CNIL | SAN-2026-002 | 08 janvier 2026 | Affaire FREE MOBILE et FREE | MANQUEMENTS

CADRE GÉNÉRAL DES MANQUEMENTS RETENUS

---

A. LA QUALIFICATION DE L’OBLIGATION DE SÉCURITÉ COMME OBLIGATION DE MOYENS

 

La société FREE a d’abord soutenu que l’obligation de sécurité prévue à l’article 32 du RGPD constituerait une simple obligation de moyens, de telle sorte que la seule survenance d’une violation de données ne saurait caractériser un manquement (§ 32). La formation restreinte a rappelé, en s’appuyant sur la jurisprudence de la CJUE, que le RGPD instaure effectivement un régime de gestion des risques et ne prétend pas éliminer toute violation :

« La CJUE a retenu que la référence, figurant à l’article 32, paragraphes 1 et 2, du RGPD, à “un niveau de sécurité adapté au risque” et à un “niveau de sécurité approprié” témoigne de ce que ce règlement instaure un régime de gestion des risques et qu’il ne prétend nullement éliminer les risques de violations des données à caractère personnel. » (§ 35)

« Ainsi, la seule circonstance qu’une violation de données à caractère personnel est survenue n’implique pas, à elle seule, que les mesures mises en œuvre étaient inadaptées, ni qu’elles n’ont pas été appliquées, ni que le responsable du traitement n’a pas rempli son obligation de moyens […] » (§ 39)

Pour autant, cette reconnaissance de l’obligation de moyens ne conduit pas à exonérer le responsable de traitement dès lors que des défaillances concrètes sont identifiées dans les mesures déployées. La formation restreinte souligne, en citant la CJUE, que l’appréciation doit se faire en deux temps :

« La CJUE a également retenu que l’article 32, paragraphes 1 et 2, du RGPD, implique une appréciation en deux temps, consistant 1. à identifier les risques inhérents au traitement des données à caractère personnel et 2., à évaluer la gravité et la probabilité de la réalisation de ces risques. » (§ 39)

C’est précisément dans cette seconde phase — la vérification de l’adéquation concrète des mesures — que la formation restreinte identifie les manquements de FREE.

---

B. LE REJET DU MOYEN TIRÉ DE LA LÉGALITÉ DES DÉLITS ET DES PEINES

 

La société a également invoqué le principe de légalité des délits et des peines, en soutenant que l’article 32 du RGPD, faute de préciser les mesures à mettre en œuvre, ne permettrait pas de fonder une sanction sur la base de simples recommandations techniques de la CNIL ou de l’ANSSI (§ 33). Elle a suggéré que la formation restreinte substituait de facto ses recommandations à la loi, en violation des principes constitutionnels rappelés notamment par la décision du Conseil constitutionnel n° 88-248 DC du 17 janvier 1989.

La formation restreinte a rejeté ce moyen en rappelant une jurisprudence constante du Conseil d’État :

« Le Conseil d’État a jugé que le principe de légalité des délits et des peines n’imposait pas qu’une loi définisse avec une précision absolue tous les éléments constitutifs de l’infraction (CE, 9 octobre 1996, n° 170363, Société Prigest ; CE, 12 octobre 2009, M. P.) et que l’exigence de clarté de la loi ne peut s’apprécier qu’au regard de la capacité qu’ont les personnes auxquelles la norme est applicable de connaître précisément la portée de celle-ci, eu égard à leur qualité ou à leur activité. » (§ 42)

« La formation restreinte relève que le Conseil d’État a jugé que la sanction infligée à la société Total Raffinage Marketing pour méconnaissance de l’obligation de sécurité, telle que précisée dans les recommandations de la CNIL, n’était pas contraire au principe de légalité des délits et des peines […] » (§ 45, citant CE, 11 mars 2015, Total Raffinage Marketing, n° 368748).

Elle insiste en outre sur la qualité de l’opérateur : FREE est un acteur majeur du secteur des télécommunications, disposant de moyens humains, techniques et financiers importants (§ 46). Il lui incombait de connaître et d’appliquer l’état de l’art tel qu’exprimé par les textes, les recommandations de la CNIL et les guides de l’ANSSI. Dès lors, les exigences formulées dans la décision étaient raisonnablement prévisibles pour un opérateur de cette taille, ce qui suffit à satisfaire le principe de légalité.

---

MANQUEMENT À L’ARTICLE 32 DU RGPD : OBLIGATION DE SÉCURITÉ

---

A. PORTÉE DE L’OBLIGATION ET RISQUES INHÉRENTS AU TRAITEMENT

 

1. LA NATURE DES DONNÉES ET LA VOLUMÉTRIE DU TRAITEMENT

La formation restreinte commence par qualifier la nature des données traitées et la volumétrie du traitement. La base de données des abonnés fixes de FREE comporte des données d’identité, de contact, contractuelles et bancaires (IBAN) pour des millions de clients. Les données exfiltrées à partir de l’outil SIEBEL, via le service web accessible depuis MOBO, concernent 24 633 469 contrats, dont 5 172 577 contrats fixes attribués à FREE (§ 20).

Les IBAN, en particulier, sont regardés par la formation restreinte comme des données hautement personnelles, même si elles ne constituent pas, en elles-mêmes, des données de catégorie particulière au sens de l’article 9 du RGPD. La formation restreinte rappelle que la compromission d’un IBAN permet des prélèvements frauduleux :

« Une personne mal intentionnée, disposant d’un IBAN usurpé, peut procéder à un paiement frauduleux sur un site web qui propose de valider le mandat de prélèvement SEPA par l’intermédiaire d’une simple case à cocher. » (§ 58)

Elle souligne également, en se fondant sur les constats de l’ANSSI et de cybermalveillance.gouv.fr, la prévalence de la menace d’hameçonnage reposant sur l’utilisation de données d’identité et de contact (§§ 59-60). Le risque est donc double : fraude financière et usurpation d’identité.

2. LES RISQUES IDENTIFIÉS PAR FREE ELLE-MÊME

La formation restreinte relève que la société FREE avait elle-même identifié, avant la violation, des risques importants liés au traitement. Les analyses internes de risque et les documents préparatoires à la gestion de crise mentionnaient déjà la possibilité de prélèvements frauduleux via des IBAN usurpés et les menaces d’hameçonnage ciblé (§ 61). Ce point est déterminant : il démontre que la société avait conscience de la nature des risques auxquels ses clients étaient exposés, ce qui aggrave son appréciation de la négligence ultérieure dans le déploiement des mesures de sécurité et dans la communication aux personnes.

---

B. GRIEF N° 1 : INSUFFISANCE DE LA SÉCURISATION DU CANAL D’INTERCONNEXION VPN

 

1. CONSTATS TECHNIQUES DE LA CNIL

La délégation de contrôle a constaté que l’accès au réseau de la société FREE s’effectuait via un VPN. Or, certains postes ne disposaient pas de certificat machine, de sorte que des équipements non maîtrisés pouvaient se connecter au VPN, dès lors que l’utilisateur disposait d’identifiants valides (§ 69).

La formation restreinte rapproche ce constat des recommandations de l’ANSSI en matière de nomadisme numérique :

« L’ANSSI rappelle qu’en fonction des moyens d’authentification mis en œuvre sur le poste nomade, un attaquant peut tenter d’usurper l’identité de l’utilisateur ou celle du poste nomade. Dès lors, il est important d’utiliser des mécanismes robustes d’authentification pour la mise en place du canal d’interconnexion d’un poste nomade. » (§ 70)

« L’ANSSI recommande depuis 2018 d’authentifier le poste nomade d’un utilisateur sur un système d’information au moyen d’un certificat machine, qui est lié au poste nomade et non pas à l’utilisateur de celui-ci. » (§ 73)

La CNIL rappelle également que, dans son guide de mars 2024, elle recommande de « privilégier l’authentification multi facteur lorsque cela est possible, en particulier lorsque la connexion est accessible depuis l’extérieur du réseau de l’organisme » (§ 74). Ensemble, ces éléments dessinent le standard exigé pour un accès VPN exposant des données à grande échelle : un contrôle conjoint de l’utilisateur (MFA) et du poste (certificat machine).

2. DÉFENSE DE LA SOCIÉTÉ FREE

La société FREE a fait valoir que le vecteur d’attaque effectivement exploité par le pirate n’était pas le VPN de FREE, mais celui de FREE MOBILE (§ 76). Elle en a déduit qu’aucun manquement à l’article 32 ne pouvait lui être reproché sur ce point, puisque la vulnérabilité constatée n’avait pas été exploitée dans le cas d’espèce.

La formation restreinte a écarté cet argument en rappelant que l’appréciation de l’article 32 ne se limite pas aux seules vulnérabilités effectivement exploitées, mais porte sur l’ensemble des mesures techniques et organisationnelles appropriées au regard des risques. Le fait qu’une vulnérabilité n’ait pas été utilisée par l’attaquant ne l’empêche pas de constituer une défaillance de sécurité sanctionnable (cf. déjà SAN-2026-003, France Travail, § 85 et s.).

3. MOTIVATION DE LA FORMATION RESTREINTE

La formation restreinte retient que FREE aurait dû, au regard de la nature des données et de la volumétrie du traitement, généraliser le recours au certificat machine pour tous les postes se connectant à son VPN et déployer une authentification multifacteur pour ces accès :

« En ne rendant pas systématique l’utilisation d’un certificat machine pour l’accès au VPN et l’authentification multifacteur pour cet accès, la société FREE n’a pas mis en œuvre les mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté au risque, au sens de l’article 32 du RGPD. » (synthèse du grief, §§ 71-75)

Toutefois, la formation restreinte tient compte du fait que cette vulnérabilité n’a pas été exploitée dans la violation de données en cause. Elle ne fonde pas, à elle seule, le quantum de l’amende, mais constitue un indice d’une posture de sécurité insuffisante, qui vient s’ajouter au second grief.

---

C. GRIEF N° 2 : INSUFFISANCE DU DISPOSITIF DE DÉTECTION ET DE RÉACTION SUR L’OUTIL SIEBEL

 

1. CONSTAT D’UNE JOURNALISATION PASSIVE

Le second grief — et le plus déterminant — réside dans l’absence de capacité de détection active des comportements anormaux sur l’outil SIEBEL, qui a permis à l’attaquant d’exfiltrer massivement des données sans être détecté. La formation restreinte se fonde sur la recommandation CNIL n° 2021-122 du 14 octobre 2021 relative à la journalisation, qui distingue clairement la collecte des journaux de leur exploitation pour la détection :

« Cette sécurisation est essentiellement « active » : elle repose sur une exploitation en temps réel ou à court terme de ces données pour détecter des opérations anormales afin de parer des attaques ou intrusions, ou de remédier rapidement à un incident informatique en facilitant l’identification du problème. Une simple journalisation passive, non exploitée, ne suffit pas. » (§ 97)

Il ressort des constats de la délégation que l’outil SIEBEL générait des rapports d’activité à destination du RSSI, mais que l’analyse et la réaction reposaient sur une intervention humaine, sans blocage automatique des comptes en cas d’anomalie (§ 108).

La formation restreinte note que le 15 octobre 2024, l’attaquant a pu exfiltrer les données d’un nombre très important de contrats fixes en une seule journée, sans émission d’alerte bloquante :

« À titre d’exemple, la formation restreinte note que, le 15 octobre 2024, l’attaquant a pu exfiltrer les données d’environ […] de contrats fixes, sans que ce comportement n’émette d’alerte ou, à supposer qu’une alerte ait bien été émise, sans que celle-ci n’entraîne un blocage du compte à l’origine des requêtes. » (§ 110)

2. DÉFENSE DE LA SOCIÉTÉ FREE

La société a fait valoir qu’elle disposait bien d’un dispositif de journalisation et que des rapports étaient produits pour le RSSI, lequel avait la capacité de détecter des comportements suspects et de prendre les mesures nécessaires (§ 111). Elle a également soutenu qu’elle avait, dans un délai raisonnable, pris des mesures correctrices et mis en place un système de détection renforcé après la violation.

