l’art. 32 ; la survenance d’une violation ne suffit pas à le caractériser | Portée de l’obligation de sécurité |
| CJUE, 14 décembre 2023, C-34021 | Jurisprudence CJUE | Caractère approprié des mesures de sécurité — appréciation en deux temps : identification des risques / vérification de l’adéquation des mesures | Portée de l’obligation de sécurité |
| ANSSI — Memento défense en profondeur, v.1.1, 19 juillet 2004 | Référentiel technique | Principe de défense en profondeur — absence de point de défaillance unique — architecture multicouche | Défaut de sécurité — architecture SI |
| ANSSI — Recommandation journalisation, 14 octobre 2021 | Référentiel technique | Détection des incidents de sécurité — systèmes automatisés (SIEM) — journalisation active | Défaut de détection — absence SIEM |
| Loi I&L du 6 janvier 1978, art. 6, 5° | Législation nationale | Principe de conservation limitée — préexistant au RGPD | Ancienneté de l’obligation de purge |
| Délib. CNIL SAN-2019-012, 10 octobre 2019 | Jurisprudence CNIL antérieure | Sanction pour conservation excessive de données | Contextualisation jurisprudentielle |
| Délib. CNIL SAN-2020-007, 30 juin 2020 | Jurisprudence CNIL antérieure | Sanction pour conservation excessive de données | Contextualisation jurisprudentielle |
| Délib. CNIL SAN-2018-009, 6 septembre 2018 | Jurisprudence CNIL antérieure | Politique de mot de passe insuffisamment robuste — manquement art. 32 | Contextualisation jurisprudentielle sécurité |
| Délib. CNIL SAN-2022-018, 8 septembre 2022 | Jurisprudence CNIL antérieure | Stockage de mots de passe en clair — manquement art. 32 | Contextualisation jurisprudentielle sécurité |
ANALYSE CRITIQUE DE LA DÉLIBÉRATION
A. SUR LA DISJONCTION DES PROCÉDURES ET LA QUESTION DE LA RESPONSABILITÉ INDIVIDUELLE AU SEIN DU GROUPE ILIAD
La première interrogation que suscite cette délibération tient au traitement procédural de la situation de groupe. La violation de données a en effet affecté simultanément le système d’information de FREE MOBILE et, via l’outil MOBO, les données des abonnés fixes de FREE. Lors du contrôle sur place, les deux sociétés étaient en partie représentées par les mêmes personnes — notamment le président et le responsable réseau — et certaines mesures de sécurité leur étaient communes. La formation restreinte a néanmoins confirmé la disjonction des procédures décidée par la présidente le 24 juillet 2025, au motif que « chacune d’elles met en œuvre un traitement relatif à la gestion de ses propres abonnés, à l’aide d’outils qui lui sont propres, dont chacune est responsable de traitement », conformément au « principe de responsabilité personnelle ».
Cette approche, juridiquement correcte au regard du principe de personnalité des peines, appelle cependant plusieurs réserves. En premier lieu, la formation restreinte ne traite pas explicitement de la question de la responsabilité de FREE à l’égard de ses propres abonnés dont les IBAN ont été exfiltrés via l’outil de FREE MOBILE. Pour ces clients convergents, dont les données étaient stockées dans la base de FREE mais accessibles via MOBO, la question d’une responsabilité conjointe ou d’une obligation de vigilance croisée méritait un traitement plus approfondi, à l’instar de l’analyse développée dans la délibération SAN-2026-003 France Travail concernant la co-responsabilité avec les CAP EMPLOI. En second lieu, le cumul des deux sanctions prononcées le même jour (SAN-2026-001 et SAN-2026-002) contre les deux entités d’un même groupe pour un incident commun interroge sur la proportionnalité globale de la réponse répressive, question que la délibération laisse délibérément sans réponse.
B. SUR LE MANQUEMENT À L’OBLIGATION DE CONSERVATION LIMITÉE — ARTICLE 5, §1, E) DU RGPD
1. LA CARACTÉRISATION DU MANQUEMENT
La délégation de contrôle a constaté la présence dans la base de données de FREE MOBILE de données relatives à plus de quinze millions de contrats résiliés depuis plus de cinq ans, dont trois millions depuis plus de dix ans. Sur ces trois millions de contrats conservés au-delà de dix ans, la société ne justifiait la conservation que de 254 809 par l’existence d’autres contrats en cours d’exécution ; pour les 2 806 690 autres, elle reconnaissait une conservation excessive imputable à un mécanisme de purge « non pleinement opérationnel ».
