Le 13 janvier 2026, la CNIL a sanctionné FREE MOBILE (27 M€) et FREE (15 M€) à la suite d’une violation de données ayant exposé les informations personnelles de 24 millions d’abonnés via un accès frauduleux au VPN. L’autorité a retenu plusieurs manquements au RGPD : conservation excessive de données de contrats résiliés, mesures de sécurité insuffisantes pour prévenir et détecter les accès non autorisés, et information incomplète des personnes concernées quant aux conséquences de la violation et aux mesures correctives mises en œuvre.
I. Le contexte
Du 28 septembre au 29 octobre 2024, un cyberattaquant a accédé aux données personnelles de 24 millions d’abonnés.
Il est parvenu à se connecter au réseau privé virtuel (VPN) puis à l’outil de gestion des abonnées des sociétés.
Cet outil consulte les données des clients FREE MOBILE via un formulaire, interrogeant les bases FREE MOBILE et FREE pour afficher les résultats spécifiques. Une fois connecté, le cyberattaquant a accédé aux données personnelles des abonnés (identité, contact, contrat et IBAN pour les clients convergents).
La CNIL a reçu plus de 2614 plaintes des personnes concernées par la violation de données et a mené un contrôle de conformité RGPD auprès des responsables de traitement FREE MOBILE et FREE.
À la suite de ce contrôle dans les locaux des sociétés, la formation restreinte de la CNIL a sanctionné les sociétés FREE MOBILE et FREE pour plusieurs manquements au RGPD.
La CNIL a fixé les amendes selon les capacités financières des sociétés, leurs manquements aux principes essentiels de sécurité, le nombre de personnes touchées, la sensibilité des informations exposées ainsi que les dangers engendrés par cette fuite de données.
II. Les manquements sanctionnés
- Le manquement à l’obligation de conserver les données personnelles pendant une durée limitée (article 5-1-e RGPD)
L’article 5-1-e du RGPD incombe au responsable de traitement de définir une durée de conservation conforme à la finalité du traitement.
Lorsque cette finalité est atteinte, les données doivent être supprimées ou anonymisées, ou faire l’objet d’un archivage intermédiaire pour une durée déterminée lorsque leur conservation est nécessaire (par exemple, pour le respect d’obligations légales ou à des fins précontentieuses ou contentieuses).
Les sociétés avaient mis en place une politique de conservation des données. Dans ce cadre, elles conservaient les données d’identification et de paiement après résiliation du contrat principal pour gérer la location de terminal et gardaient les informations cinq ans pour lutter contre la fraude et dix ans pour respecter les obligations comptables.
Toutefois, lors du contrôle, le dispositif d’effacement des données n’était pas totalement fonctionnel du fait de limitations techniques.
De plus, la configuration de l’infrastructure informatique rendait complexe l’exécution d’opérations d’effacement massives, en raison du risque d’interruption des services essentiels.
La CNIL a ainsi constaté la présence de données (identifiant du compte, civilité, prénom, nom, adresse électronique et données contractuelles) relatives à plus de quinze millions de contrats résiliés depuis plus de cinq ans, dont trois millions depuis plus de dix ans.
Pour la CNIL, les données de factures et abonnements résiliés risquaient donc d’être conservées indéfiniment sans distinction de finalité.
Par conséquent, les obligations relatives à la durée de conservation des données n’étaient pas pleinement respectées.
- Le manquement à l’obligation d’assurer la sécurité des données personnelles (article 32 RGPD)
L’article 32 du RGPD liste les mesures de sécurité qu’un responsable de traitement doit mettre en œuvre.
Pour leur défense, les sociétés ont avancé que l’obligation de sécurité constitue une obligation de moyens et non de résultat, ce qui implique que la simple occurrence d’une violation de données ne suffit pas à établir un manquement au RGPD. Par ailleurs, elles ont soutenu que les guides et recommandations émis par la CNIL et l’ANSSI ne revêtent pas de caractère contraignant.
En effet, la CNIL ne sanctionne pas la survenance d’une violation de données. Néanmoins, elle sanctionne le fait que celle-ci ait été rendue possible ou facilitée par l’absence ou l’insuffisance des mesures de sécurité mises en œuvre par un responsable du traitement, compte tenu de l’état de l’art.
De plus, la CNIL a rappelé que ces sociétés occupent une place importante dans les télécoms françaises, traitant les données de millions d’abonnés.
Dès lors, elles avaient les ressources nécessaires pour se conformer à l’article 32 du RGPD et aux recommandations de sécurité établies depuis longtemps.
Elles auraient dû appliquer les recommandations de l’ANSSI et de la CNIL en matière de sécurisation du canal d’interconnexion au moyen de la technologie VPN dans le cadre du télétravail de leurs salariés en utilisant notamment des mécanismes robustes d’authentification.
La CNIL a reproché aux sociétés de ne pas avoir mis en œuvre des mesures de sécurité suffisantes pour détecter les connexions frauduleuses au VPN malgré le recours à la solution de prévention de la fraude, d’analyse des risques et de détection des menaces (scoring) d’un prestataire externe.
Par conséquent, les mesures déployées par les sociétés FREE MOBILE et FREE afin de détecter les comportements anormaux sur leur système d’information étaient inefficaces.
- Le manquement à l’obligation de communiquer auprès des personnes concernées par la violation de données (art. 34 RGPD)
Aux termes de l’article 34 du RGPD, lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, le responsable du traitement communique la violation de données à caractère personnel aux personnes concernées dans les meilleurs délais.
Dans un premier temps, les sociétés ont envoyé un courrier : celui-ci informait les personnes de la survenance de la violation de données en cause, les alertait sur les risques de courriels, SMS ou appels frauduleux, leur rappelait que ses conseillers ne demandent jamais la communication de mots de passe à l’oral et elle les invitait, en cas de situation anormale, à consulter le site officiel cybermalveillance.gouv.fr pour effectuer un signalement.
Dans un second temps, elles ont communiqué aux personnes par l’intermédiaire d’un numéro vert gratuit disponible 7 jours sur 7, visé dans le courriel d’information initial, et d’un dispositif interne de gestion des demandes.
Toutefois, la CNIL a relevé l’absence de description des mesures correctives, ainsi que le défaut de révocation des accès compromis, de correction des vulnérabilités inhérentes à l’outil métier, et de renforcement des dispositifs de contrôle des accès aux données personnelles et l’utilisation de formulations trop imprécises.
La CNIL a considéré que ces omissions ne permettaient pas aux personnes concernées de comprendre directement les conséquences de la violation, ainsi que les mesures qu’elles pouvaient mettre en place pour se protéger de celles-ci.
En conséquence, les exigences énoncées à l’article 34 du RGPD n’ont pas été intégralement respectées par les sociétés FREE MOBILE et FREE.
Avocat associé
Avocate collaboratrice
#droitdunumérique #cybersecurite