CNIL | SAN-2026-002 | 08 JANVIER 2026 | AFFAIRE FREE MOBILE ET FREE |
“MERCI FREE !?!” – AVEC FREE, LES HACKERS ONT “TOUT COMPRIS”. – “ACCÈS ILLIMITÉ” AUX IBAN DE 24 MILLIONS DE CONTRATS FREE.
ANALYSE CRITIQUE MANQUEMENTS FAQ CONSEILS
CONSEILS AUX RESPONSABLES DE TRAITEMENT
A. PRENDRE LA PLEINE MESURE DE LA RESPONSABILITÉ À L’ÉGARD DES ACCÈS CONSENTIS À DES TIERS
La délibération SAN-2026-002 consacre un principe d’une portée pratique considérable : le responsable de traitement reste intégralement responsable de la sécurité de ses propres données, même lorsque ces données sont accessibles depuis le système d’information d’une entité tierce. En l’espèce, la société FREE a vu ses données exfiltrées via l’outil MOBO de sa sœur FREE MOBILE, et non directement depuis son propre environnement applicatif. La formation restreinte a néanmoins retenu sa responsabilité, en relevant que c’est FREE qui « autorise la société FREE MOBILE à accéder aux données contenues dans sa base de données fixes » (§ 105) et que FREE est donc « responsable de la sécurité des données contenues dans sa base de données des abonnés fixes, et donc de l’accès à ces données par la société FREE MOBILE » (§ 57).
Ce raisonnement emporte des conséquences immédiates pour tout responsable de traitement qui partage des données avec des filiales, des partenaires, des sous-traitants ou des co-traitants. L’ouverture d’un accès à ses propres données — même partiel, même technique, même résiduel — crée une obligation de sécuriser ce canal d’accès. Cette obligation ne se décharge pas contractuellement sur le bénéficiaire de l’accès. Elle demeure chez le responsable de traitement originaire. En pratique, tout responsable de traitement doit donc cartographier avec précision l’ensemble des flux par lesquels ses données peuvent être atteintes depuis un système externe, et s’assurer que chaque flux est doté d’une sécurisation proportionnée à la sensibilité des données exposées. Cette cartographie ne saurait se limiter aux accès directs et délibérés : elle doit également intégrer les accès indirects résultant d’intégrations techniques, de services web partagés, de bases de données exposées via des API ou de mécanismes de synchronisation.
B. DÉPLOYER UNE DÉTECTION ACTIVE ET NON UNE SIMPLE JOURNALISATION PASSIVE
L’enseignement le plus opérationnel de la délibération SAN-2026-002 réside dans la distinction, que la formation restreinte formule avec clarté, entre la journalisation et la détection. La société FREE avait bien mis en place un dispositif de journalisation de l’activité sur son outil SIEBEL. Des rapports d’activité étaient produits à destination du RSSI. Mais la formation restreinte a considéré que ce dispositif était insuffisant parce qu’il ne permettait pas de détecter automatiquement des comportements manifestement anormaux, ni de les bloquer sans intervention humaine :
La formation restreinte note que l’outil SIEBEL émettait des rapports d’activité à destination du RSSI et qu’une intervention humaine était nécessaire pour vérifier si un comportement suspect était anormal et le cas échéant prendre les mesures qui s’imposaient. La formation restreinte estime que ces conditions n’étaient pas appropriées et qu’un blocage automatique aurait été une mesure adaptée pour compléter le dispositif mis en place. (§ 114)
L’attaquant a pu exfiltrer les données d’environ […] de contrats fixes, sans que ce comportement n’émette d’alerte ou, à supposer qu’une alerte ait bien été émise, sans que celle-ci n’entraine un blocage du compte à l’origine des requêtes. (§ 110)
Ce constat impose à tout responsable de traitement de revoir son architecture de détection selon trois axes. En premier lieu, les journaux applicatifs doivent être exploités en temps réel par un système capable de corréler les événements et de générer des alertes automatiques. Un journal non traité est sans valeur préventive. En second lieu, des seuils d’alerte doivent être définis en amont, calibrés sur une ligne de base comportementale représentant l’activité normale des utilisateurs. Ces seuils doivent couvrir au minimum : les volumes de données consultées ou téléchargées, les horaires de connexion atypiques, les séquences de requêtes évoquant une automatisation, et les taux d’erreur anormalement élevés. En troisième lieu, le système doit être capable de bloquer automatiquement un compte ou une session lorsque les seuils sont dépassés, sans attendre une validation humaine qui peut prendre des heures ou des jours. L’attaquant a disposé dans la présente affaire de vingt-quatre jours pour exfiltrer librement des millions de données. Un blocage automatique déclenché dès les premières anomalies aurait pu réduire à quelques heures la durée d’exposition des données.