3. MOTIVATION DE LA FORMATION RESTREINTE

La formation restreinte considère que ces mesures sont insuffisantes au regard de l’état de l’art. Elle reproche à FREE de ne pas avoir mis en place des mécanismes automatisés de détection et de blocage, capables d’identifier en temps réel des activités anormales telles que des extractions massives de données, des volumes de requêtes anormaux ou des comportements de type script.

« La formation restreinte estime que ces conditions n’étaient pas appropriées et qu’un blocage automatique aurait été une mesure adaptée pour compléter le dispositif mis en place. En particulier, le dispositif aurait dû prévoir des seuils de volumétrie ou de fréquence de requêtes au-delà desquels le compte à l’origine des requêtes est automatiquement suspendu dans l’attente d’une vérification. » (§ 114)

Elle s’appuie, en outre, sur les recommandations de l’ANSSI en matière de journalisation, qui insistent sur la nécessité d’une analyse continue des journaux et de la génération d’alertes en cas de comportement suspect (§ 98). La mise en œuvre de ces mécanismes aurait été particulièrement justifiée eu égard à la nature des données (identité, coordonnées, IBAN) et au nombre de personnes concernées.

La formation restreinte relève néanmoins que FREE a pris des mesures correctrices substantielles après la violation, notamment le déploiement d’un système de détection en temps réel et la mise en place d’un centre opérationnel de sécurité (SOC) (§§ 113, 115). Elle en tire la conséquence qu’il n’y a pas lieu, sur ce point, de prononcer une injonction, mais constate le manquement pour la période antérieure au déploiement du nouveau dispositif.

D. CONCLUSION SUR LE MANQUEMENT À L’ARTICLE 32

La formation restreinte conclut que, compte tenu de la nature des données, de la volumétrie du traitement, des risques identifiés et de l’état de l’art, la société FREE n’a pas mis en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, en violation de l’article 32 du RGPD. Ce manquement repose sur deux ensembles de défaillances : la non-généralisation de mécanismes robustes d’authentification pour l’accès au VPN (MFA et certificat machine) et l’absence de détection active et de blocage automatique des comportements anormaux sur l’outil SIEBEL.

La formation restreinte insiste sur le fait que, dans un contexte de recrudescence des cyberattaques, les responsables de traitement doivent élever leur niveau de vigilance et de protection :

« Le contexte de recrudescence de cyberattaques nécessite une attention particulière des responsables du traitement pour assurer la sécurité des données qu’ils traitent. » (§ 173)

---

MANQUEMENT À L’ARTICLE 34 DU RGPD : DÉFAILLANCES DANS LA COMMUNICATION AUX PERSONNES CONCERNÉES

---

A. CADRE JURIDIQUE ET FINALITÉ DE L’ARTICLE 34

 

L’article 34, §1, du RGPD impose au responsable de traitement de communiquer la violation de données aux personnes concernées « dans les meilleurs délais » lorsque cette violation est « susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique ». Le §2 renvoie aux informations mentionnées à l’article 33, §3, points b), c) et d) :

—-les coordonnées du DPO ou du point de contact ;
—-la description des conséquences probables de la violation ;
—-la description des mesures prises ou proposées pour remédier à la violation, y compris les mesures pour en atténuer les éventuelles conséquences négatives.

La formation restreinte se réfère aux lignes directrices 9/2022 du CEPD sur la notification des violations, qui rappellent que l’objectif principal de l’article 34 est d’aider les personnes concernées à « comprendre la nature de la violation ainsi que les mesures qu’elles peuvent mettre en place pour se protéger » (§ 129).

---

B. ORGANISATION DE LA COMMUNICATION MISE EN PLACE PAR FREE

 

La société FREE, conjointement avec FREE MOBILE, a communiqué aux personnes concernées par courriel entre les 24 et 29 octobre 2024. Elle a mis en place un numéro vert et un dispositif de gestion des demandes (« ticket DPO ») permettant un deuxième niveau d’information (§ 123). La formation restreinte considère que cette architecture à deux niveaux est, en principe, conforme aux exigences de l’article 34 : un premier niveau standardisé par courriel, complété par un second niveau personnalisé via des canaux dédiés (§ 137).

Le contenu du courriel initial a toutefois été jugé insuffisant sur plusieurs points.

---

C. GRIEF N° 3 : INSUFFISANCES DU CONTENU DU COURRIEL D’INFORMATION INITIAL

 

1. DESCRIPTION LACUNAIRE DES MESURES PRISES POUR REMÉDIER À LA VIOLATION

Le courriel adressé aux abonnés contenait la formule suivante :

« Toutes les mesures nécessaires ont été prises immédiatement pour mettre fin à cette attaque et renforcer la protection de nos systèmes d’information. » (§ 140)

La formation restreinte considère que cette formulation est trop générale et abstraite pour satisfaire à l’exigence de description prévue à l’article 33, §3, d) :

« La formation restreinte estime dès lors que, sans mettre en danger son système d’information, ni celui de la société FREE MOBILE, la société FREE aurait dû “décrire”, même brièvement, dans des termes simples, les principales mesures correctives prises pour remédier à la violation de données en cause. » (§ 141)

Elle indique que FREE aurait notamment dû préciser que :

« les comptes compromis ont été révoqués, les vulnérabilités liées à son outil métier corrigées, l’accès aux données à caractère personnel renforcé. » (§ 143)

2. INSUFFISANCE DE LA DESCRIPTION DES CONSÉQUENCES PROBABLES

Le courriel évoquait uniquement le « risque d’emails, SMS ou appels frauduleux ». La formation restreinte estime que cette formulation ne reflète pas l’ensemble des risques identifiés par la société elle-même :

« La formation restreinte considère que la société ne peut se borner à évoquer le risque d’emails, SMS ou appels frauduleux alors qu’elle avait identifié d’autres risques, notamment l’utilisation des données à des fins de prélèvements frauduleux, de tentatives d’usurpation d’identité ou de mise en place de processus d’hameçonnage sophistiqués. » (§ 147)

Elle relève que la société avait, dans les scripts de réponse préparés pour ses centres d’appel, détaillé ces risques pour les conseillers, ce qui démontre qu’elle disposait des éléments nécessaires pour les résumer dans le courriel initial (§ 146).

3. ABSENCE D’INFORMATION SPÉCIFIQUE SUR LE RISQUE LIÉ AUX IBAN

La formation restreinte insiste particulièrement sur le traitement des IBAN. Alors même que la violation a conduit à la compromission d’IBAN d’abonnés convergents, le courriel ne comportait aucune information spécifique sur ce risque, ni sur les mesures à prendre :

« La formation restreinte estime que la société aurait dû alerter spécifiquement sur les risques d’exploitation frauduleuse de coordonnées bancaires, rassurer sur le fait que les établissements bancaires en avaient été informés et inviter les personnes concernées à consulter régulièrement leur compte bancaire et à rester vigilantes en cas d’appels frauduleux d’une personne se faisant passer pour un conseiller bancaire. » (§ 148)

Ce manquement est particulièrement aggravant, car FREE avait précisément identifié ce risque dans ses documents internes, comme en témoignent les échanges avec les établissements bancaires et les scripts d’information.

---

D. DÉFENSE DE LA SOCIÉTÉ FREE SUR L’ARTICLE 34

 

La société FREE a fait valoir plusieurs arguments :

1. Impossibilité d’entrer dans un niveau de détail trop important dans un courriel de masse, au risque de provoquer une panique généralisée ou de livrer des informations susceptibles d’être exploitées par des fraudeurs ;
2. Existence d’un deuxième niveau d’information via le numéro vert et le dispositif de ticket DPO, permettant aux personnes qui le souhaitaient d’obtenir des informations complémentaires ;
3. Difficulté d’anticiper les comportements futurs des attaquants, de sorte que la description des risques ne pourrait être que générale et prudente.

La formation restreinte rejette ces arguments. Elle rappelle que la finalité de l’article 34 est de permettre aux personnes d’adapter leur comportement pour se protéger, ce qui exige un niveau de précision suffisant. Elle souligne que les informations supplémentaires, loin d’être spéculatives, étaient déjà en possession de la société au moment de l’envoi des courriels, comme en attestent les scripts et les échanges avec les banques.

Enfin, elle considère que le second niveau d’information ne peut compenser les insuffisances du premier niveau : le fait de renvoyer les personnes vers un numéro vert ne dispense pas le responsable de traitement de fournir, dès le premier contact, un socle minimal d’informations complètes et utiles.

---

E. CONCLUSION SUR LE MANQUEMENT À L’ARTICLE 34

 

La formation restreinte conclut que la société FREE a manqué à ses obligations au titre de l’article 34 du RGPD en ce que :

—-le contenu du courriel d’information initial était trop général s’agissant des mesures prises pour remédier à la violation ;
—-il était incomplet s’agissant de la description des conséquences probables de la violation, notamment en omettant des risques pourtant identifiés par la société elle-même ;
—-il ne comportait aucune information spécifique pour les personnes dont les IBAN avaient été compromis.

Ce manquement est d’autant plus grave que le nombre de personnes concernées est considérable (plus de 5 millions d’abonnés fixes), que les données bancaires exfiltrées présentent un risque financier direct, et que le nombre de plaintes reçues par la CNIL (2 614) témoigne de l’inquiétude suscitée par la violation (§ 175).

---

APPRÉCIATION DU QUANTUM DE LA SANCTION AU REGARD DES MANQUEMENTS

---

A. CRITÈRES PRIS EN COMPTE AU TITRE DE L’ARTICLE 83 DU RGPD

 

Pour fixer le montant de l’amende à 15 millions d’euros, la formation restreinte se réfère à l’article 83 du RGPD. Elle prend notamment en compte :

—-La nature, la gravité et la durée de la violation (art. 83, §2, a) : violation ayant duré près d’un mois, portant sur plus de 24 millions de contrats, dont des données bancaires ;
—-Le caractère négligent de la violation (art. 83, §2, b) : FREE avait identifié les risques et disposait de recommandations internes plus précises que celles transmises aux personnes ;
—-Les catégories de données concernées (art. 83, §2, g) : données d’identité, de contact, contractuelles, et IBAN ;
—-Le nombre de personnes concernées et de plaintes : 2 614 plaintes, chiffre qualifié de « sans précédent » (§ 175).

La formation restreinte retient également, pour l’appréciation du plafond et de la proportionnalité de la sanction, la notion d’« entreprise » au sens du droit de la concurrence, considérant que FREE forme avec ILIAD une unité économique dont le chiffre d’affaires consolidé (10,024 milliards d’euros) constitue la base de référence (§§ 192-195).

---

B. ARTICULATION DE LA SANCTION AVEC CELLE PRONONCÉE CONTRE FREE MOBILE

 

La société FREE a soutenu que la sanction prononcée à son encontre, combinée à celle prononcée contre FREE MOBILE (SAN-2026-001, 27 millions d’euros), conduisait à une double peine contraire au principe non bis in idem. La formation restreinte répond que les manquements imputés à chaque société sont distincts et que chaque décision prend en considération des faits qui lui sont propres :

« En l’espèce, la formation restreinte relève que les manquements retenus à l’encontre de la société FREE MOBILE concernent les traitements mis en œuvre par cette dernière à l’égard de ses abonnés, alors que les manquements reprochés à la société FREE concernent les traitements mis en œuvre à l’égard de ses abonnés fixes. Ces faits et leur imputation sont distincts de ceux imputés à la société FREE MOBILE. » (§ 165)

La formation restreinte confirme ainsi la possibilité de prononcer, au niveau d’un groupe, deux sanctions cumulatives pour un incident de sécurité unique, dès lors que les manquements caractérisés et les systèmes d’information en cause sont différenciés.

---

CONTEXTUALISATION AU REGARD DE LA JURISPRUDENCE ANTÉRIEURE ET POSTÉRIEURE

---

A. CONTINUITÉ AVEC LES DÉCISIONS ANTÉRIEURES DE LA CNIL SUR L’ARTICLE 32

 

La décision SAN-2026-002 s’inscrit naturellement dans la continuité des précédentes décisions de la CNIL qui ont sanctionné des manquements à l’article 32 du RGPD à la lumière de recommandations techniques : SAN-2018-011, SAN-2019-005, SAN-2020-014, SAN-2021-020. Dans chacune de ces affaires, la formation restreinte a considéré que l’insuffisance des mesures de sécurité, appréciée au regard de l’état de l’art et des recommandations de la CNIL ou de l’ANSSI, pouvait être sanctionnée indépendamment de la survenance d’une violation ou de son exploitation effective.

La nouveauté de SAN-2026-002 tient à l’importance de la détection active et du blocage automatique dans la qualification du manquement à l’article 32. Là où les précédentes décisions se concentraient davantage sur des aspects de robustesse des mots de passe, de chiffrement ou de gestion des habilitations, la présente décision met sur le même plan l’obligation de surveiller activement les systèmes et de réagir automatiquement aux anomalies.

---

B. CONVERGENCE AVEC LA JURISPRUDENCE SAN-2026-001 ET SAN-2026-003

 

La décision SAN-2026-002 doit être lue en articulation avec :

—-SAN-2026-001 (FREE MOBILE) : qui sanctionne, outre des manquements à l’article 32, un manquement à l’article 5-1-e (durée de conservation excessive) et consacre avec force la nécessité de l’authentification multifacteur pour les accès distants à des données sensibles ou volumétriques ;
—-SAN-2026-003 (FRANCE TRAVAIL) : qui renforce l’exigence d’authentification multifacteur dans un contexte de traitement de données de santé à grande échelle et développe la logique de défense en profondeur.

Ces décisions convergent pour dessiner un socle minimal non négociable de sécurité pour les traitements à grande échelle : MFA pour les accès distants, journalisation active et détection, blocage automatique en cas d’anomalie, et gouvernance de sécurité à l’échelle de l’organisation (voire du groupe).

---

C. PORTÉE DOCTRINALE EN MATIÈRE DE COMMUNICATION AUX PERSONNES (ARTICLE 34)

 

Sur le terrain de l’article 34, la décision SAN-2026-002 vient durcir la lecture des obligations de communication. Là où des décisions antérieures pouvaient se satisfaire de communications relativement génériques, la formation restreinte exige désormais un contenu substantiel, personnalisé au regard de la nature des données et des risques identifiés. La décision constitue à cet égard un point de référence pour l’ensemble des responsables de traitement appelés à notifier des violations de données.

---

 
 
 

---

POINTS ESSENTIELS

---

La délibération SAN-2026-002 du 8 janvier 2026 sanctionne la société FREE, opérateur de téléphonie fixe filiale à 100 % du groupe ILIAD, d’une amende de 15 millions d’euros à raison de deux manquements au RGPD caractérisés à la suite d’une cyberattaque ayant compromis, entre le 28 septembre et le 22 octobre 2024, les données personnelles de plus de 5,1 millions de contrats fixes — dont les IBAN des abonnés convergents FREE/FREE MOBILE —, après que l’attaquant se fut introduit dans le VPN de la société FREE MOBILE pour accéder, via l’outil de gestion SIEBEL, à la base de données fixe de FREE sans que celle-ci ne détecte l’intrusion pendant 24 jours, la société n’ayant été alertée que par l’attaquant lui-même.. qui n’avait pas manqué d’alerter aussi la CNIL.

La décision s’inscrit dans un ensemble coordonné avec la délibération SAN-2026-001 sanctionnant FREE MOBILE à hauteur de 27 millions d’euros, portant le total des sanctions CNIL infligées au groupe ILIAD à 42 millions d’euros pour la même violation de données.