La formation restreinte retient le manquement avec une motivation rigoureuse. Elle relève que « si la politique de confidentialité de la société définit des durées de conservation différenciées en fonction des finalités poursuivies (notamment obligations comptables et lutte contre la fraude), les constatations réalisées au sein de la base de données de la société, associées aux déclarations de la société, démontrent l’absence de mise en œuvre effective de ces durées de conservation ». Elle ajoute que « compte tenu du déploiement d’un mécanisme de purge qui n’était pas achevé au jour du contrôle, les données contenues dans la base de données de la société liées aux factures et aux abonnements résiliés étaient potentiellement conservées indéfiniment sans qu’aucune distinction ne soit faite en fonction des finalités poursuivies ».
2. LE REJET DE L’ARGUMENT TIRÉ DES CONTRAINTES TECHNIQUES — LE PRIVACY BY DESIGN COMME OBLIGATION D’ORIGINE
La formation restreinte écarte avec fermeté l’invocation de contraintes techniques. Elle affirme que « ces difficultés ou défaillances techniques n’exonèrent pas la société de sa responsabilité de s’assurer du tri ou de la suppression des données aux échéances de leurs durées de conservation telles qu’elle les a elle-même définies ». Elle relève en outre que l’obligation de conservation limitée « préexistait à l’entrée en vigueur du RGPD », de sorte que FREE MOBILE, ayant débuté son activité en 2012, « était tenue de purger les données dès la première échéance de conservation des données » — c’est-à-dire, à titre d’exemple, de supprimer les données d’un abonné résilié en 2012 à des fins de lutte contre la fraude « dès 2017 ».
Cette motivation est critique à plusieurs égards. Elle consacre implicitement le principe de privacy by design (art. 25 du RGPD) comme obligation de conception dès l’origine du traitement : l’architecture d’un système d’information qui « s’accorde difficilement avec des opérations de purge à grande échelle » est une architecture non conforme au RGPD dès sa conception. Elle signifie également que la déclaration par la société d’une politique de durée de conservation sans mise en œuvre effective des mécanismes de purge correspondants constitue en soi une violation, indépendamment de toute autre défaillance.
3. L’ABSENCE DE LIEN CAUSAL RETENU ENTRE CONSERVATION EXCESSIVE ET VIOLATION DE DONNÉES
La formation restreinte adopte une position nuancée et juridiquement rigoureuse en relevant que « les éléments du dossier portés à sa connaissance ne lui permettent pas de se prononcer sur le point de savoir si l’absence d’implémentation de la politique de durée de conservation des données a ou non permis à l’attaquant d’accéder à une profondeur historique de données plus importante ». Elle précise en conséquence que « la formation restreinte sanctionne la société au titre des articles 5-1-e et 32 du RGPD pour des faits distincts, le manquement à l’article 5-1-e n’étant pas un élément constitutif du manquement à l’article 32 ».
Cette distinction protège la délibération contre toute critique tirée d’une méconnaissance du principe non bis in idem, tout en maintenant la pleine autonomie de chaque manquement. Elle est juridiquement irréprochable, même si l’on peut observer — en pure hypothèse — que la présence de millions de données historiques dans un système d’information constitue une surface d’attaque potentiellement aggravante, quand bien même l’attaquant n’y aurait pas effectivement accédé.
C. SUR LE MANQUEMENT À L’OBLIGATION DE SÉCURITÉ — ARTICLE 32 DU RGPD
1. LE CADRE D’APPRÉCIATION : L’OBLIGATION DE MOYENS RENFORCÉE À LA LUMIÈRE DE LA JURISPRUDENCE CJUE
Avant d’analyser les manquements spécifiques, la formation restreinte prend soin de rappeler le cadre jurisprudentiel de l’obligation de sécurité, en se référant à l’arrêt de la CJUE Natsionalna agentsia za prihodite (14 décembre 2023, C-20241065) qui établit que « l’absence de violation de données à caractère personnel ne suffit pas à démontrer l’absence de manquement, pas plus que la survenance d’une violation de données ne suffit à caractériser en elle-même l’existence d’un manquement à l’article 32 du RGPD ». Il est également rappelé que « le caractère approprié des mesures techniques et organisationnelles doit s’apprécier en deux temps » : identification des risques liés au traitement, puis vérification de l’adéquation des mesures mises en œuvre à ces risques.
