CNIL | SAN-2026-002 | 08 janvier 2026 | Affaire FREE MOBILE et FREE | ANALYSE CRITIQUE

1. LA SOCIÉTÉ FREE SANCTIONNÉE POUR LES DÉFAILLANCES AUTONOMES DE SON PROPRE SYSTÈME D’INFORMATION

Distincte de la procédure visant FREE MOBILE (SAN-2026-001), la délibération SAN-2026-002 retient deux manquements autonomes imputables à la société FREE en sa qualité de responsable de traitement pour la gestion de ses 5,1 millions d’abonnés fixes : l’insuffisance de la sécurisation de son canal VPN et l’absence de détection active des comportements suspects sur son outil de gestion des abonnés SIEBEL. L’attaquant, infiltré via le VPN de FREE MOBILE, a accédé par rebond à la base de données fixe de FREE par l’intermédiaire de l’outil MOBO, exfiltrant les données contractuelles des clients dits « convergents » — dont les IBAN —, pendant vingt-quatre jours sans déclencher d’alerte. La formation restreinte rappelle que chaque société du groupe répond de ses propres obligations au titre du RGPD et que la responsabilité autonome de chaque entité ne peut être diluée dans celle d’une filiale ou d’une société sœur, quand bien même leurs systèmes d’information partagent certains composants ou mesures communes.

2. LA JOURNALISATION PASSIVE EST DÉFINITIVEMENT INSUFFISANTE : LE BLOCAGE AUTOMATIQUE DEVIENT UN STANDARD

Avoir des logs ne suffit plus. La CNIL confirme et approfondit, dans SAN-2026-002, l’exigence déjà posée dans SAN-2026-001 à l’encontre de FREE MOBILE : un dispositif de journalisation n’est conforme à l’article 32 du RGPD que s’il est couplé à une détection active en temps réel et à un mécanisme de blocage automatique en cas de dépassement de seuils anormaux (volume de requêtes, nombre d’abonnés consultés, accès hors horaires ouvrés). La nécessité d’une intervention humaine pour traiter les rapports d’activité et déclencher une mesure conservatoire est expressément qualifiée de mesure « non appropriée » (§ 114). La formation restreinte s’appuie sur la recommandation CNIL n° 2021-122 du 14 octobre 2021 relative à la journalisation — qui impose une exploitation « active » et « en temps réel » des journaux — et sur les lignes directrices 9/2022 du CEPD qui consacrent la « capacité de détecter une violation » comme « élément essentiel » de la sécurité. L’exfiltration massive du 15 octobre 2024 — qui « ne pouvait pas rester inaperçue » mais n’a déclenché ni alerte ni blocage (§ 110-111) — illustre le niveau d’exigence désormais attendu : tout comportement objectivement anormal doit provoquer une réponse automatique sans délai.

3. LA SÉCURISATION DU VPN : LA MFA ET LE CERTIFICAT MACHINE CONSTITUENT UN STANDARD IMPÉRATIF POUR LE NOMADISME NUMÉRIQUE

L’accès distant au système d’information via VPN impose, selon les recommandations ANSSI de 2018 sur le nomadisme numérique et le Guide CNIL de la sécurité des données personnelles de mars 2024, une authentification multifacteur robuste portant cumulativement sur l’utilisateur (MFA) et sur le poste nomade lui-même (certificat machine), ce dernier niveau permettant de garantir que seuls les équipements maîtrisés par l’entité peuvent accéder au système d’information interne. La formation restreinte rappelle le principe directeur : « il revient au responsable de traitement de déployer des mesures permettant de garantir que, tant la personne qui se connecte, que la machine qu’elle utilise, bénéficient des autorisations nécessaires » (§ 83). Ce standard s’applique à tout responsable de traitement disposant d’un accès VPN, quelle que soit la taille ou la complexité du système d’information, et s’inscrit dans le principe de défense en profondeur de l’ANSSI — posé dès le Mémento du 19 juillet 2004 — qui interdit de faire reposer la sécurité sur un élément unique et impose que « toute faille de sécurité potentielle d’un composant logiciel doit être compensée par au moins un second niveau de sécurité » (§ 62). La délibération confirme ainsi la jurisprudence inaugurée par SAN-2026-001 : l’absence de MFA sur un accès VPN donnant accès à des données personnelles massives constitue un manquement caractérisé à l’article 32 du RGPD, indépendamment de toute réalisation effective d’une violation.

4. LA NOTIFICATION AUX VICTIMES DOIT ÊTRE PRÉCISE, SUBSTANTIELLE ET PERSONNALISÉE SELON LA NATURE DES DONNÉES COMPROMISES

La CNIL impose que le courriel initial de notification au titre de l’article 34 du RGPD réponde à une double exigence de précision et de personnalisation. Sur la précision : les formules générales du type « toutes les mesures nécessaires ont été prises » sont insuffisantes ; le responsable de traitement doit décrire, « même brièvement » et « sans mettre en danger son système d’information », les mesures correctives effectivement prises (révocation des comptes compromis, correction des vulnérabilités, renforcement des accès). Sur la personnalisation : les personnes dont les IBAN ont été compromis doivent recevoir une information « spécifique » sur les risques de prélèvement frauduleux par mandat SEPA (§ 148) — distincte de la communication générale sur le hameçonnage. La formation restreinte tire argument du fait que FREE avait identifié ces risques et recommandations dans ses scripts internes à destination des conseillers téléphoniques, sans les inclure dans le courriel envoyé à l’ensemble des victimes : l’information disponible en interne mais non transmise aux personnes concernées caractérise à elle seule l’insuffisance de la notification. La communication prudentielle destinée à maîtriser la panique (« panic control ») est sanctionnée dès lors qu’elle prive les victimes des informations nécessaires à leur auto-protection.

5. LE PRINCIPE NON BIS IN IDEM NE FAIT PAS OBSTACLE AUX SANCTIONS CROISÉES AU SEIN D’UN MÊME GROUPE, MAIS L’UNITÉ ÉCONOMIQUE ILIAD CONSTITUE LA BASE DE CALCUL DES AMENDES

Deux personnes morales distinctes d’un même groupe peuvent être sanctionnées séparément pour des faits distincts ayant affecté les mêmes données, sans méconnaître le principe non bis in idem consacré à l’article 50 de la Charte des droits fondamentaux de l’UE : les vulnérabilités du système d’information de FREE sont différentes de celles du système de FREE MOBILE, de sorte que « les faits et leur imputation [sont] distincts » (§ 165-166). En revanche, pour la détermination du plafond de l’amende de chaque entité sanctionnée, le chiffre d’affaires de la maison mère ILIAD (10,024 milliards d’euros en 2024) constitue la base de référence, conformément à la jurisprudence CJUE, grande chambre, 5 décembre 2023, Deutsche Wohnen, C-807/21 et CJUE, cinquième chambre, 13 février 2025, C-383/23 sur la notion d’« unité économique » : une filiale détenue à 100% par sa maison mère est présumée soumise à l’influence déterminante de cette dernière, et les deux entités constituent une « seule entité économique » au sens des articles 101 et 102 du TFUE. Cette importation de la notion d’unité économique du droit de la concurrence en droit de la protection des données accroît mécaniquement la pression économique sur les groupes multi-entités, en permettant à la CNIL de fixer l’amende par référence au chiffre d’affaires consolidé du groupe et non à celui de la seule filiale sanctionnée.

POINTS ESSENTIELS

La délibération SAN-2026-002 du 8 janvier 2026 sanctionne la société FREE, opérateur de téléphonie fixe filiale à 100 % du groupe ILIAD, d’une amende de 15 millions d’euros à raison de deux manquements au RGPD caractérisés à la suite d’une cyberattaque ayant compromis, entre le 28 septembre et le 22 octobre 2024, les données personnelles de plus de 5,1 millions de contrats fixes — dont les IBAN des abonnés convergents FREE/FREE MOBILE —, après que l’attaquant se fut introduit dans le VPN de la société FREE MOBILE pour accéder, via l’outil de gestion SIEBEL, à la base de données fixe de FREE sans que celle-ci ne détecte l’intrusion pendant 24 jours, la société n’ayant été alertée que par l’attaquant lui-même.. qui n’avait pas manqué d’alerter aussi la CNIL.

La décision s’inscrit dans un ensemble coordonné avec la délibération SAN-2026-001 sanctionnant FREE MOBILE à hauteur de 27 millions d’euros, portant le total des sanctions CNIL infligées au groupe ILIAD à 42 millions d’euros pour la même violation de données.