Montant de l’amende CNIL pour le vol de données Free Mobile en 2026

Représenatation de amende CNIL vol données Free Mobile
En bref : ce que vous allez découvrir dans cet article : l’amende CNIL vol données Free Mobile de 42 millions d’euros au total (27 M€ pour Free Mobile, 15 M€ pour Free), les raisons précises de cette sanction record, les données exposées lors de la fuite massive d’octobre 2024, et surtout les actions concrètes à entreprendre si vous êtes client concerné.

1. La décision de la CNIL : montants, motifs et suites administratives

1.1 Montant et répartition de l’amende (27 M€ / 15 M€ — total 42 M€)

La sanction de la CNIL frappe le groupe Iliad avec une sévérité inédite : 27 millions d’euros contre Free Mobile et 15 millions d’euros contre Free, soit un total de 42 millions d’euros. Cette répartition distincte s’explique par les responsabilités spécifiques de chaque entité dans la gestion des données clients.

Les montants tiennent compte de plusieurs facteurs aggravants. D’abord, l’ampleur exceptionnelle de la fuite massive de données : près de 25 millions de contrats concernés. Ensuite, la gravité des manquements constatés chez chaque société du groupe. Enfin, les ressources financières importantes d’Iliad, qui permettent d’infliger une sanction dissuasive proportionnée au chiffre d’affaires.

Cette amende record illustre la volonté de la CNIL de sanctionner exemplaire les négligences en matière de protection des données. Elle dépasse largement les précédentes sanctions infligées aux opérateurs télécoms français, selon Le Figaro.

1.2 Motifs juridiques retenus (manquements au RGPD : sécurité, conservation, information)

Les manquements au RGPD identifiés par la CNIL couvrent trois domaines critiques. Premièrement, l’article 32 relatif à la sécurité des traitements : les mesures d’authentification et de contrôle d’accès pour les connexions distantes via VPN étaient insuffisantes. Les employés pouvaient accéder aux bases de données sensibles sans protections adéquates.

Deuxièmement, le principe de limitation de la conservation des données. Free conservait de manière excessive les données personnelles exposées d’anciens abonnés, parfois depuis plus de dix ans après la résiliation des contrats. Cette pratique contrevient aux obligations de minimisation et de limitation de durée.

Troisièmement, l’article 34 concernant l’information des personnes concernées. La notification envoyée aux victimes de la fuite était incomplète et ne respectait pas toutes les exigences réglementaires. Les clients n’ont pas reçu toutes les informations nécessaires pour comprendre l’étendue des risques encourus.

️Économisez sur votre prochain voyage avec nos offres eSIM ✅

Bénéficiez de réductions allant jusqu’à -30% avec nos codes promo exclusifs

Voir les codes promo

1.3 Mesures correctives ordonnées et recours de Free (délai 3 mois)

Les mesures correctives imposées par la CNIL doivent être mises en œuvre sous trois mois. Elles comprennent une purge complète des bases de données pour supprimer les informations obsolètes d’anciens clients. Free doit également renforcer ses contrôles d’accès et procédures d’authentification, particulièrement pour les connexions distantes.

La surveillance des activités anormales constitue un autre pilier des obligations. L’opérateur doit déployer des systèmes de détection d’intrusion plus performants et former son personnel aux bonnes pratiques de cybersécurité.

Free a annoncé son intention de former le recours devant le Conseil d’État pour contester la sévérité de la sanction. Cette procédure, bien que non suspensive, témoigne de la volonté du groupe de faire valoir ses arguments sur l’proportionnalité de l’amende. La décision reste donc exécutoire pendant l’instruction du recours administratif.

2. Ce qui s’est passé — données exposées, failles techniques et enquête pénale

2.1 Chronologie, nombre de contrats et types de données exposées (IBAN, identités, contacts)

L’attaque révélée en octobre 2024 a compromis un volume colossal d’informations : environ 24 à 24,6 millions les contrats concernés par la fuite, selon les méthodes de comptage utilisées. Cette différence s’explique par l’inclusion ou non des contrats résiliés conservés dans les bases.

Les données personnelles exposées comprennent plusieurs catégories sensibles :

  • Éléments d’identité : nom, prénom, date de naissance
  • Coordonnées complètes : adresse postale, e-mail, numéro de téléphone 
  • Informations contractuelles : type d’abonnement, historique de facturation
  • Données bancaires : IBAN pour les clients ayant souscrit aux deux services

Cette dernière catégorie représente un risque particulièrement élevé. Lorsqu’une même personne était cliente de Free et Free Mobile, ses coordonnées bancaires figuraient parmi les informations dérobées, augmentant significativement les risques de fraude financière, comme le rapporte Siècle Digital.

2.2 Failles techniques et organisationnelles identifiées

Les failles techniques identifiées révèlent des carences majeures dans l’architecture de sécurité. L’accès distant via VPN souffrait de protections insuffisantes : mécanismes d’authentification faibles, absence de double authentification systématique, et configuration inadéquate des droits d’accès.

Les systèmes de détection d’intrusion présentaient également des lacunes critiques. Ils n’ont pas permis d’identifier rapidement les activités suspectes ni de bloquer l’exfiltration massive de données. Cette défaillance a prolongé l’exposition des informations sensibles.

Sur le plan organisationnel, plusieurs dysfonctionnements ont été constatés :

  • Conservation excessive : 15 millions de contrats résiliés depuis plus de 5 ans
  • Tri insuffisant : 3 millions de contrats conservés depuis plus de 10 ans 
  • Formation lacunaire : personnel insuffisamment sensibilisé aux risques cybersécurité
  • Procédures défaillantes : absence de politique claire de purge des données

Ces manquements organisationnels ont été retenus comme facteurs aggravants par la CNIL, selon La Croix.

Les failles identifiées montrent l’importance cruciale d’une approche globale de la cybersécurité, combinant mesures techniques et organisationnelles.

2.3 Enquête pénale : profil de l’attaquant et suites

L’enquête pénale en cours a permis d’identifier un suspect : un mineur de 16 ans mis en examen en lien avec l’incident. Cette information, révélée par les médias, illustre l’évolution du profil des cybercriminels et la nécessité d’adapter les réponses judiciaires.

La piste pénale reste active et indépendante de la procédure administrative menée par la CNIL. Elle vise à établir les responsabilités pénales individuelles et à comprendre précisément le mode opératoire utilisé pour pénétrer les systèmes de Free.

L’enquête judiciaire examine également les circuits de revente des données. Selon plusieurs sources, les informations dérobées ont été mises en vente sur des plateformes clandestines, aggravant l’exposition des victimes aux risques de fraude et d’usurpation d’identité.

Trouvez la meilleure eSIM pour votre voyage

Comparez les forfaits disponibles dès maintenant et partez l’esprit léger !

Choisir la meilleure carte eSIM

3. Réactions et recours de Free / Iliad

3.1 Mesures internes prises par Free

Free affirme avoir renforcé sa sécurité dès la découverte de l’incident. La sécurité des accès VPN a fait l’objet d’un durcissement avec l’implémentation de nouvelles couches d’authentification et la révision complète des droits d’accès aux bases sensibles.

L’opérateur a également déployé une surveillance en temps réel des activités sur ses systèmes. Cette monitoring permet de détecter plus rapidement les comportements anormaux et de déclencher des alertes automatiques en cas d’intrusion potentielle.

Des audits renforcés de l’architecture informatique ont été menés par des experts externes. Ces évaluations visent à identifier d’éventuelles vulnérabilités résiduelles et à valider l’efficacité des mesures correctives mises en place.

Malgré ces efforts, la CNIL a jugé les mesures initiales insuffisantes au moment des faits. Elle exige la finalisation de toutes les améliorations sous trois mois, avec un reporting détaillé des actions entreprises.

3.2 Procédure de recours devant le Conseil d’État — calendrier et enjeux

Free a officiellement annoncé le dépôt d’un recours devant le Conseil d’État pour contester ce qu’il qualifie de « sévérité inédite » de la sanction. Cette procédure contentieuse s’inscrit dans une stratégie de défense visant à obtenir une réduction de l’amende.

Le recours n’est pas suspensif, ce qui signifie que Free doit s’acquitter de l’amende et mettre en œuvre les mesures correctives pendant l’instruction. Le Conseil d’État dispose généralement de 12 à 18 mois pour statuer sur ce type de contentieux.

Les enjeux du recours portent sur plusieurs points :

  • Proportionnalité de la sanction au regard du chiffre d’affaires
  • Évaluation des efforts de mise en conformité post-incident 
  • Appréciation de la gravité réelle des manquements constatés
  • Comparaison avec les sanctions infligées à d’autres opérateurs

Cette procédure sera scrutée par l’ensemble du secteur des télécommunications, car elle pourrait influencer la doctrine de la CNIL en matière de sanctions pour les violations de données massives.

4. Impact pour les abonnés : risques et mesures de protection

4.1 Évaluation des risques pour les clients concernés

Les clients de Free et Free Mobile font face à plusieurs types de risques suite à cette fuite. Le vol d’identité constitue la menace principale, les cybercriminels pouvant utiliser les informations personnelles pour ouvrir des comptes bancaires ou souscrire des crédits frauduleux.

Les tentatives de phishing représentent un danger immédiat. Les fraudeurs disposent désormais d’informations précises (nom, adresse, numéro de téléphone) pour personnaliser leurs attaques et tromper plus facilement les victimes par e-mail ou SMS.

Pour les clients dont les IBAN ont été exposés, le risque de fraude bancaire nécessite une vigilance accrue. Bien que les IBAN seuls ne permettent pas de débiter un compte, ils facilitent les tentatives d’ingénierie sociale auprès des banques.

Type de risque Niveau Actions recommandées
Phishing Élevé Vérifier l’expéditeur, ne pas cliquer sur les liens suspects
Usurpation d’identité Moyen Surveiller ses comptes, signaler toute activité suspecte
Fraude bancaire Variable Contacter sa banque, activer les alertes SMS

4.2 Actions concrètes recommandées pour les abonnés

Les clients concernés doivent adopter plusieurs réflexes de protection. Surveiller régulièrement ses relevés bancaires et signaler immédiatement toute transaction suspecte à sa banque constitue la priorité absolue.

Il est également recommandé de renforcer ses mots de passe sur tous les comptes en ligne, particulièrement ceux liés aux services bancaires et administratifs. L’activation de la double authentification quand elle est disponible ajoute une couche de sécurité supplémentaire.

Les victimes peuvent déposer une plainte auprès des autorités compétentes. Plus de 2 000 plaintes ont déjà été reçues par la CNIL, témoignant de l’ampleur de l’impact sur les clients.

Activez les alertes SMS de votre banque pour être notifié en temps réel de toute transaction. Cette mesure simple permet de détecter rapidement une utilisation frauduleuse.

Pour les voyageurs fréquents, il peut être judicieux de considérer des alternatives sécurisées comme les cartes eSIM qui offrent une meilleure protection des données personnelles lors des déplacements à l’étranger.

4.3 Recours possibles et indemnisation

Les clients lésés disposent de plusieurs voies de recours. L’action collective en responsabilité civile contre Free constitue l’option la plus accessible pour obtenir réparation du préjudice subi.

Les associations de consommateurs étudient actuellement les modalités d’une action de groupe. Cette procédure permettrait aux victimes de mutualiser leurs efforts et d’obtenir plus facilement une indemnisation pour les préjudices moraux et matériels.

En parallèle, chaque client peut engager une action individuelle en responsabilité. Cependant, cette démarche nécessite de prouver un préjudice direct lié à la fuite de données, ce qui peut s’avérer complexe sans incident avéré.

Guide Gratuit : Comment Voyager Moins Cher

10 Astuces qui marchent vraiment pour réduire vos dépenses de 50% en voyage

Recevoir le guide

5. Leçons et perspectives pour la cybersécurité des opérateurs

5.1 Évolution de la doctrine CNIL et durcissement des sanctions

Cette sanction marque un tournant dans la politique répressive de la CNIL. L’autorité de contrôle adopte une approche plus sévère, particulièrement envers les entreprises disposant de ressources importantes et traitant des volumes massifs de données sensibles.

Le montant de 42 millions d’euros établit un nouveau standard pour les sanctions en cas de violation de données. Il envoie un signal fort à l’ensemble du secteur des télécommunications sur les conséquences financières des négligences en matière de cybersécurité.

Cette évolution s’inscrit dans une tendance européenne de durcissement. Les autorités de protection des données de l’UE coordonnent leurs efforts pour harmoniser les niveaux de sanction et dissuader efficacement les manquements au RGPD.

5.2 Bonnes pratiques émergentes pour les opérateurs

L’incident Free met en lumière plusieurs bonnes pratiques essentielles. La segmentation des accès constitue un prérequis : chaque employé ne doit accéder qu’aux données strictement nécessaires à ses fonctions.

L’audit régulier des bases de données permet d’identifier et de purger les informations obsolètes. Cette pratique réduit l’exposition en cas d’incident et facilite la conformité aux obligations de conservation.

La formation continue du personnel aux enjeux de cybersécurité représente un investissement indispensable. Les erreurs humaines constituent souvent le maillon faible des dispositifs de protection les plus sophistiqués.

Voici les mesures prioritaires à implémenter :

  • Authentification multi-facteurs obligatoire pour tous les accès distants
  • Chiffrement de bout en bout des bases de données sensibles 
  • Monitoring en temps réel avec alertes automatiques
  • Tests d’intrusion réguliers par des experts externes
  • Plan de réponse aux incidents testé et mis à jour

5.3 Impact sur la confiance des consommateurs

Cette affaire risque d’affecter durablement la confiance des consommateurs envers Free et, plus largement, envers les opérateurs télécoms. Les clients deviennent plus exigeants sur la protection de leurs données personnelles et n’hésitent plus à changer d’opérateur en cas de manquement.

Pour les voyageurs soucieux de la protection de leurs données, les solutions comme Airalo offrent des alternatives intéressantes avec des politiques de confidentialité renforcées et une approche plus transparente de la gestion des informations personnelles.

La transparence devient un facteur de différenciation concurrentielle. Les opérateurs qui communiquent clairement sur leurs mesures de sécurité et leurs politiques de protection des données gagnent un avantage concurrentiel significatif.

6. Conclusion

L’amende CNIL vol données Free Mobile de 42 millions d’euros marque un tournant dans la régulation de la cybersécurité en France. Cette sanction record illustre la détermination des autorités à faire respecter le RGPD et à protéger efficacement les données personnelles des citoyens.

Pour les 25 millions de clients concernés, la vigilance reste de mise. Il est essentiel de surveiller ses comptes, de renforcer ses mots de passe et de signaler toute activité suspecte. Cette affaire rappelle également l’importance de choisir des prestataires de services numériques qui placent la sécurité des données au cœur de leurs priorités.

Découvrez les meilleures offres eSIM pour votre destination ✅

Comparez des milliers de forfaits dans plus de 200 destinations

FAQ

Quel est le montant total de l’amende CNIL infligée à Free ?

La CNIL a infligé une amende record de 42 millions d’euros au groupe Iliad, répartie en 27 millions pour Free Mobile et 15 millions pour Free. Cette sanction reflète la gravité des manquements et l’ampleur de la fuite de données touchant près de 25 millions de contrats.

Quelles données personnelles ont été exposées lors du vol chez Free Mobile ?

Les données compromises incluent noms, prénoms, dates de naissance, adresses postales, e-mails, numéros de téléphone, historiques de facturation et IBAN pour certains clients. Ces informations sensibles augmentent les risques de fraude et d’usurpation d’identité.

Pourquoi la CNIL a-t-elle sanctionné Free Mobile aussi sévèrement ?

La sanction repose sur plusieurs manquements au RGPD : sécurité insuffisante des accès VPN, conservation excessive des données personnelles, et notification incomplète aux victimes. Ces failles ont aggravé l’impact de la fuite massive.

Quels risques encourent les abonnés Free Mobile concernés par la fuite ?

Les clients sont exposés à des risques élevés de phishing, usurpation d’identité et fraude bancaire, notamment si leurs IBAN ont été divulgués. Une vigilance accrue est recommandée pour détecter toute activité suspecte sur leurs comptes.

Quelles mesures doivent prendre les abonnés pour se protéger après la fuite ?

Il est conseillé de surveiller régulièrement ses relevés bancaires, renforcer ses mots de passe, activer la double authentification et signaler toute transaction suspecte à sa banque. Déposer plainte est aussi une option en cas d’incident avéré.