L’amende infligée à Free par la CNIL marque un tournant majeur dans la régulation des données personnelles. En sanctionnant lourdement l’opérateur après un piratage massif, l’autorité de contrôle rappelle avec fermeté que la sécurité des données n’est plus une option mais une obligation centrale pour tous les acteurs des télécoms.
Données personnelles : la CNIL frappe Free après des manquements graves
By
Published on 15 janvier 2026 6h30
27 MILLIONS €Free Mobile a été condamné à une amende de 27 millions d’euros
Le 13 janvier 2026, la Commission nationale de l’informatique et des libertés a frappé fort. Free, opérateur majeur du marché français, a écopé d’une amende totale de 42 millions d’euros après un piratage ayant exposé des données personnelles à grande échelle.
Ce que la CNIL reproche à Free après le piratage de données
Free se retrouve au cœur d’une procédure particulièrement sévère, car la CNIL estime que l’opérateur n’a pas respecté plusieurs obligations fondamentales prévues par le règlement général sur la protection des données. D’abord, selon l’autorité, Free n’avait pas mis en place des mesures de sécurité jugées élémentaires pour protéger les données de ses abonnés. Or, comme le rappelle la CNIL, la sécurisation des accès aux systèmes informatiques constitue un pilier essentiel pour tout opérateur traitant des données sensibles à grande échelle. En conséquence, le piratage survenu entre fin septembre et octobre 2024 a pu se dérouler sur une période prolongée, sans être détecté suffisamment tôt.
Ensuite, la CNIL reproche à Free une gestion défaillante de la conservation des données. L’enquête a mis en évidence que des informations personnelles concernant d’anciens abonnés étaient encore stockées sans justification valable. Or, le RGPD impose une durée de conservation strictement limitée aux finalités poursuivies. Selon l’autorité, cette accumulation inutile de données a mécaniquement accru l’ampleur du piratage, exposant davantage de personnes à des risques de fraude. La CNIL estime donc que Free a manqué à son obligation de minimisation des données, pourtant clairement définie par la réglementation européenne.
Une amende historique contre Free
La sanction financière prononcée par la CNIL se distingue par son ampleur. Free Mobile a été condamné à une amende de 27 millions d’euros, tandis que Free a écopé de 15 millions d’euros supplémentaires. Au total, l’amende de 42 millions d’euros constitue l’une des plus lourdes jamais infligées en France pour des manquements liés aux données personnelles. Selon la CNIL, ce montant reflète à la fois la gravité des manquements constatés et l’ampleur des données concernées par le piratage.
Les chiffres avancés par l’autorité sont en effet considérables. Plus de 24 millions de contrats d’abonnés ont été potentiellement touchés, avec des données sensibles telles que des noms, des coordonnées et des IBAN. Par ailleurs, la CNIL indique avoir reçu plus de 2 500 plaintes de personnes concernées, ce qui a contribué à déclencher les contrôles approfondis. Pour l’autorité, cette mobilisation des victimes démontre l’impact concret du piratage et justifie une réponse exemplaire. Comme l’a expliqué la formation restreinte de la CNIL, « les sociétés n’avaient pas mis en œuvre certaines mesures élémentaires de sécurité qui auraient pu rendre l’attaque plus difficile ».
Données personnelles : Free conteste la décision de la CNIL
Face à cette amende, Free a choisi de contester fermement la décision. L’opérateur, filiale du groupe Iliad, estime que la sanction est disproportionnée au regard des précédents en matière de piratage. Dans une réaction publique, le groupe a dénoncé « une sévérité inédite sans commune mesure » avec les décisions antérieures. L’opérateur a confirmé avoir déposé un recours devant le Conseil d’État, ce qui ouvre une nouvelle phase judiciaire dans ce dossier sensible.
Au-delà du cas de Free, la décision de la CNIL envoie un message clair à l’ensemble du secteur des télécoms. Désormais, les opérateurs sont avertis que des failles de sécurité peuvent entraîner des sanctions financières massives. Cette amende pourrait ainsi servir de référence pour de futures procédures, notamment dans un contexte où les cyberattaques ciblant les données personnelles se multiplient. La décision montre en outre un durcissement assumé de la doctrine de la CNIL, qui entend utiliser pleinement l’arsenal répressif prévu par le RGPD afin d’imposer un niveau de sécurité élevé et constant.