CNIL | SAN-2026-002 | 08 JANVIER 2026 | AFFAIRE FREE MOBILE ET FREE |
“MERCI FREE !?!” | AVEC FREE, LES HACKERS ONT “TOUT COMPRIS” | “ACCÈS ILLIMITÉ” AUX IBAN DE 24 MILLIONS DE CONTRATS FREE….
ANALYSE CRITIQUE MANQUEMENTS FAQ CONSEILS
La présidente de la CNIL a décidé le 24 juillet 2025 de disjoindre les procédures visant FREE et FREE MOBILE afin d’examiner séparément les manquements propres au système d’information de chaque société. La formation restreinte établit ainsi que « les sociétés FREE et FREE MOBILE répondent chacune des obligations relatives à leur propre système d’information » (§ 26), et que les manquements reprochés à FREE — insuffisance de la sécurisation du VPN de FREE et absence de détection active sur l’outil SIEBEL — sont distincts de ceux imputés à FREE MOBILE.
UNE OBLIGATION DE MOYENS RENFORCÉE ANCRÉE DANS LA JURISPRUDENCE CJUE
Avant de caractériser les manquements, la formation restreinte procède à un cadrage normatif substantiel qui structure l’ensemble du raisonnement. Elle rappelle, en s’appuyant sur l’arrêt CJUE, 14 décembre 2023, Natsionalna agentsia za prihodite, C/2024/1065 (§ 35) et sur l’arrêt CJUE, 25 janvier 2024, C-687/21 (§ 36), que l’obligation de sécurité de l’article 32 du RGPD est une « obligation de moyens » : la survenance d’une violation ne suffit pas à caractériser un manquement ; le responsable de traitement est « tenu d’atténuer les risques de violation des données à caractère personnel, et non d’empêcher toute violation ». L’évaluation du caractère approprié des mesures de sécurité doit être conduite en deux temps : identifier les risques induits par le traitement et leur degré de probabilité et de gravité, puis vérifier si les mesures mises en œuvre sont adaptées à ces risques compte tenu de l’état des connaissances (§ 39, citant CJUE, 14 décembre 2023, C-340/21, point 42).
La société FREE tente de paralyser la procédure en invoquant le principe de légalité des délits et des peines : elle soutient que des recommandations dépourvues de valeur contraignante ne peuvent fonder un manquement sans violer ce principe. La formation restreinte écarte ce moyen en s’appuyant sur la jurisprudence du Conseil d’État selon laquelle le principe de légalité est satisfait lorsque le manquement est « raisonnablement prévisible par les personnes concernées et en tenant compte de leur qualité et des responsabilités qu’elles exercent » (CE, 3 octobre 2018, SFCM, n° 411050 ; § 42), et que la CNIL peut « retenir un manquement à l’article 32 du RGPD, caractérisé à la lumière de ses propres recommandations » (CE, 30 avril 2024, Commune de Beaucaire, n° 472864, pt 11 ; § 45). Elle souligne en outre que FREE « n’est pas la première visée par une procédure de sanction pour un manquement à l’article 32 du RGPD consécutif à une violation de données », en citant les délibérations SAN-2021-020, SAN-2020-014, SAN-2019-005 et SAN-2018-011 (§ 38).
Sur l’évaluation concrète des risques du traitement, la formation restreinte réfute l’argument de FREE selon lequel la compromission des IBAN ne présenterait pas de risque particulier dès lors qu’un IBAN seul ne permettrait pas de réaliser un prélèvement frauduleux (§ 50). Elle démontre factuellement qu’« une personne mal intentionnée, disposant d’un IBAN usurpé, peut procéder à un paiement frauduleux sur un site web qui propose de valider le mandat de prélèvement SEPA par l’intermédiaire d’une simple case à cocher » (§ 58), et s’appuie sur le GIP Cybermalveillance pour rappeler que l’hameçonnage est « la menace prédominante en France » (§ 59). Elle écarte également l’argument tenant à la recrudescence des violations de données pour décharger FREE : « l’existence d’autres violations de données n’est en tout état de cause pas de nature à décharger la société de son obligation » (§ 60).
L’INSUFFISANCE DE LA SÉCURISATION DU CANAL VPN
La formation restreinte rappelle le socle normatif applicable au nomadisme numérique, c’est-à-dire à l’accès distant au système d’information depuis des lieux non maîtrisés par l’entité. Elle s’appuie sur les recommandations ANSSI de 2018 sur le nomadisme numérique (§ 65-73), qui identifient trois niveaux d’authentification obligatoires — authentification de l’utilisateur sur le poste nomade, du poste nomade sur le SI via un certificat machine, et de l’utilisateur sur le SI — et sur le Guide CNIL de la sécurité des données personnelles de mars 2024 qui recommande de « privilégier l’authentification multi facteur lorsque cela est possible, en particulier lorsque la connexion est accessible depuis l’extérieur du réseau » (§ 74). La formation restreinte synthétise : « il revient au responsable de traitement de déployer des mesures permettant de garantir que, tant la personne qui se connecte, que la machine qu’elle utilise, bénéficient des autorisations nécessaires pour se connecter aux ressources internes » (§ 83).
Les vulnérabilités spécifiques du VPN de FREE sont occultées dans la version publiée de la délibération (§ 78-94). En défense, la société soutient avoir déployé des « mesures de sécurité suffisamment robustes » pour l’authentification des utilisateurs et de leurs postes lors de la connexion au VPN (§ 77). La formation restreinte écarte ces arguments et retient le manquement, en relevant que la société a entamé le déploiement de mesures correctives en cours de procédure, ce qui démontre a contrario l’insuffisance de l’état initial. Elle souligne que « la connexion au VPN par des postes qui n’appartiennent pas au parc informatique de l’entité présente un risque pour son SI dès lors qu’elle ne maîtrise pas les mesures de sécurité mises en œuvre sur ces équipements » (§ 85), en renvoyant au principe de défense en profondeur de l’ANSSI — formulé dès le Mémento du 19 juillet 2004 — qui impose que « toute faille de sécurité potentielle d’un composant logiciel doit être compensée par au moins un second niveau de sécurité » (§ 62).
L’ABSENCE DE DÉTECTION ACTIVE DES COMPORTEMENTS ANORMAUX SUR SIEBEL
Ce volet constitue l’apport jurisprudentiel le plus substantiel de la délibération. La formation restreinte s’appuie sur la recommandation CNIL n° 2021-122 du 14 octobre 2021 relative à la journalisation, qui rappelle que la journalisation doit être « essentiellement “active” » et reposer sur une « exploitation en temps réel ou à court terme » pour détecter des opérations anormales (§ 97), et sur les recommandations ANSSI du 28 janvier 2022 sur l’architecture d’un système de journalisation, qui font de la journalisation le « prérequis indispensable à la mise en œuvre d’une capacité de détection » (§ 98). Elle en tire la règle générale : « la simple collecte des données de journalisation ne suffit pas à sécuriser un système d’information » (§ 99). Elle s’appuie également sur les lignes directrices 9/2022 du CEPD sur la notification de violations, qui consacrent la « capacité de détecter une violation » comme « élément essentiel » de la sécurité (§ 101).
La démonstration factuelle est précise et convaincante. La formation restreinte relève que FREE autorisait FREE MOBILE à accéder, via MOBO, à sa base de données fixes pour les clients convergents, l’outil renvoyant l’IBAN en intégralité en raison d’une « anomalie technique liée à l’outil MOBO » (§ 105). Elle identifie trois insuffisances cumulatives propres au dispositif de FREE : (i) l’attaquant a accédé aux données convergentes « pendant presque un mois, sans qu’une alerte ne soit émise » (§ 109) ; (ii) une exfiltration massive le 15 octobre 2024 « ne pouvait pas rester inaperçue » mais n’a ni déclenché d’alerte, ni entraîné un blocage du compte à l’origine des requêtes » (§ 110) ; (iii) l’outil SIEBEL se bornait à émettre des rapports d’activité nécessitant une intervention humaine pour déclencher une mesure corrective, ce que la formation restreinte qualifie de « non approprié », en indiquant qu’« un blocage automatique aurait été une mesure adaptée pour compléter le dispositif » (§ 114).
En défense, FREE invoque l’existence d’un dispositif de surveillance avec rapports d’activité destinés au RSSI et le déploiement de mesures correctives dès le 28 octobre 2024, puis d’un centre opérationnel de sécurité (SOC) en cours de procédure (§ 103-104). La formation restreinte écarte ces arguments : quel que soit l’état déclaré du dispositif, il n’a pas permis de détecter l’attaque pendant près d’un mois. Elle conclut que FREE « n’avait pas déployé les moyens suffisants pour être en mesure de détecter les activités suspectes sur son outil de gestion de ses abonnés » (§ 116). La mise en conformité acquise en cours de procédure écarte toute injonction sur ce manquement spécifique (§ 117).
UNE NOTIFICATION INSUFFISANTE DANS SON CONTENU
La formation restreinte rappelle la structure de l’obligation de communication au titre de l’article 34 du RGPD, telle que précisée par les lignes directrices du CEPD du 28 mars 2023 : deux niveaux d’information distincts, le premier obligatoire comportant les informations essentielles, le second facultatif comportant des informations complémentaires, le second ne pouvant se substituer au premier (§ 135). Elle reconnaît que la forme retenue par FREE — courriel initial suivi d’un numéro vert et d’un dispositif de ticket DPO — est conforme aux exigences du règlement (§ 137). Elle concentre sa critique sur le fond du courriel initial, en retenant deux insuffisances distinctes.
La première insuffisance porte sur la description des mesures correctives. La formule retenue par FREE — « toutes les mesures nécessaires ont été prises immédiatement pour mettre fin à cette attaque et renforcer la protection de nos systèmes d’information » — est qualifiée de « trop générale et abstraite » pour satisfaire à l’obligation légale de « décrire » les mesures prises au sens de l’article 33, §3, point d) (§ 141). La formation restreinte précise que FREE aurait, « sans mettre en danger son système d’information », pu indiquer que « les comptes compromis ont été révoqués, les vulnérabilités liées à son outil métier corrigées, l’accès aux données à caractère personnel renforcé » (§ 143). L’argument de la confidentialité des mesures de sécurité ne saurait justifier l’absence de toute description, fût-elle synthétique et expurgée des détails sensibles.
La seconde insuffisance porte sur l’information relative aux risques et aux mesures de protection. La mention du « risque d’emails, SMS ou appels frauduleux » est « trop vague » pour permettre aux personnes de comprendre les risques et d’adopter les réflexes adaptés (§ 145). Or, FREE avait précisément identifié ces risques — usurpation d’identité, fraude bancaire, hameçonnage ciblé — dans les scripts de réponses fournis à ses conseillers téléphoniques, sans les transmettre dans le courriel initial. La formation restreinte ajoute que les personnes dont les IBAN avaient été compromis auraient dû recevoir une information « spécifique » sur les risques de prélèvement frauduleux SEPA (§ 148), imposant de fait une personnalisation de la notification selon la nature des données compromises.
La formation restreinte réfute par ailleurs le moyen de FREE tiré de la médiatisation de la violation par la CNIL comme facteur d’inflation des plaintes. Après une analyse minutieuse des publications de la Commission (§ 149-188), elle établit que ses communications s’inscrivaient dans l’obligation légale d’information des auteurs de réclamations (article 8-I-2-d) de la loi Informatique et Libertés), ne comportaient aucune information couverte par le secret de l’enquête, et que la grande majorité des plaintes avait été reçue avant la communication de la CNIL du 28 janvier 2025 (§ 149, 185-187).
LE REJET DU PRINCIPE NON BIS IN IDEM ET LA NOTION D’UNITÉ ÉCONOMIQUE
La société FREE soutient que le rapporteur sanctionne deux fois les mêmes faits en retenant des manquements à l’encontre de FREE et FREE MOBILE sur la base des mêmes constats (§ 161). La formation restreinte réfute ce moyen au regard de l’article 50 de la Charte des droits fondamentaux de l’UE et de la jurisprudence CJUE, 7 janvier 2004, Aalborg Portland, C-204/00 P (§ 163-164) : deux personnes morales distinctes sont sanctionnées pour des faits distincts — des vulnérabilités propres à chaque système d’information —, de sorte que « le principe “non bis in idem” [n’est] pas méconnu en sanctionnant deux personnes morales distinctes pour des faits distincts, ayant touché pour partie les mêmes données » (§ 166).
Sur la base de calcul de l’amende, la formation restreinte confirme, en s’appuyant sur l’arrêt CJUE, grande chambre, 5 décembre 2023, C-807/21 (Deutsche Wohnen) et l’arrêt CJUE, cinquième chambre, 13 février 2025, C-383/23 (§ 192-195), que la notion d’« entreprise » au sens de l’article 83 du RGPD désigne une « unité économique, même si du point de vue juridique cette unité économique est constituée de plusieurs personnes morales ». FREE étant détenue à 100% par ILIAD, la présomption réfragable d’influence déterminante s’applique et le chiffre d’affaires annuel mondial du groupe ILIAD (10,024 milliards d’euros en 2024) constitue la base de référence pour la détermination du montant maximal de l’amende.
POINTS ESSENTIELS
27.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats