CNIL | SAN-2026-002 | 08 JANVIER 2026 | AFFAIRE FREE MOBILE ET FREE |
“MERCI FREE !?!” – AVEC FREE, LES HACKERS ONT “TOUT COMPRIS”. – “ACCÈS ILLIMITÉ” AUX IBAN DE 24 MILLIONS DE CONTRATS FREE.
ANALYSE CRITIQUE MANQUEMENTS FAQ CONSEILS
PARTIE I — QUESTIONS À L’ATTENTION DES RESPONSABLES DE TRAITEMENT
Q1. LA SIMPLE SURVENANCE D’UNE VIOLATION DE DONNÉES CARACTÉRISE-T-ELLE AUTOMATIQUEMENT UN MANQUEMENT À L’ARTICLE 32 DU RGPD ?
Non. La formation restreinte rappelle avec constance que « l’obligation de sécurité prévue par l’article 32 du RGPD est effectivement une obligation de moyens, qui impose au responsable du traitement de prendre des mesures qui, au regard des caractéristiques du traitement en cause, permettent à la fois de réduire la probabilité de la survenance d’une violation de données et le cas échéant, d’en atténuer la gravité » (§ 34). Il n’est donc pas attendu que les mesures de sécurité permettent d’éliminer toute forme de risque.
La CJUE a confirmé cette approche : « le responsable du traitement est tenu d’atténuer les risques de violation des données à caractère personnel, et non d’empêcher toute violation de celles-ci » (CJUE, 25 janvier 2024, C-687/21, point 39).
Mais — et c’est l’enseignement décisif de la délibération FREE — la survenance d’une violation ne crée pas davantage une présomption d’innocence. La formation restreinte peut retenir un manquement dès lors que les lacunes structurelles du dispositif de sécurité ont rendu possible ou facilité la violation. En l’espèce, c’est le mécanisme de détection insuffisant sur SIEBEL qui a permis à l’attaquant d’opérer en silence pendant 24 jours.
Bonne pratique : maintenir une documentation rigoureuse de l’analyse des risques réalisée ex ante (registre des traitements, AIPD le cas échéant) afin de démontrer que les mesures déployées étaient proportionnées aux risques identifiés au moment de leur déploiement.
Q2. LES RECOMMANDATIONS DE LA CNIL ET DE L’ANSSI ONT-ELLES UNE VALEUR CONTRAIGNANTE PERMETTANT DE FONDER UNE SANCTION ?
Oui, indirectement — et le moyen de légalité tiré de leur absence de caractère prescriptif est écarté par la formation restreinte. La délibération rappelle que « si les recommandations de la Commission et de l’ANSSI n’ont certes pas de caractère impératif, elles précisent et illustrent les dispositions législatives et réglementaires applicables et éclairent les acteurs sur les mesures concrètes et conformes à l’état de l’art à mettre en œuvre » (§ 44). La sanction est prononcée sur le fondement exclusif de l’article 32 du RGPD — « c’est au seul regard des obligations prévues par l’article 32 du RGPD qu’un responsable de traitement peut être sanctionné » (§ 45) — mais les recommandations de la CNIL et de l’ANSSI constituent le référentiel d’interprétation de ce que recouvre « l’état de l’art ».
Le Conseil d’État a confirmé cette approche à plusieurs reprises : CE, 11 mars 2015, Société Total Raffinage Marketing, n° 368748 et 368819, pt 4 ; CE, 30 avril 2024, Commune de Beaucaire, n° 472864, pt 11.
Bonne pratique : traiter les guides et recommandations publiés par la CNIL (notamment son Guide de la sécurité des données personnelles de mars 2024) et par l’ANSSI comme des référentiels de conformité de facto, même en l’absence de caractère formellement impératif. Leur non-respect est susceptible d’emporter un manquement à l’article 32 du RGPD si les mesures qu’ils préconisent correspondent à l’état de l’art.
Q3. QUE SIGNIFIE CONCRÈTEMENT L’OBLIGATION DE « DÉTECTION ACTIVE » DES COMPORTEMENTS ANORMAUX, DISTINCTE DE LA SIMPLE JOURNALISATION ?
La distinction est au cœur du second manquement retenu. La CNIL précise dans sa recommandation n° 2021-122 du 14 octobre 2021 que la journalisation ne répond à l’obligation de sécurité que si « cette sécurisation est essentiellement “active” : elle repose sur une exploitation en temps réel ou à court terme de ces données pour détecter des opérations anormales afin de parer des attaques ou intrusions » (§ 97).
La journalisation passive — c’est-à-dire la collecte de logs sans analyse en temps réel — est insuffisante. FREE journalisait bien les activités sur SIEBEL : les logs existaient. Mais le dispositif ne permettait pas de déclencher d’alerte ni a fortiori de blocage automatique face à un volume d’accès manifestement anormal.
La détection active implique :
—-Un système générant des alertes en temps réel lorsque certains seuils sont dépassés (volume de requêtes par utilisateur, nombre de consultations sur une période donnée, accès en dehors des heures ouvrées, etc.) ;
—-Un mécanisme de blocage automatique déclenché sans intervention humaine préalable en cas de dépassement des seuils ;
—-Idéalement, un SOC (centre opérationnel de sécurité) chargé d’analyser en continu les alertes générées et d’intervenir.
Bonne pratique : ne pas se contenter de conserver des logs. Déployer un SIEM (Security Information and Event Management) ou un système équivalent d’analyse comportementale en temps réel, avec des règles de détection adaptées à l’outil concerné. Tester régulièrement l’efficacité du dispositif conformément à l’article 32, §1, point d) du RGPD (« une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles »).
Q4. EN CAS DE VIOLATION DE DONNÉES IMPLIQUANT PLUSIEURS FILIALES D’UN MÊME GROUPE, LE PRINCIPE NON BIS IN IDEM S’OPPOSE-T-IL À CE QUE CHAQUE ENTITÉ SOIT SANCTIONNÉE SÉPARÉMENT ?
Non, selon la formation restreinte. Le principe non bis in idem, tel qu’il figure à l’article 50 de la Charte des droits fondamentaux de l’Union européenne, « a vocation à s’appliquer dans l’hypothèse où une personne a déjà été condamnée ou acquittée par un jugement définitif, pour des faits relevant de la même infraction » (§ 164, citant CJUE, 7 janvier 2004, Aalborg Portland e.a./Commission, C-204/00 P, § 338).
En l’espèce, FREE et FREE MOBILE sont deux personnes morales distinctes, responsables chacune de leur propre système d’information, et les manquements qui leur sont reprochés sont factuellement distincts : les vulnérabilités du VPN FREE MOBILE et la défaillance de SIEBEL chez FREE constituent des faits séparés, même s’ils ont contribué à la même violation de données (§ 165-166).
Bonne pratique : dans les groupes de sociétés, ne pas supposer qu’une seule procédure couvre l’ensemble des entités concernées. Chaque filiale responsable de traitement doit être en mesure de justifier de ses propres mesures de sécurité et de ses propres procédures de notification.
Q5. LA BASE DE CALCUL DE L’AMENDE RGPD INCLUT-ELLE LE CHIFFRE D’AFFAIRES DE LA MAISON MÈRE, Y COMPRIS POUR UNE FILIALE DISTINCTE ?
Oui. La formation restreinte confirme, au visa des arrêts CJUE C-807/21 du 5 décembre 2023 et C-383/23 du 13 février 2025, que la notion d’« entreprise » au sens du considérant 150 du RGPD s’entend comme une unité économique au sens du droit de la concurrence (articles 101 et 102 TFUE). Lorsqu’une filiale est détenue à 100 % par sa société mère — comme FREE l’est par ILIAD — il existe une « présomption réfragable selon laquelle la maison mère exerce une influence déterminante sur le comportement de la société » (§ 193).
Le chiffre d’affaires de référence est donc celui de l’unité économique consolidée (ILIAD : 10,024 milliards d’euros en 2024), et non le seul chiffre d’affaires de la filiale sanctionnée.
Bonne pratique : dans les groupes intégrés, anticiper que toute amende RGPD prononcée à l’encontre d’une filiale sera calibrée sur le CA consolidé du groupe. Ce facteur doit être intégré à la cartographie des risques et au budget de conformité.
Q6. QUELLES SONT LES OBLIGATIONS PRÉCISES D’UN RESPONSABLE DE TRAITEMENT DANS LA COMMUNICATION AUX PERSONNES CONCERNÉES APRÈS UNE VIOLATION DE DONNÉES (ARTICLE 34 RGPD) ?
L’article 34, §2, renvoyant à l’article 33, §3, points b), c) et d), impose au minimum de communiquer :
1. Le nom et les coordonnées du DPO ou d’un point de contact permettant d’obtenir des informations supplémentaires ;
2. La description des conséquences probables de la violation ;
3. La description des mesures prises ou proposées pour remédier à la violation, y compris les mesures pour en atténuer les éventuelles conséquences négatives.
Ces informations doivent figurer dans le premier niveau de communication — le courriel d’alerte initial — et non être renvoyées à un second niveau d’information (numéro vert, FAQ). La formation restreinte est formelle : « ces informations doivent être adressées directement aux personnes concernées, dans un premier niveau d’information, car elles sont essentielles pour atteindre l’objectif poursuivi par la communication » (§ 132).
Bonne pratique : préparer en amont (avant toute violation) un modèle de courriel de notification article 34 comportant des espaces à renseigner pour chacun des trois points obligatoires. Ne pas se contenter de formules génériques du type « toutes les mesures nécessaires ont été prises » : l’article 33-3-d impose de décrire les mesures, c’est-à-dire d’en donner le contenu substantiel (révocation des accès compromis, correction des vulnérabilités, renforcement des mécanismes d’authentification, etc.), sans pour autant révéler les détails susceptibles de compromettre la sécurité des systèmes.
Q7. UN RESPONSABLE DE TRAITEMENT PEUT-IL JUSTIFIER UNE COMMUNICATION LACUNAIRE AUPRÈS DES PERSONNES CONCERNÉES PAR LE RISQUE DE COMPROMETTRE LA SÉCURITÉ DE SON SYSTÈME D’INFORMATION ?
Partiellement. La formation restreinte admet que « dans certains cas, des mesures de sécurité déployées par un organisme doivent effectivement rester secrètes afin de ne pas exposer son système d’information à des risques de nouvelles attaques » (§ 140). Mais elle précise aussitôt que « toutes les mesures de sécurité mises en œuvre par un organisme ne présentent pas un risque pour la sécurité d’un système d’information et n’ont donc pas nécessairement vocation à demeurer secrètes » (§ 140).
En l’espèce, la formation restreinte juge que FREE aurait pu indiquer sans risque : la révocation des comptes compromis, la correction des vulnérabilités de l’outil métier, le renforcement des accès aux données (§ 143). Ces informations « sont compréhensibles pour les personnes concernées et ne sont pas de nature à compromettre le système d’information de la société » (§ 143).
Bonne pratique : lors de la rédaction du courriel de notification, distinguer, avec l’aide du RSSI et du DPO, les mesures qu’il est possible de mentionner publiquement (désactivation de comptes, correction de failles connues, déclenchement d’une investigation) de celles qui doivent rester confidentielles (détails techniques des vulnérabilités persistantes, architecture des nouveaux systèmes de détection, etc.).
Q8. LA CONNAISSANCE INTERNE DES RISQUES PAR LE RESPONSABLE DE TRAITEMENT ENGAGE-T-ELLE SA RESPONSABILITÉ DANS LA NOTIFICATION AUX PERSONNES CONCERNÉES ?
Oui, et c’est l’un des enseignements les plus importants de la délibération. La formation restreinte relève avec force que FREE avait identifié les risques dans sa notification initiale à la CNIL et dans ses scripts conseillers — notamment le risque de fraude à l’IBAN, les tentatives d’usurpation d’identité, les scénarios de phishing ciblé — mais ne les avait pas communiqués à ses abonnés dans le courriel d’alerte. Cette asymétrie entre ce que FREE savait et ce qu’il a dit à ses abonnés constitue précisément la caractérisation de la négligence sanctionnée :
« la société a fait preuve de négligence en ne portant pas à la connaissance des personnes concernées, dès le courriel de notification, les risques encourus par ces dernières, ainsi que les mesures qu’elles doivent prendre pour s’en prémunir alors même qu’elle les avait identifiés » (§ 179).
Bonne pratique : principe de symétrie d’information — ce qui est communiqué à la CNIL dans la notification article 33 doit, dans une version accessible et non technique, être également communiqué aux personnes concernées dans la communication article 34. La notification CNIL constitue ainsi le document source à partir duquel la communication abonnés doit être rédigée.
Q9. UN RESPONSABLE DE TRAITEMENT EST-IL FONDÉ À EXCLURE LE RISQUE IBAN AU MOTIF QUE CELUI-CI NE PERMET PAS SEUL D’EFFECTUER UN PRÉLÈVEMENT FRAUDULEUX ?
Non. Cet argument de FREE a été expressément écarté par la formation restreinte. Celle-ci rappelle que « le rapporteur démontre, dans ses écritures, l’existence d’un risque de paiements frauduleux au moyen d’un IBAN usurpé. En effet, une personne mal intentionnée, disposant d’un IBAN usurpé, peut procéder à un paiement frauduleux sur un site web qui propose de valider le mandat de prélèvement SEPA par l’intermédiaire d’une simple case à cocher » (§ 58).
Par ailleurs, le risque IBAN ne se limite pas au prélèvement frauduleux : il couvre également l’usurpation d’identité, l’hameçonnage financier ciblé, les appels frauduleux imitant les conseillers bancaires.
Bonne pratique : dans l’analyse des risques associés à la violation, ne pas minorer les risques liés aux coordonnées bancaires en s’appuyant sur des arguments relatifs aux mécanismes de protection des établissements financiers. L’appréciation du risque doit être conduite au regard des risques potentiels pour les personnes concernées, indépendamment des mécanismes de recours a posteriori.
Q10. QUELLES MESURES UN RESPONSABLE DE TRAITEMENT DOIT-IL DÉPLOYER POUR SÉCURISER LES INTERCONNEXIONS ENTRE SYSTÈMES D’INFORMATION DE DEUX ENTITÉS DISTINCTES D’UN MÊME GROUPE ?
La délibération apporte un enseignement décisif sur ce point. FREE autorisait FREE MOBILE à interroger sa base de données des abonnés fixes via un service web (MOBO → SIEBEL), pour les clients dits « convergents ». La formation restreinte rappelle que « compte tenu de sa qualité de responsable du traitement à l’égard du traitement relatif à la gestion des abonnés fixes, la formation restreinte estime que la société FREE est responsable de la sécurité des données contenues dans sa base de données des abonnés fixes, et donc de l’accès à ces données par la société FREE MOBILE » (§ 57).
La co-appartenance au même groupe n’allège pas les obligations : chaque responsable de traitement demeure comptable de la sécurité de son propre système d’information et des accès qu’il octroie à des tiers — fussent-ils des filiales sœurs.
Bonne pratique : toute interconnexion entre systèmes d’information de deux entités distinctes d’un groupe (partage d’API, services web inter-entités, accès croisés aux bases clients) doit faire l’objet :
—-d’une convention de partage de données précisant les responsabilités respectives ;
—-d’un audit de sécurité de l’interface d’interconnexion ;
—-de mécanismes de surveillance des requêtes reçues via cette interface ;
—-d’une révision périodique des volumes d’accès autorisés.
PARTIE II — QUESTIONS À L’ATTENTION DES PERSONNES CONCERNÉES
Q11. QUELS SONT LES RISQUES CONCRETS SI MON IBAN A ÉTÉ COMPROMIS DANS UNE VIOLATION DE DONNÉES ?
L’IBAN compromis expose à plusieurs risques distincts, que la CNIL a rappelés dans la délibération SAN-2026-002 :
Prélèvement frauduleux : sur certains sites marchands, un mandat de prélèvement SEPA peut être validé par une simple case à cocher, sans vérification d’identité. Un attaquant disposant de votre IBAN peut initier un paiement frauduleux.
Usurpation d’identité ciblée : en combinant IBAN et données d’identité (nom, prénom, date de naissance, adresse), un attaquant peut se faire passer pour vous auprès d’établissements financiers ou de services en ligne.
Hameçonnage financier : vous pouvez recevoir des appels téléphoniques d’une personne se faisant passer pour votre conseiller bancaire et demandant une confirmation d’opération ou la communication d’un code par SMS.
Réflexes à adopter : consulter régulièrement vos relevés de compte bancaire, ne jamais valider une opération non sollicitée, ne jamais communiquer par téléphone ou par courriel vos coordonnées bancaires, signaler toute opération suspecte immédiatement à votre banque et à cybermalveillance.gouv.fr.
Q12. J’AI REÇU UN COURRIEL M’INFORMANT D’UNE VIOLATION DE DONNÉES QUI CONCERNAIT MES INFORMATIONS PERSONNELLES. CE COURRIEL EST-IL SUFFISANT POUR ME PROTÉGER ?
Pas nécessairement. La délibération SAN-2026-002 a précisément sanctionné FREE parce que son courriel de notification était insuffisant : il ne décrivait pas les mesures de remédiation prises, ne détaillait pas les risques spécifiques auxquels les abonnés étaient exposés, et ne fournissait pas de conseils de protection adaptés au contexte (notamment s’agissant du risque IBAN).
Si vous recevez un courriel de notification de violation de données qui vous semble trop vague ou incomplet, vous avez le droit d’obtenir des informations complémentaires :
—-Auprès du responsable de traitement : en contactant son DPO (dont les coordonnées doivent figurer dans le courriel ou sur le site de l’organisme) pour obtenir une description précise des données compromises, des risques identifiés et des mesures prises.
—-Auprès de la CNIL : en déposant une plainte sur le site cnil.fr si vous estimez que la communication reçue ne respecte pas les exigences de l’article 34 du RGPD.
Q13. PUIS-JE OBTENIR UNE INDEMNISATION SI JE SUBIS UN PRÉJUDICE À LA SUITE D’UNE VIOLATION DE DONNÉES ?
Oui, sous réserve d’établir le lien de causalité entre la violation de données et le préjudice subi. L’article 82 du RGPD dispose que « toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi ».
En matière de preuve, la CJUE a précisé que « le responsable du traitement est exonéré de sa responsabilité, au titre de l’article 82, §3, du RGPD, s’il prouve que le fait qui a provoqué le dommage ne lui est nullement imputable » (CJUE, C-340/21). La charge de la preuve de l’exonération pèse sur le responsable de traitement, non sur la personne concernée.
Démarches pratiques : conserver toutes les preuves du préjudice subi (relevés bancaires, copies des courriers frauduleux reçus, captures d’écran de tentatives d’hameçonnage) ; faire constater les opérations frauduleuses par votre banque ; saisir la juridiction civile compétente ou, si votre préjudice est lié à une action collective, vous joindre à une action de groupe.
Q14. COMMENT SAVOIR SI MES DONNÉES PERSONNELLES ONT ÉTÉ COMPROMISES DANS UNE VIOLATION AFFECTANT UN RESPONSABLE DE TRAITEMENT QUI NE M’EN A PAS INFORMÉ ?
Si vous n’avez pas reçu de notification de violation de données mais soupçonnez que vos données ont pu être compromises (par exemple, suite à une médiatisation de la violation), vous pouvez :
—-Contacter directement le DPO du responsable de traitement pour demander si vos données ont été affectées ;
—-Déposer une plainte auprès de la CNIL sur cnil.fr si vous estimez que l’obligation de communication de l’article 34 du RGPD n’a pas été respectée à votre égard ;
—-Consulter le site haveibeenpwned.com pour vérifier si votre adresse électronique figure dans des bases de données compromises connues ;
—-Contacter cybermalveillance.gouv.fr pour obtenir un accompagnement personnalisé.
Q15. QUE DOIS-JE FAIRE SI JE REÇOIS UN APPEL D’UNE PERSONNE SE PRÉSENTANT COMME UN CONSEILLER DE MA BANQUE OU DE MON OPÉRATEUR TÉLÉPHONIQUE APRÈS UNE VIOLATION DE DONNÉES ?
Ne jamais communiquer par téléphone vos identifiants, mots de passe, codes d’authentification à usage unique (OTP), numéro de carte bancaire ou coordonnées bancaires complètes. Aucun conseiller légitime ne vous demandera ces informations de cette façon.
En cas de doute, raccrochez immédiatement et rappelez vous-même votre banque ou votre opérateur en utilisant le numéro officiel figurant sur votre relevé de compte ou sur le site officiel. Signalez l’appel suspect à votre banque et déposez un signalement sur cybermalveillance.gouv.fr. Si vous avez communiqué des informations, alertez immédiatement votre banque pour faire opposition et bloquer les opérations en cours.
POINTS ESSENTIELS
La délibération SAN-2026-002 du 8 janvier 2026 sanctionne la société FREE, opérateur de téléphonie fixe filiale à 100 % du groupe ILIAD, d’une amende de 15 millions d’euros à raison de deux manquements au RGPD caractérisés à la suite d’une cyberattaque ayant compromis, entre le 28 septembre et le 22 octobre 2024, les données personnelles de plus de 5,1 millions de contrats fixes — dont les IBAN des abonnés convergents FREE/FREE MOBILE —, après que l’attaquant se fut introduit dans le VPN de la société FREE MOBILE pour accéder, via l’outil de gestion SIEBEL, à la base de données fixe de FREE sans que celle-ci ne détecte l’intrusion pendant 24 jours, la société n’ayant été alertée que par l’attaquant lui-même.. qui n’avait pas manqué d’alerter aussi la CNIL.
La décision s’inscrit dans un ensemble coordonné avec la délibération SAN-2026-001 sanctionnant FREE MOBILE à hauteur de 27 millions d’euros, portant le total des sanctions CNIL infligées au groupe ILIAD à 42 millions d’euros pour la même violation de données.
25.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats