CNIL | SAN-2026-001 | 08 JANVIER 2026 | AFFAIRE FREE MOBILE ET FREE |
ANALYSE CRITIQUE MANQUEMENTS FAQ CONSEILS
Par délibération du 8 janvier 2026, la formation restreinte de la CNIL a infligé à la société FREE MOBILE, quatrième opérateur mobile français et filiale à 100 % du groupe ILIAD (10 milliards d’euros de chiffre d’affaires consolidé), une amende administrative de 27 millions d’euros pour trois manquements distincts aux articles 5-1-e), 32 et 34 du RGPD, procédant tous trois d’une défaillance systémique commune : l’absence d’une gouvernance des données intégrant dès la conception les exigences réglementaires, et le défaut de mise en œuvre effective des politiques déclarées.
LE CADRE NORMATIF ET JURISPRUDENTIEL
A. L’ARTICULATION DES TROIS OBLIGATIONS EN CAUSE
La délibération SAN-2026-001 met en jeu une architecture normative tripartite dont l’articulation interne commande l’ensemble de la structure motivationnelle de la formation restreinte. Ces trois dispositions — les articles 5-1-e), 32 et 34 du RGPD — ne forment pas un système redondant : chacune appréhende une dimension distincte des obligations pesant sur le responsable de traitement, et leur violation simultanée en l’espèce traduit l’ampleur systémique des défaillances de FREE MOBILE.
L’article 5, §1, e) du RGPD pose le principe de limitation de la conservation, qui constitue l’une des six garanties fondamentales encadrant le traitement licite des données à caractère personnel. Aux termes de cette disposition,
« les données à caractère personnel doivent être conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées. »
Ce principe est complété par l’article 5, §2, du RGPD qui consacre le principe d’accountability : le responsable de traitement doit être « en mesure de démontrer » qu’il respecte ces principes. Cette exigence de preuve positive renverse la charge de la conformité — il ne suffit plus d’être conforme, encore faut-il en apporter la démonstration documentée.
L’article 32 du RGPD définit l’obligation de sécurité du responsable de traitement. Son §1 dispose que
« compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque. »
La formulation de l’obligation — « mesures appropriées », « niveau adapté au risque » — révèle sa nature intrinsèquement contextuelle : il n’existe pas de liste fermée de mesures dont la seule mise en œuvre suffirait à établir la conformité. La conformité s’apprécie au regard du profil de risque propre à chaque traitement.
L’article 34 du RGPD institue l’obligation de communication aux personnes concernées en cas de violation de données présentant un risque élevé pour leurs droits et libertés. Son §2 précise le contenu minimal de cette communication, qui doit décrire, « en des termes clairs et simples », la nature de la violation et contenir au moins les informations visées à l’article 33, §3, points b), c) et d) — à savoir les coordonnées du délégué à la protection des données, les conséquences probables de la violation, et les mesures prises ou proposées pour y remédier.
B. LE CADRE JURISPRUDENTIEL : L’APPORT DE L’ARRÊT NATSIONALNA AGENTSIA ZA PRIHODITE
La formation restreinte s’appuie sur la jurisprudence de la CJUE, et notamment sur l’arrêt Natsionalna agentsia za prihodite du 14 décembre 2023 (affaire C-340/21), pour préciser le régime de la preuve applicable à l’obligation de sécurité. En premier lieu, la Cour a affirmé que
« l’absence de violation de données à caractère personnel ne suffit pas à démontrer l’absence de manquement à l’article 32 du RGPD, pas plus que la survenance d’une violation de données ne suffit à caractériser en elle-même l’existence d’un tel manquement. »
En second lieu, la Cour a précisé que « le caractère approprié des mesures techniques et organisationnelles doit s’apprécier en deux temps » : d’abord l’identification des risques, puis la vérification de l’adéquation des mesures mises en œuvre. Ce raisonnement bilatéral interdit à la CNIL de sanctionner la violation de données en tant que telle : elle doit démontrer que les mesures adoptées étaient, au regard des risques raisonnablement prévisibles ex ante, insuffisantes.
PREMIER MANQUEMENT — ARTICLE 5-1-E) DU RGPD : CONSERVATION EXCESSIVE
A. LES CONSTATS DE LA DÉLÉGATION DE CONTRÔLE
Lors de la mission de contrôle sur place du 8 novembre 2024, la délégation de la CNIL a constaté la présence dans la base de données principale de FREE MOBILE de données personnelles — comprenant l’identifiant du compte, la civilité, le prénom, le nom de famille, l’adresse électronique et les données contractuelles — relatives à plus de quinze millions de contrats résiliés depuis plus de cinq ans, dont trois millions de contrats résiliés depuis plus de dix ans.
