CNIL | SAN-2026-002 | 08 JANVIER 2026 | AFFAIRE FREE MOBILE ET FREE |
“MERCI FREE !?!” – AVEC FREE, LES HACKERS ONT “TOUT COMPRIS”. – “ACCÈS ILLIMITÉ” AUX IBAN DE 24 MILLIONS DE CONTRATS FREE.
ANALYSE CRITIQUE MANQUEMENTS FAQ CONSEILS
I.
Contexte factuel : une violation inscrite dans un système d’information partagé
La violation de données à l’origine de la présente délibération a débuté le 28 septembre 2024 et s’est poursuivie jusqu’au 22 octobre 2024, date à laquelle l’attaquant lui-même a alerté la société FREE de la compromission de ses données. L’intrusion initiale a emprunté le chemin du réseau privé virtuel (VPN) de la société FREE MOBILE, filiale du même groupe ILIAD, pour atteindre ensuite l’outil de gestion des abonnés de FREE MOBILE dénommé MOBO. C’est par l’intermédiaire de cet outil que l’attaquant a pu accéder à la base de données des abonnés fixes de la société FREE, notamment pour les clients dits « convergents » — c’est-à-dire simultanément abonnés chez FREE MOBILE et chez FREE —, dont les données contractuelles, y compris les IBAN, étaient consultables depuis MOBO.
Au total, l’attaquant a exfiltré des données relatives à 24 633 469 contrats fixes et mobiles confondus, dont 5 172 577 contrats fixes relevant de la société FREE. La délibération précise qu’« à partir du 6 octobre 2024, l’attaquant a exfiltré, au total, des données relatives à 24 633 469 contrats fixes et mobiles, dont 5 172 577 contrats fixes détenus par la société FREE » (§ 20).
La société FREE a notifié la violation à la CNIL le 23 octobre 2024, puis l’a complétée le 5 novembre 2024, et a procédé à l’information des personnes concernées de manière échelonnée entre le 24 et le 29 octobre 2024. Au jour de la notification du rapport de sanction, la Commission avait reçu 2 614 plaintes en lien avec cette violation.
La disjonction procédurale : un choix fondé mais aux implications doctrinales non épuisées
Un élément structurant de la délibération SAN-2026-002 est la disjonction procédurale décidée le 24 juillet 2025 par la présidente de la CNIL, qui a conduit à l’engagement de deux procédures de sanction distinctes — l’une visant FREE MOBILE (SAN-2026-001), l’autre visant FREE (SAN-2026-002) — en raison de la responsabilité propre de chacune des sociétés sur son propre système d’information.
La formation restreinte justifie cette disjonction au regard du principe de responsabilité personnelle : « il appartient à la formation restreinte d’examiner si les manquements allégués sont constitués et imputables à la société FREE, conformément au principe de responsabilité personnelle » (§ 27). Elle écarte l’argument de FREE selon lequel des manquements lui seraient indistinctement reprochés sur la base des mêmes constats que ceux reprochés à FREE MOBILE, en relevant que chaque procédure porte sur des vulnérabilités propres au système d’information de la société concernée.
La formation restreinte observe que les sociétés FREE et FREE MOBILE avaient en commun certaines mesures de sécurité, ce qui rend la frontière entre leurs responsabilités respectives parfois difficile à tracer avec une précision absolue. La délibération SAN-2026-002 se concentre sur deux vulnérabilités propres au système d’information de FREE : l’absence de sécurisation suffisante du canal d’interconnexion (VPN) et l’insuffisance du dispositif de détection des comportements anormaux sur l’outil SIEBEL.
II.
L’obligation de sécurité de l’article 32 du RGPD : nature, portée et cadre jurisprudentiel
Avant d’analyser les manquements retenus, la formation restreinte procède à un cadrage normatif approfondi qui mérite attention, tant il structure l’ensemble du raisonnement juridique de la délibération.
A. La nature de l’obligation : une obligation de moyens renforcée
La formation restreinte rappelle avec constance que « l’obligation de sécurité prévue par l’article 32 du RGPD est effectivement une obligation de moyens, qui impose au responsable du traitement de prendre des mesures qui, au regard des caractéristiques du traitement en cause, permettent à la fois de réduire la probabilité de la survenance d’une violation de données et le cas échéant, d’en atténuer la gravité » (§ 34). Elle souligne que « la simple survenance d’une violation de données ne caractérise pas à elle seule un manquement à l’article 32 du RGPD ».
Ce cadrage est directement emprunté à la jurisprudence de la CJUE du 14 décembre 2023, Natsionalna agentsia za prihodite (C/2024/1065), dont la formation restreinte cite longuement les points 29 à 31, aux termes desquels « les articles 24 et 32 du RGPD ne sauraient être compris en ce sens qu’une divulgation non autorisée de données à caractère personnel ou un accès non autorisé à de telles données par un tiers suffisent pour conclure que les mesures adoptées par le responsable du traitement concerné n’étaient pas appropriées » (§ 35). Elle ajoute la référence à l’arrêt CJUE du 25 janvier 2024, C-687/21 (§ 36), qui confirme que « le responsable du traitement est tenu d’atténuer les risques de violation des données à caractère personnel, et non d’empêcher toute violation de celles-ci ».
Ce double ancrage jurisprudentiel européen pose clairement les bases d’une approche in concreto de l’évaluation des mesures de sécurité, en deux temps : d’abord identifier les risques liés au traitement, puis vérifier si les mesures mises en œuvre sont adaptées à ces risques compte tenu de l’état des connaissances (§ 39, citant CJUE, 14 décembre 2023, C-340/21, point 42).
B. La réfutation du grief tiré de la méconnaissance du principe de légalité des délits et des peines
La société FREE soulève un moyen particulièrement intéressant sur le plan doctrinal : elle conteste que la formation restreinte puisse caractériser un manquement à l’article 32 du RGPD sur le fondement de recommandations de la CNIL et de l’ANSSI dépourvues de valeur contraignante, sans violer le principe de légalité des délits et des peines (§ 33).
La formation restreinte réfute ce moyen par une argumentation en deux temps. D’une part, elle rappelle que le Conseil d’État a précisé que le principe de légalité est satisfait lorsque « les textes applicables font référence aux obligations auxquelles les intéressés sont soumis en raison de l’activité qu’ils exercent » et qu’une sanction peut être prononcée s’il est « raisonnablement prévisible par les personnes concernées et en tenant compte de leur qualité et des responsabilités qu’elles exercent, que le comportement litigieux constitue un manquement à ces obligations » (CE, 3 octobre 2018, SFCM, n° 411050 ; § 42). D’autre part, elle rappelle que le Conseil d’État a confirmé à plusieurs reprises « que la formation restreinte de la CNIL pouvait retenir un manquement à l’article 32 du RGPD, caractérisé à la lumière de ses propres recommandations » (CE, 30 avril 2024, Commune de Beaucaire, n° 472864, pt 11 ; § 45).
La formation restreinte observe, de manière décisive, que FREE « n’est pas la première visée par une procédure de sanction pour un manquement à l’article 32 du RGPD consécutif à une violation de données », en citant notamment les délibérations SAN-2021-020, SAN-2020-014, SAN-2019-005 et SAN-2018-011 (§ 38). La prévisibilité du cadre répressif est ainsi établie par la jurisprudence antérieure et par la publicité des recommandations de la CNIL et de l’ANSSI, qui existent « depuis de nombreuses années ».
Ce point est juridiquement solide mais appelle une observation critique : la formation restreinte n’examine pas avec suffisamment de précision la question de savoir si les recommandations invoquées en l’espèce (portant sur la sécurisation du VPN et la détection des comportements anormaux) avaient effectivement été portées à la connaissance de FREE dans un délai suffisant pour lui permettre de se mettre en conformité avant la violation. La simple existence de recommandations publiques ne saurait, à elle seule, démontrer que chaque responsable de traitement était en mesure d’identifier précisément les mesures concrètes attendues en son cas particulier.
C. L’évaluation des risques pour les personnes concernées
La formation restreinte procède à une évaluation détaillée et bien articulée des risques liés au traitement mis en œuvre par FREE. Elle relève le caractère massif du traitement (environ 7,6 millions d’abonnés fixes au 31 décembre 2024), ainsi que la présence de données « hautement personnelles » — notamment les IBAN — susceptibles d’exposer les personnes concernées à des risques d’usurpation d’identité, de tentatives d’hameçonnage et d’exploitation frauduleuse de leurs coordonnées bancaires (§ 48 à 61).
La société FREE conteste la réalité de ces risques en soutenant que « la compromission des IBAN n’entraîne pas de risque particulier dès lors qu’un IBAN seul ne permet pas de réaliser un prélèvement frauduleux » (§ 50). La formation restreinte réfute cet argument de façon particulièrement documentée, en démontrant qu’« une personne mal intentionnée, disposant d’un IBAN usurpé, peut procéder à un paiement frauduleux sur un site web qui propose de valider le mandat de prélèvement SEPA par l’intermédiaire d’une simple case à cocher » (§ 58). Elle cite également le Groupement d’Intérêt Public Action contre la Cybermalveillance qui rappelle que l’hameçonnage constitue « la menace prédominante en France » (§ 59). La formation restreinte écarte par ailleurs l’argument tenant à la recrudescence des violations de données pour décharger FREE de sa responsabilité propre : « l’existence d’autres violations de données n’est en tout état de cause pas de nature à décharger la société de son obligation de mettre en œuvre les mesures de sécurité adaptées » (§ 60).
III.
Le premier manquement à l’article 32 du RGPD : l’absence de sécurisation du canal d’interconnexion (VPN)
A. Le cadre normatif applicable : les recommandations ANSSI et CNIL sur le nomadisme numérique
La formation restreinte consacre des développements approfondis aux exigences de sécurité applicables au nomadisme numérique, c’est-à-dire à l’accès distant au système d’information d’une entité depuis des lieux non maîtrisés par elle. S’appuyant sur les recommandations ANSSI de 2018 sur le nomadisme numérique (§ 65 à 73), elle rappelle que trois niveaux d’authentification doivent être considérés en situation de nomadisme : authentification de l’utilisateur sur le poste nomade, authentification du poste nomade sur le système d’information, et authentification de l’utilisateur sur le système d’information.
L’ANSSI recommande depuis 2018 d’authentifier le poste nomade sur le système d’information au moyen d’un certificat machine, lié au poste nomade et non à l’utilisateur, afin de garantir que seuls les équipements maîtrisés par l’entité peuvent accéder au système d’information interne (§ 73). La CNIL abonde dans ce sens dans son Guide de la sécurité des données personnelles de mars 2024, en recommandant de « privilégier l’authentification multi facteur lorsque cela est possible, en particulier lorsque la connexion est accessible depuis l’extérieur du réseau de l’organisme » (§ 74).
La formation restreinte synthétise ces exigences : « tant l’ANSSI que la CNIL recommandent d’authentifier un utilisateur sur un système d’information en mettant en œuvre une authentification multi facteur forte, notamment lorsque la connexion au système d’information de l’entité est accessible depuis l’extérieur de son réseau » (§ 75).
B. Les manquements retenus
Le rapporteur reproche à la société FREE de ne pas avoir mis en place des mesures de sécurité appropriées pour sécuriser l’accès au VPN, constitutives d’un manquement à l’article 32 du RGPD (§ 76). La formation restreinte fait siennes ces conclusions.
Les développements centraux sur les vulnérabilités spécifiques sont occultés dans la version publiée de la délibération (§ 78 à 94), conformément à la nécessaire protection des informations sensibles relatives aux mesures de sécurité du système d’information. Néanmoins, la formation restreinte formule un principe directeur clair : « dans le contexte de nomadisme numérique, il revient au responsable de traitement de déployer des mesures permettant de garantir que, tant la personne qui se connecte, que la machine qu’elle utilise, bénéficient des autorisations nécessaires pour se connecter aux ressources internes. Ces mesures s’ajoutent à celles qui doivent exister lorsqu’une personne est déjà authentifiée sur le réseau, telles que des mécanismes d’authentification robustes lors de l’accès à des outils » (§ 83).
La formation restreinte souligne par ailleurs que « la connexion au VPN d’une entité par des postes qui n’appartiennent pas à son parc informatique présente un risque pour son système d’information dès lors qu’elle ne maîtrise pas les mesures de sécurité mises en œuvre sur ces équipements » (§ 85). Ce principe du contrôle des postes nomades est directement tiré du Mémento sur le concept de défense en profondeur de l’ANSSI (version 1.1 du 19 juillet 2004) et de la note blanche ANSSI du 10 août 2021 sur les systèmes d’information hybrides, qui posent le postulat que « tout composant d’un système peut être défaillant ou compromis » (§ 62).
La formation restreinte note que la société a entamé le déploiement de mesures correctives au cours de la procédure de sanction. Elle ne précise pas si ce manquement a directement facilité l’attaque — la violation ayant été initiée par l’exploitation du VPN de FREE MOBILE plutôt que de celui de FREE — mais considère néanmoins que l’insuffisance des mesures de sécurité sur le canal d’interconnexion de FREE caractérise un manquement autonome à l’article 32 du RGPD, indépendamment de son rôle causal direct dans la violation survenue.
C. Appréciation critique du raisonnement
Ce point de la délibération appelle une observation doctrinale importante. La formation restreinte retient un manquement relatif à l’absence de sécurisation du VPN de FREE, alors même que l’attaque documentée a emprunté le VPN de FREE MOBILE et que les développements relatifs aux vulnérabilités spécifiques du VPN de FREE sont entièrement occultés. Il en résulte une caractérisation du manquement qui repose sur un principe général (l’obligation de sécuriser le canal VPN) sans que le lecteur puisse apprécier concrètement en quoi les mesures mises en place par FREE étaient insuffisantes au regard des risques spécifiques de son traitement.
Cette opacité — certes justifiée par la nécessité de ne pas divulguer des informations susceptibles de compromettre la sécurité du système d’information — fragilise néanmoins la portée pédagogique de la délibération sur ce premier manquement. Contrairement aux développements relatifs à la détection des comportements anormaux (§ 95 à 116), qui reposent sur des éléments factuels précis et circonstanciés, l’analyse du manquement lié au VPN reste, du fait des occultations, nécessairement abstraite.
IV.
Le deuxième manquement à l’article 32 du RGPD : l’insuffisance du dispositif de détection des comportements anormaux sur l’outil SIEBEL
A. Le cadre normatif : la journalisation active comme exigence de l’état de l’art
La formation restreinte s’appuie sur deux sources normatives de référence pour définir les exigences de journalisation active. La recommandation CNIL n° 2021-122 du 14 octobre 2021 relative à la journalisation rappelle que la journalisation est une composante essentielle de l’obligation de sécurité au titre des articles 5 et 32 du RGPD, et que cette sécurisation est « essentiellement “active” : elle repose sur une exploitation en temps réel ou à court terme de ces données pour détecter des opérations anormales » (§ 97). Les recommandations ANSSI du 28 janvier 2022 sur l’architecture d’un système de journalisation soulignent que « l’analyse continue des journaux d’évènements permet de repérer des activités inhabituelles » et que la journalisation constitue « le prérequis indispensable à la mise en œuvre d’une capacité de détection, d’analyse et de réponse aux incidents de sécurité » (§ 98).
La formation restreinte en tire une conséquence normative claire : « la simple collecte des données de journalisation ne suffit pas à sécuriser un système d’information. Le dispositif de journalisation n’est efficace que si une entité est en capacité de traiter les informations enregistrées dans les journaux afin d’être en mesure, le cas échéant, de détecter rapidement un comportement suspect » (§ 99).
Elle s’appuie également sur les lignes directrices 9/2022 du Comité européen de la protection des données (CEPD) sur la notification de violations de données, qui considèrent que « la capacité de détecter une violation, d’y remédier et de la communiquer dans les meilleurs délais devrait être considérée comme un élément essentiel » (§ 101).
B. La démonstration factuelle de l’insuffisance
La formation restreinte procède à une démonstration factuelle particulièrement convaincante de l’insuffisance du dispositif de détection en place sur l’outil SIEBEL au jour de la violation. Elle relève que FREE autorisait FREE MOBILE à accéder, via l’outil MOBO, aux données contenues dans sa base de données fixes pour les clients convergents. Lorsqu’un salarié de FREE MOBILE effectuait une recherche sur MOBO, cet outil interrogeait la base de données fixe de FREE via un service web, dont la réponse incluait notamment l’IBAN de l’abonné concerné, et ce en intégralité en raison « d’une anomalie technique liée à l’outil MOBO de la société FREE MOBILE » (§ 105).
La formation restreinte relève trois insuffisances majeures dans le dispositif de détection de FREE :
Premièrement, si les activités réalisées sur l’outil SIEBEL étaient bien journalisées au jour de la violation (§ 106), le dispositif de journalisation ne permettait pas à la société de détecter certaines situations pourtant manifestement anormales. L’attaquant a ainsi pu accéder aux données des clients convergents contenues dans SIEBEL « pendant presque un mois, sans qu’une alerte ne soit émise ou, à supposer qu’une alerte ait bien été émise, sans que celle-ci soit traitée » (§ 109).
Deuxièmement, la formation restreinte documente un événement particulièrement révélateur : le 15 octobre 2024, l’attaquant a pu exfiltrer les données d’environ [occultés] de contrats fixes « sans que ce comportement n’émette d’alerte ou, à supposer qu’une alerte ait bien été émise, sans que celle-ci n’entraîne un blocage du compte à l’origine des requêtes » (§ 110). La formation restreinte en tire la conséquence que « cette exfiltration massive de données ne pouvait pas rester inaperçue et aurait dû déclencher une alerte ou, si une alerte avait bien été émise, aurait dû déclencher son analyse » (§ 111).
Troisièmement, à supposer même que la société ait été en mesure de détecter un comportement anormal, elle n’avait pas déployé de mécanisme de blocage automatique. L’outil SIEBEL émettait des rapports d’activité à destination du RSSI, mais « une intervention humaine était nécessaire pour vérifier si un comportement suspect était anormal et le cas échéant prendre les mesures qui s’imposaient », ce que la formation restreinte considère « non approprié », estimant qu’« un blocage automatique aurait été une mesure adaptée pour compléter le dispositif mis en place » (§ 114).
C. La défense de FREE et son rejet
La société FREE invoque l’existence d’un dispositif de surveillance et d’analyse des logs générant des rapports d’activité à destination du RSSI, notamment sur les utilisateurs consultant le plus de données ou actifs en dehors des heures ouvrées (§ 102). Elle précise avoir déployé dès le 28 octobre 2024 des mesures supplémentaires de détection en temps réel et de blocage automatique, puis en cours de procédure, un centre opérationnel de sécurité (SOC) permettant de détecter plus rapidement les comportements anormaux sur SIEBEL (§ 103-104).
La formation restreinte écarte ces arguments de façon définitive au regard des faits : quelle que soit la configuration déclarée du dispositif de journalisation, il n’a pas permis de détecter l’attaque en cours pendant près d’un mois, ni d’empêcher l’exfiltration massive du 15 octobre 2024. La mise en place des mesures correctives en cours de procédure démontre la réalité des insuffisances antérieures plutôt qu’elle ne les efface.
La formation restreinte conclut qu’« au jour du contrôle, la société n’avait pas déployé les moyens suffisants pour être en mesure de détecter les activités suspectes sur son outil de gestion de ses abonnés, ce qui constitue un manquement à l’article 32 du RGPD » (§ 116). Elle relève en revanche que les mesures correctrices prises en cours de procédure permettent de considérer que le manquement a cessé, de sorte qu’« il n’y a pas lieu de prononcer une injonction de mise en conformité » sur ce point spécifique (§ 117).
D. Appréciation critique
Ce volet de la délibération constitue l’apport jurisprudentiel le plus substantiel de la délibération SAN-2026-002, en ce qu’il affine et complète les enseignements de la délibération SAN-2026-001 relative à FREE MOBILE sur le même sujet. La formation restreinte impose trois exigences cumulatives : la journalisation effective des activités sur les outils métier, la détection active en temps réel des comportements anormaux incluant des critères objectifs pertinents (volume de requêtes, nombre d’abonnés distincts consultés), et le blocage automatique déclenchant sans délai une mesure conservatoire.
L’exigence de blocage automatique mérite un examen attentif. La formation restreinte la présente comme une mesure adaptée devant « compléter » le dispositif existant (§ 114). Cela soulève la question de la calibration des seuils de déclenchement : un seuil trop bas entraînerait un nombre excessif de faux positifs, perturbant l’activité normale des utilisateurs légitimes, tandis qu’un seuil trop élevé resterait sans effet utile. La délibération ne précise pas comment définir les seuils appropriés, laissant à la charge des responsables de traitement le soin de déterminer, sous leur propre responsabilité, les paramètres de déclenchement du blocage automatique.
V.
Le manquement à l’article 34 du RGPD : l’insuffisance de la communication aux personnes concernées
A. Le cadre juridique : une obligation à deux niveaux d’information
L’article 34 du RGPD impose au responsable de traitement, lorsqu’une violation de données est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes, de leur communiquer cette violation « dans les meilleurs délais », en indiquant a minima la nature de la violation, les coordonnées du DPO ou d’un point de contact, les conséquences probables de la violation, et les mesures prises ou proposées pour y remédier (article 33, paragraphe 3, points b), c) et d) auxquels renvoie l’article 34, paragraphe 2).
La formation restreinte apporte une précision importante sur la structure de cette obligation : « l’article 34, paragraphe 2, du RGPD, qui renvoie à son article 33, paragraphe 3, point b), prévoit la possibilité de communiquer auprès des personnes concernées à deux niveaux d’information : un premier obligatoire comportant les informations essentielles et un second comportant des informations complémentaires que le responsable du traitement souhaite porter à la connaissance des personnes » (§ 135). Le second niveau ne peut se substituer au premier.
Cette interprétation s’appuie sur les lignes directrices du CEPD sur la notification de violations de données (adoptées le 28 mars 2023), qui soulignent que « l’objectif principal [de l’article 34 du RGPD] est d’aider les personnes concernées à comprendre la nature de la violation ainsi que les mesures qu’elles peuvent mettre en place pour se protéger » (§ 129). Ces informations essentielles doivent donc figurer dans le premier niveau de communication, directement accessible aux personnes sans démarche complémentaire.
B. Les manquements retenus dans le courriel initial
La formation restreinte reconnaît que « la forme de la communication réalisée à destination des personnes concernées est conforme aux exigences posées par l’article 34, paragraphe 2, du RGPD » (§ 137) — la société ayant mis en place un courriel initial suivi d’un numéro vert et d’un dispositif de ticket DPO. Elle concentre sa critique sur le fond du courriel initial, en identifiant deux insuffisances déterminantes.
La première insuffisance porte sur l’information relative aux mesures de remédiation. La société s’est contentée d’indiquer que « toutes les mesures nécessaires ont été prises immédiatement pour mettre fin à cette attaque et renforcer la protection de nos systèmes d’information », formulation que la formation restreinte qualifie de « trop générale et abstraite » pour satisfaire à l’obligation de « décrire » ces mesures au sens de l’article 33, paragraphe 3, point d) (§ 141). Elle souligne que, sans compromettre la sécurité de son système d’information, la société aurait notamment dû indiquer que « les comptes compromis ont été révoqués, les vulnérabilités liées à son outil métier corrigées, l’accès aux données à caractère personnel renforcé » (§ 143). L’argument de la confidentialité des mesures de sécurité est certes légitime dans son principe, mais ne saurait justifier l’absence de toute description, fût-elle synthétique et expurgée des détails sensibles.
La seconde insuffisance concerne l’information relative aux conséquences probables de la violation et aux mesures de protection à adopter par les personnes concernées. La formation restreinte considère que l’invitation à la vigilance « face au risque d’emails, SMS ou appels frauduleux » est « trop vague » pour permettre aux personnes de comprendre les principaux risques et de s’en prémunir (§ 145). Elle relève que la société avait pourtant identifié les risques pertinents dans les scripts de questions/réponses fournis aux conseillers téléphoniques — notamment les risques de fraude, d’usurpation d’identité, et de prélèvements frauduleux —, et qu’elle aurait dû en transmettre une synthèse directement dans le courriel initial (§ 146).
La formation restreinte accorde une attention particulière au risque lié à la compromission des IBAN : « la société aurait dû alerter spécifiquement sur les risques d’exploitation frauduleuse de coordonnées bancaires, rassurer sur le fait que les établissements bancaires en avaient été informés et inviter les personnes concernées à consulter régulièrement leur compte bancaire » (§ 148). Cette exigence de personnalisation de la communication en fonction de la nature des données compromises constitue un apport normatif important, qui impose aux responsables de traitement d’adapter le contenu de leur notification au profil de risque propre à chaque catégorie de données affectées par la violation.
C. Les moyens de défense de FREE et leur rejet
La société FREE défend la complétude de son courriel initial en invoquant plusieurs arguments : son approche à deux niveaux d’information (courriel + numéro vert), le fait qu’elle « ne pouvait pas anticiper toutes les formes d’exploitation futures » de la violation (§ 125), et le fait que l’article 34, paragraphe 2 ne lui imposait pas de « détailler aux personnes concernées l’ensemble des mesures prises » par souci de protection de la sécurité de son système d’information (§ 126).
Elle soutient par ailleurs que les fraudes signalées par certains plaignants ne lui sont pas imputables, et que la médiatisation de la violation par la CNIL a artificiellement gonflé le nombre de plaintes (§ 127).
La formation restreinte répond sur ce dernier point par une analyse minutieuse des communications de la CNIL (§ 149-188), établissant que la communication de la Commission s’inscrivait dans son obligation légale d’informer les auteurs de réclamations de l’issue de l’enquête (article 8-I-2-d) de la loi Informatique et Libertés), et que les articles publiés sur le site de la CNIL ne comportaient aucune information couverte par le secret de l’enquête ni aucun jugement de valeur sur la société (§ 185-187). La formation restreinte relève enfin que la grande majorité des plaintes avait été reçue avant la communication de la CNIL du 28 janvier 2025, de sorte que cette dernière ne saurait en expliquer l’afflux (§ 149).
D. Appréciation critique
Ce volet de la délibération offre une précision importante sur les contours de l’obligation de communication au titre de l’article 34 du RGPD. La formation restreinte distingue clairement ce qui relève du contenu essentiel du premier niveau d’information — qui doit figurer dans le courriel initial — de ce qui peut être renvoyé au second niveau pour les informations complémentaires.
La délibération impose ainsi une forme de personnalisation de la communication selon les données compromises : la notification aux personnes dont les IBAN ont été exposés devait être qualitativement différente de celle adressée aux personnes dont seules les données d’identité ont été concernées. Cette exigence est cohérente avec l’esprit de l’article 34 du RGPD et avec les lignes directrices du CEPD, mais elle impose aux responsables de traitement une segmentation de leur communication qui peut s’avérer techniquement et organisationnellement complexe lors d’une violation massive portant sur des données hétérogènes.
Il convient de souligner que la formation restreinte n’exige pas que le courriel initial soit exhaustif au point de devenir illisible. Elle se borne à demander que « même brièvement, dans des termes simples », les principales mesures correctives et les principaux risques figurent dans le premier niveau d’information (§ 142). Cette exigence de proportionnalité dans le contenu de la notification est bienvenue et tempère utilement la portée de la décision.
VI.
Le rejet du moyen tiré de la violation du principe non bis in idem
La société FREE soulève un argument intéressant sur le plan des droits fondamentaux : elle reproche au rapporteur de « sanctionner deux fois les mêmes faits » en retenant les mêmes manquements à l’encontre des sociétés FREE et FREE MOBILE sur la base des mêmes constats (§ 161).
La formation restreinte réfute ce grief par une analyse rigoureuse du principe non bis in idem tel que consacré à l’article 50 de la Charte des droits fondamentaux de l’Union européenne. Elle rappelle que ce principe protège une même personne contre le fait d’être « poursuivie ou punie en raison d’une infraction pour laquelle elle a déjà été acquittée ou condamnée » (§ 163), et qu’il a vocation à s’appliquer « dans l’hypothèse où une personne a déjà été condamnée ou acquittée par un jugement définitif, pour des faits relevant de la même infraction » (CJUE, 7 janvier 2004, Aalborg Portland, C-204/00 P, § 338 ; § 164).
Or, en l’espèce, « deux procédures de sanction distinctes ont été diligentées à l’encontre des deux sociétés » et les faits imputés à FREE sont distincts de ceux imputés à FREE MOBILE : les vulnérabilités propres au système d’information de FREE (absence de sécurisation de la connexion au VPN, absence de moyens de détection sur SIEBEL) sont différentes des vulnérabilités propres au système d’information de FREE MOBILE (§ 165). La formation restreinte en tire la conséquence que le principe non bis in idem « ne saurait être méconnu en sanctionnant deux personnes morales distinctes pour des faits distincts, ayant touché pour partie les mêmes données » (§ 166).
Ce raisonnement est juridiquement fondé. Il convient néanmoins d’observer que la délibération ne traite pas suffisamment la question de la double prise en compte des données des clients convergents pour la détermination de l’assiette et du montant des amendes respectives prononcées contre FREE MOBILE (SAN-2026-001 : 27 millions d’euros) et FREE (SAN-2026-002 : 15 millions d’euros). Si le principe non bis in idem ne fait pas obstacle à deux sanctions pour des faits distincts ayant touché les mêmes données, la question de la proportionnalité globale des sanctions — évaluées au regard de l’unité économique ILIAD — méritait une analyse plus approfondie sur ce point.
VII.
La notion d’« entreprise » et la base de calcul de l’amende : la confirmation de la doctrine CJUE
La formation restreinte consacre des développements substantiels à la définition de la notion d’« entreprise » au sens de l’article 83 du RGPD, en s’appuyant sur deux arrêts majeurs de la CJUE : l’arrêt Deutsche Wohnen (grande chambre, 5 décembre 2023, C-807/21) et l’arrêt CJUE, cinquième chambre, 13 février 2025, C-383/23 (§ 159-160 et 192-195).
Elle rappelle qu’une « entreprise » au sens de l’article 83 du RGPD est « une unité économique même si, du point de vue juridique, cette unité économique est constituée de plusieurs personnes physiques ou morales » (§ 159), et qu’à l’instar du droit de la concurrence, lorsqu’une filiale est détenue à 100% par sa maison mère, il existe une présomption réfragable selon laquelle la maison mère exerce une influence déterminante sur le comportement de la filiale (§ 193, citant CJUE, Akzo, C-97/08 P, § 58-61).
En l’espèce, FREE étant détenue à 100% par ILIAD, les deux sociétés constituent « une seule entité économique » au sens des articles 101 et 102 du TFUE. La formation restreinte retient en conséquence le chiffre d’affaires de l’entreprise ILIAD (10,024 milliards d’euros en 2024 pour un résultat net de 367 millions d’euros) comme base de calcul du montant maximal de l’amende (§ 195).
Cette importation en droit de la protection des données personnelles de la notion d’unité économique issue du droit de la concurrence est confirmée et amplifiée, mais soulève une question systémique non résolue par la délibération : la prise en compte du chiffre d’affaires consolidé du groupe ILIAD pour fixer l’amende de FREE, cumulée avec la même prise en compte pour fixer l’amende de FREE MOBILE, conduit à utiliser deux fois le même chiffre d’affaires de référence pour sanctionner deux entités d’une même unité économique. Si ce mécanisme est juridiquement possible au regard de la jurisprudence CJUE — qui autorise des sanctions contre des personnes morales distinctes au sein d’une même unité économique —, il accentue néanmoins significativement la pression économique sur le groupe pris dans son ensemble, ce qui pose la question de la mesure dans laquelle la proportionnalité globale de la sanction est appréciée au niveau de l’unité économique.
POINTS ESSENTIELS
La délibération SAN-2026-002 du 8 janvier 2026 sanctionne la société FREE, opérateur de téléphonie fixe filiale à 100 % du groupe ILIAD, d’une amende de 15 millions d’euros à raison de deux manquements au RGPD caractérisés à la suite d’une cyberattaque ayant compromis, entre le 28 septembre et le 22 octobre 2024, les données personnelles de plus de 5,1 millions de contrats fixes — dont les IBAN des abonnés convergents FREE/FREE MOBILE —, après que l’attaquant se fut introduit dans le VPN de la société FREE MOBILE pour accéder, via l’outil de gestion SIEBEL, à la base de données fixe de FREE sans que celle-ci ne détecte l’intrusion pendant 24 jours, la société n’ayant été alertée que par l’attaquant lui-même.. qui n’avait pas manqué d’alerter aussi la CNIL.
La décision s’inscrit dans un ensemble coordonné avec la délibération SAN-2026-001 sanctionnant FREE MOBILE à hauteur de 27 millions d’euros, portant le total des sanctions CNIL infligées au groupe ILIAD à 42 millions d’euros pour la même violation de données.
25.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats