La délibération SAN-2026-001 du 8 janvier 2026 de la formation restreinte de la CNIL sanctionne la société FREE MOBILE pour trois manquements au Règlement général sur la protection des données : le manquement au principe de limitation de la conservation (article 5-1-e), le manquement à l’obligation de sécurité (article 32) et le manquement à l’obligation d’information des personnes concernées en cas de violation à risque élevé (article 34). Ces trois griefs ont une origine commune : une violation de données survenue entre le 28 septembre et le 22 octobre 2024, soit vingt-quatre jours d’intrusion non détectée par l’opérateur lui-même.

L’attaquant a obtenu les identifiants de connexion de collaborateurs par ingénierie sociale, puis s’est connecté au VPN de FREE MOBILE — protégé par la seule combinaison identifiant/mot de passe, sans second facteur d’authentification — et a accédé à l’outil interne de gestion des abonnés MOBO (Mobile Back Office). Pendant vingt-quatre jours, il a consulté de manière systématique et répétée les données d’abonnés, extrayant environ 25 gigaoctets de données relatives à 24 633 469 contrats. Ce n’est pas FREE MOBILE qui a découvert cette intrusion : c’est l’attaquant lui-même qui a contacté la société le 21 octobre 2024 pour l’en informer. Cette seule circonstance résume avec une clarté absolue l’état du dispositif de surveillance de l’opérateur.

---

II.

---

Premier manquement : une conservation de données sans fin ni justification

 

La délégation de contrôle de la CNIL a constaté, lors du contrôle du 8 novembre 2024, la présence dans les bases actives de FREE MOBILE de données relatives à plus de quinze millions de contrats résiliés depuis plus de cinq ans, dont trois millions résiliés depuis plus de dix ans. Or FREE MOBILE avait elle-même défini des durées maximales de conservation : cinq ans après résiliation à des fins anti-fraude, dix ans à des fins comptables. La conservation constatée excédait donc non seulement les exigences légales mais la politique déclarée par l’opérateur lui-même, rendant l’argument d’ignorance totalement inopérant.

FREE MOBILE a tenté de justifier cette situation par des « difficultés techniques » liées à son architecture de système d’information, « qui s’accorde difficilement avec des opérations de purge à grande échelle », et par le fait qu’un projet de purge progressive avait été engagé en 2023. La formation restreinte rejette ces justifications avec fermeté : les contraintes techniques invoquées résultent de choix de conception initiaux qui n’ont pas intégré le privacy by design, et ces choix ne constituent pas une cause d’exonération. Elle ajoute que l’obligation de limitation de la conservation existait déjà dans la loi Informatique et Libertés du 6 janvier 1978 avant même le RGPD. FREE MOBILE, active depuis 2012, y était soumise depuis l’origine de son activité et aurait dû supprimer les données de ses premiers résiliés dès 2017. L’argument de la « nouveauté » du problème est ainsi réduit à néant de manière arithmétique.

L’enseignement de ce premier manquement est structurant : le défaut de mise en œuvre effective d’une politique de conservation, même formalisée, constitue un manquement autonome au RGPD, indépendamment de tout lien avec une violation de données ultérieure. La formation restreinte maintient ce grief comme infraction formelle, sans requérir la démonstration d’un préjudice concret.

---

III.

---

Deuxième manquement : des mesures de sécurité structurellement inadaptées

 

Le manquement à l’article 32 du RGPD est le plus grave et le plus développé de la délibération. Appliquant la méthode d’appréciation en deux temps posée par la CJUE dans l’arrêt Natsionalna agentsia za prihodite du 14 décembre 2023, la formation restreinte identifie d’abord le profil de risque élevé du traitement — données de 15,5 millions d’abonnés incluant des IBAN pour les clients convergents, accessibles via VPN depuis l’extérieur — puis constate l’inadéquation manifeste des mesures déployées à ce profil.

La première défaillance est l’absence d’authentification multifacteurs (MFA) sur le VPN. L’élément particulièrement aggravant est que FREE MOBILE disposait d’un tel dispositif, mais ne l’avait pas activé. La formation restreinte établit un lien de causalité direct entre cette non-activation et la violation : l’activation de la MFA « aurait rendu extrêmement difficile l’attaque ». En face de l’argument de défense invoquant le principe de défense en profondeur pour justifier la suppression de cette couche de protection, la formation restreinte répond avec précision que ce principe « consiste à ne pas faire reposer la sécurité sur un élément mais sur un ensemble cohérent », et qu’il impose de multiplier les couches, non de les retrancher. Elle s’appuie sur la délibération CNIL n° 2025-019 du 20 mars 2025 portant recommandation relative à l’authentification multifacteur et sur les recommandations ANSSI d’octobre 2021, qui constituent ensemble l’état de l’art applicable.

La seconde défaillance est l’absence de détection automatisée des comportements suspects. FREE MOBILE disposait d’un système de journalisation passive des accès, mais ce système se limitait à l’enregistrement des événements sans aucun mécanisme de corrélation, d’analyse comportementale et d’alerte automatisée. L’attaquant a ainsi pu consulter les données de 24 millions de contrats pendant un mois, avec un volume de requêtes anormalement élevé, des horaires atypiques et des taux d’erreur inhabituels, sans déclencher la moindre alerte. La formation restreinte affirme avec force que la journalisation passive ne suffit pas : la conformité à l’article 32-1-d) du RGPD impose des systèmes capables d’analyser les journaux en temps réel pour détecter les anomalies. Elle cite les lignes directrices 09/2022 du CEPD et la recommandation CNIL n° 2021-122 relative à la journalisation, qui préconisent des systèmes de type SIEM (Security Information and Event Management).

La délibération consacre formellement le principe de défense en profondeur comme standard de conformité exigible au titre de l’article 32. Cette consécration opère une convergence normative explicite entre le droit de la protection des données et les référentiels techniques de l’ANSSI, unifiés désormais dans un standard de conformité unique et opposable.

---

IV.

---

Troisième manquement : une communication de violation fonctionnellement insuffisante

 

FREE MOBILE a notifié la violation à la CNIL le 23 octobre 2024 et procédé à l’information des personnes concernées par courriel entre le 24 et le 29 octobre 2024, soit promptement après la découverte. La rapidité de cet envoi est appréciée favorablement par la formation restreinte. En revanche, le contenu du message est jugé insuffisant : il ne comportait ni description des conséquences probables de la violation pour les personnes concernées, ni description des mesures prises ou proposées pour en atténuer les effets. Ces omissions méconnaissent l’article 34, paragraphe 2, du RGPD, qui impose une communication « en des termes clairs et simples » comprenant au minimum les éléments visés à l’article 33, paragraphe 3, points b), c) et d).

L’enjeu pratique est considérable : pour les 5,2 millions de clients dont l’IBAN avait été compromis, les risques concrets — domiciliation frauduleuse de prélèvements, spear phishing bancaire, usurpation d’identité — auraient pu être activement prévenus si les personnes avaient été informées clairement de la nature des données exposées et des gestes de protection appropriés. Seules 58 239 personnes ont appelé le numéro vert mis en place par FREE MOBILE (0,24% des personnes concernées), démontrant que le dispositif complémentaire ne pouvait pas suppléer l’insuffisance du message principal.

La communication de violation n’est pas une formalité informative : c’est une obligation fonctionnelle et protectrice. Elle n’est satisfaite que lorsque le message permet réellement à ses destinataires de comprendre le risque et de prendre des mesures de protection. Un message édulcoré pour minimiser l’alarme sociale constitue un manquement à l’article 34, quand bien même il a été envoyé promptement et massivement. La formation restreinte établit un lien direct entre les lacunes du courriel et le volume sans précédent de plaintes reçues par la CNIL (2 614 plaintes), relevant que l’imprécision des notifications « n’a pu qu’alimenter la crainte et l’incertitude des personnes ».

---

V.

---

Le cadre jurisprudentiel renforcé : l’unité économique du groupe

 

La formation restreinte importe dans le droit de la protection des données le concept d’« unité économique » issu du droit de la concurrence, en s’appuyant sur les arrêts Deutsche Wohnen (CJUE, 5 décembre 2023) et Natsionalna agentsia za prihodite (CJUE, 14 décembre 2023). Dès lors qu’ILIAD détient FREE MOBILE à 100%, une présomption réfragable d’influence déterminante s’applique, conduisant à traiter les deux entités comme une « seule entreprise » au sens du RGPD pour le calcul du plafond d’amende. Cette qualification permet de prendre en compte le chiffre d’affaires consolidé d’ILIAD (10,024 milliards d’euros) plutôt que celui de la seule entité sanctionnée, portant le plafond théorique applicable à environ 200 millions d’euros. Cette innovation, qui aligne le droit des données personnelles sur le droit de la concurrence, renforce significativement la capacité dissuasive du système de sanction pour les responsables de traitement appartenant à des groupes.

 
 
 

---

POINTS ESSENTIELS

---