Ce préalable méthodologique est essentiel : il signifie que la formation restreinte n’entend pas sanctionner la violation de données en tant que telle, mais les défaillances de sécurité qui lui sont antérieures et qui ont rendu cette violation possible. Comme elle l’énonce expressément : « la formation restreinte n’entend pas sanctionner la violation de données en elle-même mais déterminer si, compte tenu de l’état des connaissances, des caractéristiques du traitement, de la probabilité et de la gravité des risques, ainsi que de la portée de l’obligation de sécurité précisées ci-dessus, la société FREE MOBILE a respecté ses obligations au titre de l’article 32 du RGPD ».
2. L’ABSENCE D’AUTHENTIFICATION MULTIFACTEURS SUR LE VPN — LA CONSÉCRATION D’UN STANDARD MINIMAL
Le premier manquement sécurité tient à l’absence de mécanisme d’authentification multifacteurs (MFA) pour la connexion au VPN de la société, porte d’entrée initiale utilisée par l’attaquant. FREE MOBILE soutenait que l’accès au VPN était protégé par une authentification simple (identifiant et mot de passe) « conforme aux recommandations en vigueur au moment des faits » et que la mise en œuvre du MFA aurait nécessité des investissements significatifs.
La formation restreinte rejette cet argument de manière circonstanciée. Elle rappelle que la délibération n° 2025-019 du 20 mars 2025 portant recommandation relative à l’authentification multifacteur « préconise de recourir à l’authentification multifacteur pour les traitements de données sensibles […] et les traitements ou les opérations à risque pour les personnes concernées car une telle authentification réduit significativement la vraisemblance du risque d’accès non autorisés à des systèmes d’information ». Elle considère que « compte tenu de la nature des données traitées (données personnelles de plus de 15 millions d’abonnés, incluant des données de contact et des données contractuelles), de l’accès depuis l’extérieur du réseau de l’organisme (connexion VPN), et des risques identifiés, la société FREE MOBILE aurait dû mettre en œuvre une authentification multifacteurs ».
Cette motivation consacre un glissement normatif significatif : le MFA, jusqu’alors présenté comme une recommandation de bonne pratique, tend à être érigé en obligation quasi-impérative pour tout accès distant à un système d’information traitant des données personnelles en masse. Ce standard est cohérent avec la doctrine CNIL développée dans les délibérations SAN-2026-002 (FREE) et SAN-2026-003 (France Travail) rendues le même jour ou dans les semaines suivantes, qui sanctionnent toutes deux l’absence de MFA dans des contextes similaires.
3. L’ABSENCE DE DÉTECTION ACTIVE DES COMPORTEMENTS ANORMAUX — DE LA JOURNALISATION PASSIVE À LA SURVEILLANCE INTELLIGENTE
Le second manquement sécurité est l’absence de systèmes de détection automatique des comportements suspects sur le VPN et sur l’outil MOBO. La formation restreinte relève que si FREE MOBILE disposait d’un système de journalisation, celui-ci ne permettait pas de détecter automatiquement les anomalies et de générer des alertes en temps réel. Or, l’activité de l’attaquant « présentait des caractéristiques manifestement anormales qui auraient dû déclencher des alertes automatiques : volume de consultations inhabituellement élevé, horaires de connexion atypiques, requêtes répétitives sur des bases de données ».
La formation restreinte s’appuie sur les recommandations de l’ANSSI relatives à la journalisation (14 octobre 2021) pour affirmer que « l’article 32-1-d) du RGPD impose expressément de mettre en œuvre une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles » et que les recommandations de l’ANSSI « préconisent expressément la mise en œuvre de systèmes automatisés de détection des comportements anormaux (SIEM — Security Information and Event Management) ».
Cette exigence traduit une évolution majeure dans la doctrine de la CNIL : il ne suffit plus de journaliser (conserver des traces), il faut analyser en temps réel et alerter en cas d’anomalie. La détection passive, qui consiste à analyser les logs a posteriori après qu’un incident ait été signalé — le cas d’espèce illustrant cette limite puisque la violation n’a été détectée que parce que l’attaquant lui-même l’a signalée — est désormais insuffisante. Cette position s’inscrit dans la convergence doctrinale entre la CNIL et l’ANSSI, déjà exprimée dans la délibération SAN-2026-003 France Travail qui retient le même manquement dans des termes très proches.