La recommandation CNIL n° 2021-122 du 14 octobre 2021 relative à la journalisation constitue le référentiel normatif applicable, et les lignes directrices 9/2022 du CEPD ont rappelé que « la capacité de détecter une violation, d’y remédier et de la communiquer dans les meilleurs délais devrait être considérée comme un élément essentiel » de l’obligation de sécurité (§ 101). Ces textes ne sont plus de simples recommandations ; ils définissent désormais le standard de l’état de l’art au sens de l’article 32 du RGPD.
C. SÉCURISER LES ACCÈS VPN PAR UNE AUTHENTIFICATION MULTIFACTEUR ET UN CERTIFICAT MACHINE
La délibération retient également, à titre de manquement constitué mais non exploité par l’attaquant dans le cas de FREE, l’absence d’authentification robuste sur le VPN de la société. Elle s’appuie sur les recommandations combinées de l’ANSSI et de la CNIL pour poser le standard exigible :
L’ANSSI recommande depuis 2018 d’authentifier le poste nomade d’un utilisateur sur un système d’information au moyen d’un certificat machine, qui est lié au poste nomade et non pas à l’utilisateur de celui-ci. (§ 73)
Dans son « Guide de la sécurité des données personnelles » de mars 2024, la CNIL recommande également de « privilégier l’authentification multi facteur lorsque cela est possible, en particulier lorsque la connexion est accessible depuis l’extérieur du réseau de l’organisme ». (§ 74)
Tout responsable de traitement qui n’a pas encore généralisé l’authentification multifacteur (MFA) pour les accès distants à son système d’information doit considérer cette démarche comme une priorité de conformité immédiate. La question pertinente n’est plus de savoir si la MFA est nécessaire, mais d’identifier les quelques situations spécifiques dans lesquelles elle n’est pas techniquement possible et de documenter les mesures compensatoires déployées. Concernant les accès VPN, le déploiement d’un certificat machine — distinct du certificat utilisateur — constitue une exigence minimale supplémentaire, permettant de s’assurer que non seulement l’utilisateur est authentifié, mais que le poste utilisé est un équipement maîtrisé par l’organisation.
Sur le plan opérationnel, le plan de déploiement doit être formalisé, validé au niveau de la direction générale, et assorti d’un calendrier précis. Toute impossibilité technique doit être documentée par écrit, avec indication du niveau de risque résiduel accepté et des mesures compensatoires. Le simple fait de ne pas avoir encore procédé au déploiement, sans justification ni plan d’action, constitue désormais un indice de négligence susceptible de fonder un grief au titre de l’article 32 du RGPD.
D. GARANTIR QUE LES ARCHITECTURES PARTAGÉES AU SEIN D’UN GROUPE FONT L’OBJET D’UNE GOUVERNANCE DE SÉCURITÉ FORMALISÉE
La délibération SAN-2026-002, lue en articulation avec la délibération SAN-2026-001, révèle un problème structurel propre aux groupes multi-entités : le partage d’outils, d’infrastructure ou de données entre sociétés du même groupe crée des vulnérabilités croisées qui ne correspondent à la responsabilité exclusive d’aucune des entités, mais qui engage simultanément plusieurs d’entre elles.