Ces chiffres doivent être rapportés à la politique déclarée par FREE MOBILE : la société indiquait conserver les données de ses anciens abonnés pendant cinq ans après la résiliation à des fins de lutte contre la fraude, et pendant dix ans à des fins d’obligations comptables. Parmi les trois millions de contrats conservés au-delà de dix ans, seuls 254 809 pouvaient justifier leur maintien par l’existence d’un autre contrat en cours avec le même titulaire. Pour les 2 806 690 contrats restants, FREE MOBILE a reconnu une conservation excessive, expliquée par les difficultés techniques de déploiement de son mécanisme de purge.
Le rapporteur a relevé qu’« au jour du contrôle, la société n’avait pas mis en place de mesure permettant de trier les données des anciens abonnés qu’elle entendait conserver à des fins comptables durant dix ans » et qu’« une fois cette durée de dix ans atteinte, le mécanisme de purge des données n’était pas complètement opérationnel, de sorte que les données n’étaient jamais supprimées ».
B. LES ARGUMENTS DE LA DÉFENSE
Sur la politique de conservation. FREE MOBILE a exposé conserver les données de ses abonnés pendant toute la durée du contrat, puis pendant cinq ans après la résiliation à des fins de lutte contre la fraude — reconnaissant au passage une « erreur de déclaration » initiale qui avait porté cette durée à dix ans —, et pendant dix ans à des fins d’obligations comptables, conformément aux obligations légales de conservation des documents comptables (articles L. 123-22 et suivants du code de commerce) et au référentiel CNIL n° 2021-131 recommandant une durée d’archive intermédiaire de dix ans pour les traitements de gestion commerciale.
Sur les difficultés techniques. La société a soutenu qu’« au jour du contrôle son mécanisme de purge des données n’était pas pleinement opérationnel », expliquant cette situation par des contraintes techniques : « l’architecture de son système d’information s’accorde difficilement avec des opérations de purge à grande échelle, compte tenu du risque de blocage des services métiers ». Elle a précisé avoir débuté un projet de purge progressive en 2023, avec un premier lot en cours au jour du contrôle concernant les factures, suivi d’un second lot concernant les données des anciens abonnés devant être finalisé d’ici la fin de l’année 2025. Elle a par ailleurs indiqué avoir procédé à une purge manuelle de certaines données en cours de procédure et qualifié le nombre résiduel de données conservées excessivement de « nombre résiduel ».
Sur l’absence de lien avec la violation. FREE MOBILE a soutenu que « l’attaquant n’a pas accédé à des données à caractère personnel conservées pendant une durée excessive par la société dès lors que le compte usurpé ne permettait d’accéder qu’aux contrats en cours et ceux résiliés depuis moins d’un an », cherchant ainsi à dissocier le manquement à l’article 5-1-e) de la violation de données.
C. LA MOTIVATION DE LA FORMATION RESTREINTE
Sur la réalité du manquement. La formation restreinte rejette l’ensemble des justifications de FREE MOBILE. Elle relève que, « si la politique de confidentialité de la société définit des durées de conservation différenciées en fonction des finalités poursuivies (notamment obligations comptables et lutte contre la fraude), les constatations réalisées au sein de la base de données de la société, associées aux déclarations de la société, démontrent l’absence de mise en œuvre effective de ces durées de conservation ». Elle constate en outre que « compte tenu du déploiement d’un mécanisme de purge qui n’était pas achevé au jour du contrôle, les données contenues dans la base de données de la société liées aux factures et aux abonnements résiliés étaient potentiellement conservées indéfiniment sans qu’aucune distinction ne soit faite en fonction des finalités poursuivies ».
Sur les contraintes techniques. La formation restreinte est catégorique : « ces difficultés ou défaillances techniques n’exonèrent pas la société de sa responsabilité de s’assurer du tri ou de la suppression des données aux échéances de leurs durées de conservation telles qu’elle les a elle-même définies. » Elle précise que les contraintes d’architecture invoquées résultent de choix de conception initiaux n’ayant pas intégré les exigences du privacy by design — principe consacré par l’article 25 du RGPD — et que ces choix ne sauraient constituer une cause d’exonération rétroactive.
Sur la préexistence de l’obligation. La formation restreinte écarte l’argument selon lequel « la question de la suppression des données ne s’est posée que très récemment » par un raisonnement d’une implacable rigueur : l’obligation de conservation limitée préexistait au RGPD, figurant dès la loi du 6 janvier 1978 à son article 6, 5°. La formation restreinte en tire la conséquence arithmétique suivante :
« dès lors que la société soutient conserver les données à caractère personnel de ses anciens abonnés pendant cinq ans après la fin de la relation contractuelle à des fins de fraude, en cas de résiliation d’un abonné en 2012, la société aurait donc dû être en mesure de supprimer les données qui ne lui étaient plus nécessaires à des fins de fraude dès 2017. »
Sur l’absence de lien causal. La formation restreinte adopte une position nuancée : « les éléments du dossier portés à sa connaissance ne lui permettent pas de se prononcer sur le point de savoir si l’absence d’implémentation de la politique de durée de conservation des données a ou non permis à l’attaquant d’accéder à une profondeur historique de données plus importante ». En conséquence, elle refuse de retenir le manquement à l’article 5-1-e) comme circonstance aggravante du manquement à l’article 32, mais le maintient comme grief autonome. Cette distinction démontre que la conservation excessive est une infraction formelle dont la caractérisation ne requiert pas la démonstration d’un dommage.
D. SUR LES MESURES CORRECTIVES INSUFFISANTES AU JOUR DE LA SÉANCE
La formation restreinte note que FREE MOBILE n’a pas démontré, au jour de la séance du 15 décembre 2025, la suppression complète des données litigieuses : 16 238 comptes résiliés depuis plus de dix ans demeuraient dans la base active, et « la société ne justifie pas, au jour de la séance, de la suppression des données qui ne lui sont pas strictement nécessaires à des fins comptables et qu’elle conservait, au jour du contrôle, pendant plus de cinq ans », la finalisation des mesures étant reportée à juin 2026.
DEUXIÈME MANQUEMENT — ARTICLE 32 DU RGPD : INSUFFISANCE DES MESURES DE SÉCURITÉ
A. LA DÉMARCHE D’APPRÉCIATION EN DEUX TEMPS
Conformément à la méthode posée par la CJUE dans l’arrêt Natsionalna agentsia za prihodite, la formation restreinte procède d’abord à l’identification des risques propres au traitement de FREE MOBILE. Les risques identifiés sont d’une gravité élevée : le traitement géré via l’outil MOBO concerne les données personnelles de 15,5 millions d’abonnés, incluant des données de contact et des données contractuelles sensibles — l’IBAN pour les clients convergents — et l’outil est accessible depuis l’extérieur du réseau interne via un VPN. La conjonction du volume, de la sensibilité des données et de la modalité d’accès distant créait un profil de risque élevé justifiant des mesures de sécurité renforcées.
La formation restreinte rappelle expressément qu’elle « n’entend pas sanctionner la violation de données en elle-même mais déterminer si, compte tenu de l’état des connaissances, des caractéristiques du traitement, de la probabilité et de la gravité des risques, ainsi que de la portée de l’obligation de sécurité précisées ci-dessus, la société FREE MOBILE a respecté ses obligations au titre de l’article 32 du RGPD. »
B. PREMIER GRIEF : L’ABSENCE D’AUTHENTIFICATION MULTIFACTEURS SUR LE VPN
1. LA NATURE ET LA PORTÉE DU MANQUEMENT
L’attaquant s’est introduit dans le système d’information de FREE MOBILE en se connectant au VPN de la société, dont l’accès n’était protégé que par une authentification simple (identifiant et mot de passe). La formation restreinte relève que cette modalité d’authentification est « manifestement insuffisante » pour un accès distant à un outil gérant les données personnelles de millions d’abonnés. L’authentification multifacteurs (AMF) repose sur la combinaison d’au moins deux facteurs d’authentification de nature différente — facteur de connaissance (mot de passe), facteur de possession (code à usage unique, clé physique), ou facteur d’inhérence (biométrie) — rendant inopérante la seule compromission des identifiants de connexion.
2. LE FONDEMENT NORMATIF
La formation restreinte ancre ce premier grief dans la délibération n° 2025-019 du 20 mars 2025 de la CNIL portant recommandation relative à l’authentification multifacteur, laquelle
« préconise de recourir à l’authentification multifacteur pour les traitements de données sensibles au sens de l’article 9 du RGPD, et les traitements ou les opérations à risque pour les personnes concernées car une telle authentification réduit significativement la vraisemblance du risque d’accès non autorisés à des systèmes d’information, et a fortiori à des données à caractère personnel. »
Il convient ici d’observer la valeur normative de cette recommandation. Elle ne constitue pas en elle-même une règle de droit contraignante, mais elle cristallise l’état des connaissances et les bonnes pratiques. Son non-respect crée une forte présomption que le responsable de traitement n’a pas mis en œuvre les mesures appropriées au sens de l’article 32, présomption que celui-ci devra renverser en démontrant l’existence de mesures alternatives équivalentes.
3. LE REJET DES ARGUMENTS DE LA DÉFENSE
FREE MOBILE a articulé trois arguments distincts. Elle a d’abord soutenu que l’authentification simple était « conforme aux recommandations en vigueur au moment des faits » et que la MFA n’était pas encore généralisée dans le secteur. Elle a ensuite invoqué les « investissements significatifs » et la « coordination technique complexe » que sa mise en place aurait nécessités. Elle a enfin soutenu que la sophistication de l’attaque l’exonérait de toute responsabilité.
La formation restreinte a écarté l’ensemble de ces arguments. S’agissant de la prétendue conformité aux recommandations en vigueur, elle a relevé que la MFA était déjà recommandée par la CNIL et l’ANSSI bien avant 2024. S’agissant des contraintes financières, elle a affirmé que « les contraintes opérationnelles et budgétaires ne constituent pas des justifications suffisantes pour ne pas mettre en œuvre des mesures de sécurité élémentaires, compte tenu des risques encourus » — le déploiement du MFA par FREE MOBILE après la violation démontrant précisément la faisabilité technique et financière de cette mesure. Cette circonstance — disposer d’un dispositif MFA mais ne pas l’avoir activé — est retenue comme circonstance fortement aggravante.
C. SECOND GRIEF : L’ABSENCE DE DÉTECTION AUTOMATIQUE DES COMPORTEMENTS SUSPECTS
1. LE CONSTAT : UNE ACTIVITÉ ANORMALE NON DÉTECTÉE PENDANT VINGT-QUATRE JOURS
La formation restreinte relève que FREE MOBILE, si elle disposait d’un système de journalisation, n’avait pas mis en place de dispositif de détection automatique des comportements suspects permettant de déceler en temps réel l’activité anormale de l’attaquant. Or, cette activité présentait des caractéristiques manifestement anormales qui auraient dû déclencher des alertes automatiques : volumes de consultations inhabituellement élevés, horaires de connexion atypiques, requêtes répétitives et systématiques sur la base de données.
La formation restreinte cite les recommandations de l’ANSSI sur la journalisation du 14 octobre 2021 pour établir que la simple collecte de logs est insuffisante : « le dispositif de journalisation est efficace uniquement si une entité est en mesure de traiter les informations enregistrées dans les journaux afin d’être capable, le cas échéant, de détecter rapidement un comportement suspect. » L’ANSSI préconise expressément la mise en œuvre de systèmes automatisés de type SIEM (Security Information and Event Management) pour les traitements à risque élevé.
2. LA RÉPONSE AUX ARGUMENTS DE LA DÉFENSE
FREE MOBILE a soutenu que ses moyens de journalisation étaient conformes aux pratiques du secteur et que la mise en place d’un SIEM représentait un investissement disproportionné par rapport aux risques identifiés. La formation restreinte a écarté ces arguments en soulignant que le profil de risque élevé du traitement — données de millions d’abonnés accessibles depuis l’extérieur — justifiait précisément des investissements de détection renforcés, et que les pratiques du secteur ne constituent pas un standard de conformité au sens du RGPD.
D. LA CONSÉCRATION DU PRINCIPE DE DÉFENSE EN PROFONDEUR
La formation restreinte mobilise le concept de défense en profondeur de l’ANSSI (Memento, v.1.1, 19 juillet 2004), qui consiste à « ne pas faire reposer la sécurité sur un élément mais sur un ensemble cohérent », pour appréhender globalement le cumul des défaillances de FREE MOBILE. Elle constate que l’absence simultanée de MFA sur le VPN et de détection automatique a créé une défaillance à deux niveaux : le premier niveau (accès non autorisé via VPN) n’a pas été contenu, et le second niveau (détection de l’intrusion) a fait défaut. La formation restreinte opère ainsi une convergence formelle et explicite entre le droit de la protection des données personnelles et la doctrine de sécurité de l’ANSSI, renforçant la prévisibilité du standard attendu et la robustesse juridique des décisions à venir.
TROISIÈME MANQUEMENT — ARTICLE 34 DU RGPD : COMMUNICATION INSUFFISANTE AUX PERSONNES CONCERNÉES
A. LE DISPOSITIF DE COMMUNICATION MIS EN ŒUVRE PAR FREE MOBILE
Entre le 24 et le 29 octobre 2024, FREE MOBILE a adressé par courriel, à l’ensemble des abonnés dont les données avaient été compromises, un message les informant de la violation. Cet envoi, effectué dans un délai bref après la confirmation de la violation — trois jours après la notification à la CNIL —, a été noté favorablement par la formation restreinte quant à sa promptitude. Il en va différemment de son contenu.
B. LES INSUFFISANCES RETENUES
La formation restreinte a constaté que le message ne comportait pas les deux éléments d’information essentiels imposés par l’article 34, §2, du RGPD par renvoi à l’article 33, §3, points c) et d) :
— d’une part, une description des conséquences probables de la violation pour les personnes concernées, en termes permettant à ces dernières d’apprécier concrètement les risques auxquels elles étaient exposées (hameçonnage ciblé, domiciliation frauduleuse de prélèvements pour les titulaires d’un IBAN exposé) ;
— d’autre part, une description des mesures prises ou proposées par FREE MOBILE pour remédier à la violation et pour atténuer ses conséquences négatives, ainsi que les mesures que les personnes concernées pouvaient elles-mêmes adopter pour se prémunir.
La formation restreinte considère que « ces omissions ne permettaient notamment pas aux personnes concernées de comprendre directement les conséquences de la violation, ainsi que les mesures qu’elles pouvaient mettre en place pour se protéger. » Elle qualifie cette insuffisance de négligence : la société avait elle-même identifié les risques pour les personnes concernées — notamment ceux liés à la compromission des IBAN — et aurait dû les porter à leur connaissance dans son message initial.
C. LA POSITION DES PARTIES
FREE MOBILE a soutenu que son courriel respectait les exigences formelles de l’article 34, en informant les abonnés de la nature de la violation et en les invitant à contacter le service clientèle pour tout renseignement complémentaire. Elle a également fait valoir que la divulgation détaillée des risques aurait pu créer une panique disproportionnée auprès des personnes concernées.
La formation restreinte a écarté ces arguments : l’obligation de communication de l’article 34 est une obligation de fond et non de forme, dont la satisfaction s’apprécie non par le seul envoi du message mais par la capacité du message reçu à permettre aux destinataires de comprendre les risques et d’agir pour se protéger. La prévention de la « panique » ne saurait justifier la dissimulation d’informations substantielles dont les personnes concernées ont besoin pour défendre leurs intérêts.
D. LA PORTÉE NORMATIVE DE CE MANQUEMENT
La communication de violation est une obligation fonctionnelle et protectrice, non une formalité informative. Elle n’est pas remplie par le seul fait d’envoyer un message, mais par celui d’envoyer un message qui permet réellement aux destinataires d’agir. Pour 5 172 577 clients convergents dont l’IBAN avait été compromis, l’absence d’information sur les risques spécifiques liés à cette donnée — domiciliation frauduleuse de prélèvements, hameçonnage bancaire ciblé — a privé des millions de personnes des moyens de se défendre activement contre les conséquences immédiates de la violation.
LE DISPOSITIF DE LA DÉLIBÉRATION
Par délibération du 8 janvier 2026, la formation restreinte de la Commission nationale de l’informatique et des libertés a décidé :
Article 1 : La société FREE MOBILE est condamnée au paiement d’une sanction pécuniaire d’un montant de vingt-sept millions (27 000 000) euros pour les manquements aux articles 5-1-e), 32 et 34 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, constatés dans la présente décision.
Article 2 : Il est enjoint à la société FREE MOBILE de mettre en conformité ses traitements de données à caractère personnel avec les dispositions de l’article 5-1-e) du RGPD, en procédant à la suppression effective des données personnelles des anciens abonnés dont les durées de conservation définies par la société sont échues, dans un délai de six mois à compter de la notification de la présente décision, sous peine d’une astreinte.
Article 3 : Il est enjoint à la société FREE MOBILE de mettre en conformité ses traitements de données à caractère personnel avec les dispositions de l’article 32 du RGPD, en déployant des mesures techniques et organisationnelles appropriées pour sécuriser les accès à son système d’information, notamment en mettant en œuvre une authentification multifacteurs pour l’ensemble des accès distants et en déployant des outils de détection automatisée des comportements suspects, dans un délai de six mois à compter de la notification de la présente décision, sous peine d’une astreinte.
Article 4 : La présente délibération est rendue publique sur le site internet de la Commission nationale de l’informatique et des libertés. Le nom de la société FREE MOBILE y est mentionné. Elle sera conservée publiée pendant une durée de deux ans à compter de sa publication.
CONTEXTUALISATION JURISPRUDENTIELLE
A. LA JURISPRUDENCE ANTÉRIEURE SUR LA CONSERVATION EXCESSIVE
La CNIL sanctionne la conservation excessive des données depuis la loi Informatique et Libertés du 6 janvier 1978. Deux décisions antérieures méritent d’être rappelées. La délibération SAN-2019-012 du 10 octobre 2019 avait posé le principe selon lequel l’impossibilité technique invoquée pour justifier l’absence de purge ne saurait constituer un fait justificatif dès lors qu’elle résulte de choix de conception antérieurs et remédiables. La délibération SAN-2020-007 du 30 juin 2020 avait confirmé que la déclaration d’une politique de durée de conservation sans mise en œuvre des mécanismes de purge correspondants constitue en soi un manquement à l’article 5-1-e), indépendamment de tout dommage.
La délibération SAN-2026-001 durcit encore cette position : elle insiste sur la préexistence de l’obligation au RGPD et sur l’impossibilité pour un opérateur actif depuis 2012 de soutenir que la question ne s’est posée que récemment. Elle soulève implicitement la question du privacy by design (art. 25 RGPD) comme obligation de conception ab initio, dont la méconnaissance ne peut être réparée ex post par une simple procédure de mise en conformité.
B. LA JURISPRUDENCE ANTÉRIEURE ET POSTÉRIEURE SUR LA SÉCURITÉ DES ACCÈS
Avant la délibération SAN-2026-001, la CNIL avait déjà sanctionné des manquements à l’obligation de sécurité liés à des politiques d’authentification insuffisantes. La délibération SAN-2018-009 du 6 septembre 2018 avait retenu une politique de mots de passe insuffisamment robuste au titre de l’article 32. La délibération SAN-2022-018 du 8 septembre 2022 avait sanctionné le stockage de mots de passe en clair.
La délibération SAN-2026-001 constitue un saut qualitatif majeur : elle consacre, pour la première fois avec une telle clarté, l’exigence de MFA pour les accès distants à des traitements de données personnelles en masse, et l’exigence d’une détection active (SIEM) comme composantes minimales de l’obligation de sécurité de l’article 32. Ces positions ont été immédiatement confirmées et renforcées par la délibération SAN-2026-003 du 22 janvier 2026 (France Travail), rendue quinze jours plus tard, qui retient les mêmes manquements dans un contexte différent (accès via navigateur web, ingénierie sociale). Ces deux délibérations convergent pour établir un standard sécuritaire minimal désormais opposable à tout responsable de traitement gérant des données personnelles en masse : MFA obligatoire pour les accès distants, détection active obligatoire, architecture de défense en profondeur.
C. LA POSITION SUR LA COMMUNICATION AUX PERSONNES (ARTICLE 34) : UNE TENDANCE JURISPRUDENTIELLE AFFIRMÉE
La sanction du contenu insuffisant de la communication aux personnes concernées confirme la tendance de la CNIL à apprécier l’obligation de l’article 34 sur le fond et non sur la forme. La délibération SAN-2022-018 et plusieurs délibérations de la formation restreinte rendues depuis 2020 avaient déjà retenu comme circonstances aggravantes des communications de violation trop générales ou rassuristes. La délibération SAN-2026-001 érige désormais explicitement le contenu substantiel de la notification en élément constitutif du manquement à l’article 34, sans qu’il soit nécessaire de démontrer un préjudice individuel des destinataires.
Last Updated on 06/05/2026 by Armand-Ari BETTAN & Dominique KARPISEK-BETTAN | FYTT AVOCATS PRIVACYANGELS