4. LE PRINCIPE DE DÉFENSE EN PROFONDEUR COMME GRILLE D’ANALYSE DU CUMUL DES DÉFAILLANCES
La formation restreinte mobilise le concept de défense en profondeur de l’ANSSI pour appréhender globalement les défaillances sécuritaires de FREE MOBILE. Ce concept, défini par l’ANSSI dans son Memento du 19 juillet 2004 comme consistant à « ne pas faire reposer la sécurité sur un élément mais sur un ensemble cohérent », est appliqué pour constater que FREE MOBILE a cumulé plusieurs défaillances qui se sont mutuellement aggravées : absence de MFA sur le VPN, absence de détection automatique, politique d’habilitations permettant un accès trop large aux données. Cette approche analytique est particulièrement exigeante car elle signifie que chaque défaillance doit être compensée par un niveau de sécurité supplémentaire — aucune n’est admissible isolément dès lors qu’elle constitue un « point de défaillance unique » de l’architecture.
D. SUR LE MANQUEMENT À L’OBLIGATION DE COMMUNICATION AUX PERSONNES CONCERNÉES — ARTICLE 34 DU RGPD
L’article 34 du RGPD impose, lorsqu’une violation est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes, de leur communiquer la violation « dans les meilleurs délais » et de leur fournir a minima : le nom du délégué à la protection des données, une description des conséquences probables de la violation, et une description des mesures prises ou proposées pour y remédier.
La formation restreinte relève que le courriel adressé par FREE MOBILE à ses abonnés entre le 24 et le 29 octobre 2024 était insuffisant en ce qu’il ne décrivait pas les conséquences probables de la violation ni les mesures que les personnes devaient prendre pour se prémunir des risques identifiés. FREE MOBILE, qui avait elle-même identifié ces risques — notamment ceux liés à la compromission des IBAN —, aurait dû les porter à la connaissance des personnes concernées dans son message initial.
La formation restreinte considère que la société a fait preuve de négligence en ne portant pas à la connaissance des personnes concernées « dès le courriel de notification, les risques encourus par ces dernières, ainsi que les mesures qu’elles doivent prendre pour s’en prémunir alors même qu’elle les avait identifiés ». Cette position, qui refuse d’admettre qu’un message de notification puisse être édulcoré au nom d’un objectif de « gestion de crise » ou de prévention de la panique, confirme que le droit à l’information des personnes concernées est une obligation de fond et non une obligation de forme.
E. SUR LE DISPOSITIF : INJONCTION, ASTREINTE ET PUBLICITÉ
La formation restreinte prononce une injonction de mise en conformité en deux volets : un délai de six mois pour implémenter la politique de durée de conservation — « en effectuant une purge au sein de la base de données de la société s’agissant des données des clients des contrats résiliés depuis plus de 10 ans » et « en effectuant un tri parmi les données afin de conserver pendant 10 ans uniquement les données strictement nécessaires à des fins comptables » — et un délai de trois mois pour mettre en œuvre « les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ».
L’injonction relative à la purge est précise et opérationnelle. En revanche, l’injonction relative à la sécurité demeure générale, renvoyant à l’article 32 du RGPD sans préciser les mesures spécifiques attendues (activation du MFA, déploiement d’un SIEM, révision des habilitations). Cette imprécision, déjà relevée dans les commentaires de la délibération SAN-2026-003 France Travail, présente le risque de créer une incertitude lors du contrôle du respect de l’injonction et d’alimenter des divergences d’interprétation entre la société et les services de la CNIL. L’astreinte est fixée à 50 000 euros par jour de retard — soit 1,5 million d’euros par mois — montant cohérent avec les capacités financières du groupe ILIAD mais dont les modalités de déclenchement (deux délais distincts ou date unique) ne sont pas suffisamment précisées.
La publicité de la décision est ordonnée avec une anonymisation différée de deux ans, justifiée par « la gravité des manquements, ainsi que le nombre de personnes concernées » et la volonté d’« informer l’ensemble des personnes concernées par les manquements en cause sur la nature de la mesure correctrice prise ». FREE MOBILE avait soutenu que la divulgation publique de certaines mesures de sécurité porterait atteinte à la sécurité de son système d’information — argument partiellement entendu puisque « certains développements contenus dans la présente délibération seront occultés », sans que la délibération n’en précise ni le périmètre ni les critères.
PORTÉE DE LA DÉCISION ET CONTEXTUALISATION JURISPRUDENTIELLE
A. LA DÉCISION DANS LE CORPUS JURISPRUDENTIEL DE LA CNIL : UN TRIPTYQUE NORMATIF
La délibération SAN-2026-001 s’inscrit dans un triptyque de décisions publiées par la CNIL au premier trimestre 2026, formant un corpus cohérent autour de la sécurité des données traitées à grande échelle :
—-SAN-2026-001 (FREE MOBILE, 8 janvier 2026) : manquements aux articles 5-1-e, 32 et 34 — VPN sans MFA, absence de détection active, conservation excessive ;
—-SAN-2026-002 (FREE, 8 janvier 2026) : manquements à l’article 32 — défaillances sécuritaires propres au système d’information de la maison-mère ;
—-SAN-2026-003 (FRANCE TRAVAIL, 22 janvier 2026) : manquement à l’article 32 — ingénierie sociale, absence de MFA, journalisation passive, politique de mots de passe insuffisante.
Ces trois décisions convergent autour d’un standard sécuritaire commun : l’authentification multifacteurs pour les accès distants, la détection active des comportements anormaux, et l’architecture de défense en profondeur. Elles signalent la fin d’une période de tolérance implicite de la CNIL à l’égard des opérateurs de grande taille qui pouvaient jusqu’alors invoquer la complexité de leurs systèmes d’information pour différer les investissements de sécurité.
B. LA JURISPRUDENCE ANTÉRIEURE SUR LA CONSERVATION EXCESSIVE : UNE OBLIGATION ANCIENNE SYSTÉMATIQUEMENT MÉCONNUE
La CNIL sanctionne la conservation excessive des données personnelles depuis de nombreuses années, bien avant l’entrée en vigueur du RGPD. Les délibérations SAN-2019-012 du 10 octobre 2019 et SAN-2020-007 du 30 juin 2020 avaient déjà posé le principe selon lequel l’impossibilité technique invoquée pour justifier l’absence de purge ne saurait constituer un fait justificatif, dès lors que cette impossibilité résulte de choix de conception antérieurs et remédiables.
La délibération SAN-2026-001 durcit encore cette position en insistant sur la préexistence de l’obligation au RGPD — l’article 6, 5° de la loi Informatique et Libertés du 6 janvier 1978 imposant déjà la limitation de la durée de conservation — et sur l’impossibilité pour un opérateur actif depuis 2012 de soutenir que « la question de la suppression des données ne s’est posée que très récemment ». Cette formulation, proche de la mauvaise foi juridique, est sévèrement sanctionnée.
C. LA CONSÉCRATION DE LA MFA COMME STANDARD IMPÉRATIF : CONVERGENCE AVEC LES JURISPRUDENCES POSTÉRIEURES
La position de la formation restreinte sur le MFA dans la présente délibération a été confirmée et renforcée par la délibération SAN-2026-003 France Travail du 22 janvier 2026, dans laquelle la CNIL retient le même manquement dans un contexte différent (accès d’agents via un navigateur web plutôt que via un VPN). Cette convergence suggère que, pour tout accès distant à un système d’information traitant des données personnelles en masse — qu’il s’agisse d’un VPN, d’une interface web, ou d’une API — l’absence de MFA constitue désormais une présomption quasi-irréfragable de manquement à l’article 32 du RGPD.
Cette évolution jurisprudentielle a des implications opérationnelles immédiates pour tous les responsables de traitement : le déploiement du MFA sur l’ensemble des accès distants n’est plus une option relevant d’une analyse coût-bénéfice, mais une obligation de conformité dont le non-respect expose à une sanction administrative.
D. LE MANQUEMENT À L’ARTICLE 34 : UNE EXIGENCE DE TRANSPARENCE SUBSTANTIELLE
La position de la CNIL sur le contenu de la notification aux personnes concernées mérite une attention particulière. En sanctionnant un message qui, bien qu’envoyé dans les délais, ne décrivait pas les conséquences probables de la violation ni les mesures de protection recommandées, la formation restreinte rappelle que l’obligation de communication de l’article 34 est une obligation de fond et non de forme. Un courriel de notification rédigé dans un objectif de minimisation du risque réputationnel, sans information substantielle sur les risques courus par les personnes, est non conforme au RGPD — et ce d’autant plus que ces risques avaient été identifiés par le responsable de traitement lui-même.
Last Updated on 06/05/2026 by Armand-Ari BETTAN & Dominique KARPISEK-BETTAN | FYTT AVOCATS PRIVACYANGELS