Le 8 janvier 2026, la formation restreinte de la CNIL a rendu deux délibérations distinctes sanctionnant les sociétés Free Mobile et Free à hauteur de 27 millions et 15 millions d’euros. Au-delà du montant cumulé de 42 millions d’euros, ces décisions appellent une lecture plus structurante pour les juristes d’entreprise : elles ne sanctionnent pas un incident isolé, mais une chaîne de défaillances organisationnelles.
La CNIL articule son raisonnement autour de trois piliers centraux du RGPD, dont la combinaison explique la sévérité des sanctions :
1️ La sécurité comme obligation de vigilance continue (article 32 du RGPD)
La cyberattaque d’octobre 2024 n’a pas révélé une sophistication exceptionnelle de l’attaquant, mais des failles considérées comme élémentaires par le régulateur : authentification VPN insuffisamment robuste, journalisation lacunaire, absence de détection comportementale efficace et recours à des fonctions de hachage obsolètes pour les mots de passe.
La CNIL rappelle ici une ligne constante : la sécurité des données personnelles ne se limite pas à un dispositif initial conforme, mais suppose une adaptation continue des mesures techniques et organisationnelles au regard des risques connus. L’incapacité à détecter l’intrusion à un stade précoce a transformé une attaque circonscrite en violation massive.
2️ La conservation excessive, ou le risque des données “fantômes” (article 5, §1, e du RGPD)
Le manquement retenu à l’encontre de Free Mobile est particulièrement instructif. Le contrôle a mis en évidence la conservation de données relatives à plus de 15 millions d’abonnements résiliés depuis plus de cinq ans, dont environ 3 millions depuis plus de dix ans, sans justification opérationnelle suffisante.
En l’absence de finalité clairement documentée, ces données ne constituent plus un actif informationnel, mais un passif juridique. La décision rappelle que la politique de purge n’est pas un simple sujet d’archivage, mais un instrument central de maîtrise du risque, au même titre que les dispositifs de cybersécurité.
3️ L’information des personnes comme exigence de précision (article 34 du RGPD)
Si les sociétés ont bien informé les personnes concernées par différents canaux, la CNIL a estimé que le contenu de cette information ne permettait pas aux abonnés d’appréhender concrètement les risques encourus. Les conséquences possibles de la violation, les mesures correctrices mises en œuvre et les moyens de protection individuelle étaient présentés de manière trop générale.
Le régulateur rappelle ainsi que l’obligation d’information, en cas de violation de données, ne relève pas d’une communication de crise standardisée, mais d’un devoir de transparence utile et opérationnelle.
La question de la proportionnalité des sanctions
Pour fixer le montant des amendes, la CNIL s’est inscrite dans le cadre posé par le RGPD et les lignes directrices du Comité européen de la protection des données, en tenant compte notamment de la gravité des manquements, du volume de personnes concernées, de la nature des données compromises (dont des IBAN associés à des données d’identité) et de la capacité financière du groupe économique.
Cette approche, éclairée par la jurisprudence récente de la Cour de justice de l’Union européenne, vise un objectif assumé : éviter que la sanction ne soit intégrée comme un simple coût économique de la non‑conformité.
Conclusion
Ces décisions marquent une volonté claire de fermeté. On peut toutefois relever, avec une certaine amertume, la célérité avec laquelle la régulation s’abat sur nos champions nationaux dès qu’une faille apparaît, là où l’action répressive semble parfois plus timorée, ou à tout le moins plus sinueuse, face aux géants transatlantiques dont les modèles reposent pourtant sur une exploitation systémique des données.
Free et Free Mobile ont annoncé leur intention de former un recours devant le Conseil d’État. L’appréciation à venir de la Haute juridiction administrative sera suivie avec attention, tant pour la confirmation de la méthodologie de sanction que pour la sécurité juridique des acteurs exposés à des violations de données de grande ampleur.
Sources :