La formation restreinte a certes posé le principe de responsabilité personnelle de chaque société pour son propre système d’information. Mais elle a également précisé que « certaines mesures de sécurité étaient communes aux deux sociétés » (§ 24) et que c’est FREE MOBILE qui avait ouvert l’accès indirect aux données de FREE. La gouvernance de sécurité intra-groupe est donc un enjeu distinct de la simple conformité individuelle de chaque entité.
En pratique, tout groupe multi-entités devrait disposer d’une politique de sécurité des données consolidée au niveau du groupe, précisant a minima : les standards minimaux communs applicables à toutes les entités, les règles d’octroi et de contrôle des accès inter-entités, les obligations de notification interne en cas d’incident susceptible d’affecter les données d’une autre entité, et les modalités de gouvernance de la réponse aux incidents à l’échelle du groupe. Cette politique ne se substitue pas aux responsabilités individuelles de chaque entité au sens du RGPD ; elle les complète en définissant le cadre dans lequel ces responsabilités s’exercent de manière coordonnée. En l’absence d’une telle politique, chaque entité court le risque d’être sanctionnée individuellement pour les défaillances nées de l’interdépendance technique avec ses consœurs, sans pouvoir invoquer l’action ou l’inaction d’une autre entité du groupe comme facteur exonératoire.
E. MAÎTRISER LA DOCTRINE DE LA NOTION D’« ENTREPRISE » ET SES CONSÉQUENCES SUR LE CALCUL DES AMENDES
La formation restreinte a appliqué à la société FREE la doctrine de la notion d’« entreprise » au sens du droit de la concurrence, telle qu’elle avait été consacrée par la CJUE dans les arrêts Deutsche Wohnen (5 décembre 2023, C-807/21) et C-383/23 (13 février 2025). La conséquence pratique est considérable : le chiffre d’affaires de référence pour le calcul du plafond et de la proportionnalité de l’amende n’est pas celui de la filiale sanctionnée, mais celui de la société mère, dès lors que la filiale est détenue à 100 % par cette dernière, créant une présomption réfragable d’influence déterminante.
En l’espèce, la société ILIAD, maison mère de FREE, réalise un chiffre d’affaires de 10,024 milliards d’euros. C’est ce chiffre qui constitue la base d’appréciation du plafond de l’amende, et non le seul chiffre d’affaires de la société FREE. L’amende prononcée de 15 millions d’euros représente donc environ 0,15 % du chiffre d’affaires consolidé du groupe ILIAD.
Cette doctrine a une implication immédiate pour tout groupe : les filiales dont les pratiques de sécurité sont insuffisantes ne doivent plus raisonner en termes de plafond d’amende calculé sur leur propre chiffre d’affaires, mais en termes de capacité du groupe à absorber une amende calculée sur son chiffre d’affaires consolidé. Cette consécration aligne la dissuasion RGPD sur les standards du droit de la concurrence et impose une remontée au plus haut niveau de la gouvernance de groupe des enjeux de conformité en matière de protection des données.
F. CONCEVOIR DES COMMUNICATIONS DE VIOLATION DE DONNÉES CENTRÉES SUR L’UTILITÉ POUR LES PERSONNES CONCERNÉES
La délibération SAN-2026-002 apporte une contribution doctrinale importante à l’interprétation de l’article 34 du RGPD. Elle consacre une distinction opérationnelle entre un premier niveau d’information obligatoire comportant les informations essentielles, et un second niveau complémentaire (numéro vert, dispositif de gestion des demandes) auquel peuvent être renvoyées les informations supplémentaires.
Cette structure à deux niveaux est validée dans son principe, mais la formation restreinte impose que le premier niveau contienne, de manière directe et synthétique, les informations essentielles que les personnes ont besoin de comprendre immédiatement pour se protéger. Elle a identifié dans la présente affaire trois carences rédhibitoires du premier niveau :
La société FREE aurait dû « décrire », même brièvement, dans des termes simples, les principales mesures correctives prises pour remédier à la violation de données en cause. […] la société aurait notamment dû indiquer que les comptes compromis ont été révoqués, les vulnérabilités liées à son outil métier corrigées, l’accès aux données à caractère personnel renforcé. (§§ 141-143)
En visant uniquement le « risque d’emails, SMS ou appels frauduleux », la société n’a pas communiqué l’ensemble des principaux risques auxquels sont exposées les personnes concernées par la violation. (§ 147)
La formation restreinte estime que la société aurait dû alerter spécifiquement sur les risques d’exploitation frauduleuse de coordonnées bancaires, rassurer sur le fait que les établissements bancaires en avaient été informés et inviter les personnes concernées à consulter régulièrement leur compte bancaire. (§ 148)
Tout responsable de traitement doit donc concevoir ses communications de violation de données comme un outil d’information actionnable, non comme un acte de gestion de crise destiné principalement à contrôler l’image de l’organisation. Le message doit répondre à trois questions fondamentales du point de vue de la personne concernée : Que s’est-il passé exactement ? — Quels risques est-ce que je cours précisément ? — Que dois-je faire maintenant ? Ces trois questions correspondent exactement aux exigences des points b), c) et d) du §3 de l’article 33 du RGPD, auxquels renvoie l’article 34, §2.
La préparation de cette communication ne doit pas attendre la survenance d’une violation. Tout responsable de traitement exposé à un risque de violation significatif devrait disposer en amont d’un plan de communication de crise précisant les catégories de données susceptibles d’être affectées, les risques correspondants, les mesures de remédiation types, et les coordonnées des points de contact. Ce plan, régulièrement mis à jour, permettra d’agir en quelques heures avec un niveau d’information de qualité, sans tomber dans le piège des formules génériques que la formation restreinte a sévèrement sanctionnées dans la présente affaire.
G. ANTICIPER LES CONSÉQUENCES DE LA DOUBLE SANCTION ET DOCUMENTER LES RESPONSABILITÉS INTRA-GROUPE
La décision SAN-2026-002 crée un précédent important : deux sociétés d’un même groupe peuvent être sanctionnées séparément — et de manière cumulative — pour des manquements distincts résultant d’un même incident opérationnel. La formation restreinte a écarté le grief de non bis in idem en relevant que les manquements imputés à FREE et à FREE MOBILE concernent des traitements et des systèmes d’information distincts (§§ 163-167).
Pour les groupes multi-entités, cette jurisprudence impose de formaliser avec précision les responsabilités respectives de chaque entité à l’égard des traitements partagés ou des infrastructures communes. En pratique, cela implique de :
—-Identifier et documenter clairement les cas de co-responsabilité et les cas de responsabilité autonome pour les traitements impliquant plusieurs entités du groupe ;
—-Formaliser contractuellement les obligations de chaque entité en matière de sécurité des accès inter-entités ;
—-S’assurer que les mesures de sécurité déployées par chaque entité sont conformes à ses propres obligations, sans reporter sur une entité sœur la responsabilité de défaillances qui lui sont imputables ;
—-Tenir un registre des incidents de sécurité documentant, pour chaque incident, quelles données appartenant à quelle entité ont été affectées, et par quelle défaillance technique.
Cette documentation devient un outil de défense en cas de procédure de sanction. Elle permet de démontrer que chaque entité a bien satisfait à ses obligations propres, et que les défaillances constatées ne lui sont pas imputables mais résultent des manquements d’une autre entité.
CONSEILS AUX PERSONNES CONCERNÉES
A. COMPRENDRE LA NATURE DES RISQUES LIÉS À LA COMPROMISSION DE DONNÉES D’IDENTITÉ ET D’IBAN
La violation de données subie par la société FREE a exposé les données d’environ 5,17 millions d’abonnés fixes, incluant leurs données d’identité (nom, prénom, adresse), leurs données de contact (courriel, téléphone) et, pour les clients dits convergents, leurs IBAN. La combinaison de ces catégories de données crée un profil d’exposition particulièrement préoccupant.
La formation restreinte a pris soin de réfuter l’argument de la société selon lequel la compromission d’un IBAN ne présenterait pas de risque particulier. Elle a en effet documenté le mécanisme par lequel un IBAN usurpé peut être exploité pour des prélèvements frauduleux :
Une personne mal intentionnée, disposant d’un IBAN usurpé, peut procéder à un paiement frauduleux sur un site web qui propose de valider le mandat de prélèvement SEPA par l’intermédiaire d’une simple case à cocher. (§ 58)
Les personnes dont les données ont été compromises sont donc exposées à des risques concrets et distincts : des tentatives d’hameçonnage (courriels, SMS ou appels se faisant passer pour FREE ou d’autres organismes), des risques d’usurpation d’identité exploitant les données d’état civil et contractuelles, et des risques de prélèvements frauduleux exploitant les IBAN. Ces trois catégories de risques appellent des mesures de protection spécifiques.
S’agissant des risques d’hameçonnage, la règle fondamentale est de ne jamais utiliser les coordonnées de contact figurant dans un message reçu pour rappeler l’expéditeur. Tout contact se réclamant de FREE, d’une banque ou d’un organisme public et demandant des informations personnelles, des codes de confirmation ou un accès à un compte en ligne doit être regardé avec la plus grande suspicion, quelle que soit la précision des informations dont dispose l’interlocuteur sur votre identité ou vos données contractuelles.
B. AGIR CONCRÈTEMENT EN CAS DE COMPROMISSION D’IBAN
Les personnes abonnées à la fois à la téléphonie fixe FREE et à la téléphonie mobile FREE MOBILE — dites clientes convergentes — dont l’IBAN figure dans la base de données de FREE sont les plus directement exposées au risque de prélèvement frauduleux. La conduite recommandée est précise et structurée.
En premier lieu, il convient de signaler à sa banque que votre IBAN a été compromis dans le cadre d’une violation de données, en mentionnant la date approximative de l’incident (octobre 2024). La banque pourra vous indiquer quelles mesures préventives elle propose : surveillance renforcée, liste blanche de créanciers, procédure de validation renforcée pour les nouveaux mandats SEPA. En deuxième lieu, il est indispensable de surveiller régulièrement vos relevés bancaires en cherchant tout mouvement que vous n’avez pas expressément autorisé. Un prélèvement frauduleux par IBAN usurpé peut ne pas apparaître immédiatement ; la vigilance doit être maintenue dans le temps. En troisième lieu, en présence d’un prélèvement non autorisé, la démarche est la suivante : contacter immédiatement sa banque pour signaler le prélèvement litigieux, en formuler la contestation dans les délais légaux, et conserver l’ensemble des pièces documentant la démarche. La réglementation européenne (directive sur les services de paiement) prévoit en principe un remboursement sous conditions ; la réactivité est déterminante pour en bénéficier.
C. EXERCER SES DROITS RGPD ET FORMULER UNE PLAINTE À LA CNIL
Les personnes concernées par la violation de données FREE disposent de l’ensemble des droits que leur reconnaît le RGPD, notamment le droit d’accès (article 15), le droit de rectification (article 16) et le droit à l’effacement (article 17). En pratique, le droit d’accès est le plus utile dans l’immédiat : il permet d’obtenir une confirmation de la nature exacte des données compromises, ce qui conditionne l’appréciation des risques personnellement courus.
Une demande d’exercice de droits doit être adressée par écrit, en conservant une preuve de l’envoi (accusé de réception, courriel avec accusé de lecture), en demandant précisément la liste des catégories de données compromises et les mesures correctives prises. Le responsable de traitement dispose d’un mois pour répondre, délai prorogeable d’un mois supplémentaire pour les demandes complexes. En l’absence de réponse ou en cas de réponse manifestement insuffisante dans ce délai, la personne concernée peut saisir la Commission nationale de l’informatique et des libertés (CNIL), qui instruit les réclamations individuelles.
La saisine de la CNIL est facilitée lorsqu’elle s’appuie sur des éléments documentés : copie du message de notification reçu de FREE, copie de la demande d’exercice de droits adressée à FREE, réponse de FREE le cas échéant, et tout élément démontrant un préjudice ou un risque particulièrement élevé (tentative d’hameçonnage ciblée, prélèvement frauduleux, usurpation d’identité).
D. DOCUMENTER LES PRÉJUDICES EN VUE D’UNE ACTION INDEMNITAIRE
L’article 82 du RGPD reconnaît à toute personne physique ayant subi un dommage matériel ou moral du fait d’une violation du règlement le droit d’obtenir réparation du responsable de traitement. La jurisprudence européenne et nationale admet de manière croissante la réparation du dommage moral résultant d’une violation de données, y compris sans préjudice économique quantifiable, dès lors que l’atteinte à la vie privée ou l’inquiétude générée par la violation est réelle et démontrée.
En pratique, la constitution d’un dossier indemnitaire suppose de conserver avec méthode : le message de notification reçu de FREE et son contenu, les courriels d’hameçonnage personnalisés reçus après la violation, les relevés bancaires attestant de prélèvements litigieux, les échanges avec la banque, les dépôts de plainte, les coûts engagés pour se prémunir contre la fraude, et tout élément démontrant le temps consacré aux démarches de protection ou le préjudice moral subi. Cette documentation doit être conservée de manière chronologique et probatoire — copies datées, captures d’écran, preuves d’envoi.
La formation restreinte a souligné que le nombre « sans précédent » de 2 614 plaintes reçues par la CNIL reflète « la grande inquiétude des personnes concernées » (§ 175). Cette inquiétude, lorsqu’elle est documentée et caractérisée dans ses manifestations concrètes, est susceptible de fonder une demande de réparation du dommage moral devant les juridictions compétentes.
E. ADOPTER DURABLEMENT UNE HYGIÈNE NUMÉRIQUE RENFORCÉE
Au-delà des démarches immédiates, la violation de données FREE doit conduire les personnes concernées à renforcer durablement leur hygiène numérique personnelle.
S’agissant des mots de passe : Si vous utilisiez le même mot de passe pour votre espace client FREE et pour d’autres services, il convient de le modifier sans délai sur chacun de ces services. L’adoption d’un gestionnaire de mots de passe permet d’utiliser des mots de passe uniques et complexes pour chaque service sans avoir à les mémoriser.
S’agissant de l’authentification : Il est fortement recommandé d’activer l’authentification à deux facteurs sur l’ensemble des comptes sensibles : messagerie électronique, comptes bancaires, espaces clients d’opérateurs, plateformes de commerce en ligne, services administratifs (impôts, Ameli, etc.). La messagerie électronique mérite une attention particulière, car sa compromission permet en cascade de prendre le contrôle de nombreux autres services via les fonctions de réinitialisation de mots de passe.
S’agissant de la vigilance à long terme : Les données compromises dans une violation circulent, sont revendues et peuvent n’être exploitées que plusieurs semaines ou plusieurs mois après l’incident. La vigilance à l’égard des tentatives d’hameçonnage doit donc être maintenue dans le temps, bien au-delà des premières semaines suivant la violation. Le site cybermalveillance.gouv.fr, mentionné dans le courriel d’information de FREE, constitue une ressource utile pour identifier les formes d’attaque les plus fréquentes et les réflexes à adopter.
POINTS ESSENTIELS
La délibération SAN-2026-002 du 8 janvier 2026 sanctionne la société FREE, opérateur de téléphonie fixe filiale à 100 % du groupe ILIAD, d’une amende de 15 millions d’euros à raison de deux manquements au RGPD caractérisés à la suite d’une cyberattaque ayant compromis, entre le 28 septembre et le 22 octobre 2024, les données personnelles de plus de 5,1 millions de contrats fixes — dont les IBAN des abonnés convergents FREE/FREE MOBILE —, après que l’attaquant se fut introduit dans le VPN de la société FREE MOBILE pour accéder, via l’outil de gestion SIEBEL, à la base de données fixe de FREE sans que celle-ci ne détecte l’intrusion pendant 24 jours, la société n’ayant été alertée que par l’attaquant lui-même.. qui n’avait pas manqué d’alerter aussi la CNIL.
La décision s’inscrit dans un ensemble coordonné avec la délibération SAN-2026-001 sanctionnant FREE MOBILE à hauteur de 27 millions d’euros, portant le total des sanctions CNIL infligées au groupe ILIAD à 42 millions d’euros pour la même violation de données.
25.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats