La protection des données personnelles est devenue un enjeu central pour les opérateurs télécoms. En 2024, une cyberattaque d’ampleur a exposé les informations de millions d’abonnés de Free. Après plusieurs mois d’enquête, la Commission nationale de l’informatique et des libertés a tranché. Les sanctions financières annoncées placent cette affaire parmi les plus marquantes jamais traitées par l’autorité française de protection des données.
Données personnelles volées : Free lourdement sanctionné par la CNIL
By
Published on 14 janvier 2026 11h13
Une sanction historique après un vol massif de données
L’autorité française de contrôle, la Commission nationale de l'informatique et des libertés, a décidé de frapper fort. Deux entités du groupe Iliad sont concernées par une sanction historique. Free Mobile écope d’une amende de 27 millions d’euros. Free doit pour sa part régler 15 millions d’euros. Le montant total atteint ainsi 42 millions d’euros, un niveau rarement observé en France pour des faits liés à la cybersécurité.
Ces sanctions font suite à un piratage survenu à l’automne 2024. L’attaque a permis l’accès non autorisé à des bases de données clients contenant des informations sensibles. Selon les éléments rendus publics, plus de 24 millions de contrats auraient été concernés. Les données compromises incluaient notamment des informations d’identification et des coordonnées personnelles. Pour la CNIL, ces éléments démontrent l’ampleur du risque encouru par les abonnés et justifient une réponse ferme.
L’affaire a également pris une tournure judiciaire. Un adolescent de 16 ans a été mis en examen début 2025, soupçonné d’avoir exploité des failles dans les systèmes informatiques de l’opérateur. Même si l’enquête pénale suit son propre cours, la CNIL a estimé que la responsabilité des entreprises restait engagée. En droit européen comme en droit français, les sociétés doivent garantir un niveau de sécurité adapté, indépendamment du profil de l’attaquant.
Des manquements techniques et organisationnels pointés du doigt
Dans sa décision, publiée au Journal officiel, la CNIL insiste sur plusieurs défaillances. Elle considère que les mesures de sécurité mises en place par Free n’étaient pas suffisantes au regard des volumes de données traités. L’autorité souligne notamment des faiblesses dans la protection des accès internes et dans la détection des comportements anormaux sur les systèmes.
Au-delà de l’aspect purement technique, la CNIL met en avant des insuffisances organisationnelles. La gestion des risques n’aurait pas été suffisamment anticipée. Les procédures internes de contrôle et de réaction face à une intrusion auraient montré leurs limites. Pour l’autorité, ces éléments constituent des manquements caractérisés au règlement général sur la protection des données (RGPD), qui impose une obligation de moyens renforcée aux acteurs manipulant des données personnelles à grande échelle.
Free a réagi publiquement en dénonçant une décision jugée excessivement sévère. L’opérateur estime avoir été la cible d’une attaque sophistiquée et rappelle avoir coopéré avec les autorités dès la découverte de l’incident. Toutefois, la CNIL rappelle que la coopération post-incident ne dispense pas d’une prévention robuste en amont. Cette position s’inscrit dans une ligne constante de l’autorité, déjà observée dans d’autres affaires européennes récentes.
Quelles conséquences pour Free et pour les abonnés ?
Sur le plan financier, l’impact est réel mais maîtrisable pour un groupe de la taille d’Iliad. En revanche, l’enjeu d’image est considérable. La confiance des abonnés repose en grande partie sur la capacité des opérateurs à protéger leurs informations personnelles. Une telle exposition médiatique peut fragiliser la relation client, surtout dans un contexte de concurrence accrue sur le marché des télécoms.
Pour les abonnés de Free, cette affaire rappelle l’importance de la vigilance numérique. Même si aucune démarche spécifique n’est imposée à ce stade, la CNIL recommande généralement de rester attentif aux tentatives de phishing et d’usurpation d’identité après un vol de données. Les clients concernés ont été informés de la violation, conformément aux obligations légales.
Plus largement, cette décision pourrait faire jurisprudence. Elle envoie un signal clair à l’ensemble des entreprises traitant des données personnelles : les obligations de sécurité ne sont pas théoriques. La CNIL montre qu’elle est prête à utiliser l’éventail maximal de sanctions prévu par le RGPD lorsque les manquements sont jugés graves.
Un signal fort pour le secteur des télécoms
L’affaire Free s’inscrit dans un contexte de multiplication des cyberattaques visant les grandes bases de données. Les opérateurs télécoms, par la nature même de leurs activités, sont des cibles privilégiées. Cette sanction rappelle que la conformité réglementaire doit aller de pair avec des investissements continus en cybersécurité.
En citant explicitement sa décision dans le Journal officiel, la CNIL entend aussi renforcer la portée pédagogique de cette affaire. Elle s’appuie sur son étude et son enquête interne pour rappeler les standards attendus. Pour Free comme pour ses concurrents, le message est clair : la protection des données n’est plus un sujet secondaire, mais un pilier stratégique incontournable.