C’est certainement une des plus grosse amende jamais imposée par la CNIL. L’institution demande 42 M€ à Free et Free Mobile.
Le 13 janvier 2026, la CNIL a rendu deux décisions de à l'encontre des sociétés FREE MOBILE et FREE, prononçant respectivement des amendes de 27 et 15 millions d'euros, compte tenu du caractère inadapté des mesures prises pour assurer la sécurité des données de leurs abonnés.
Faisant notamment suite à un très grand nombre de plaintes (plus de 2 500 à ce jour) de personnes concernées par cette violation de données, la CNIL a réalisé un contrôle qui a mis en évidence des manquements à plusieurs obligations prévues par le règlement général sur la protection des données (RGPD) imputables aux sociétés FREE MOBILE et FREE, chacune responsable du traitement des données de leurs propres abonnés.
De plus, La formation restreinte a constaté qu’au jour de la violation de données, les sociétés n’avaient pas mis en œuvre certaines mesures élémentaires de sécurité qui auraient pu rendre l’attaque plus difficile. La procédure d’authentification pour se connecter au VPN de la société FREE MOBILE et à celui de la société FREE – utilisée en particulier pour le travail à distance des employés de la société – n’était pas suffisamment robuste. Par ailleurs, les mesures déployées par les sociétés FREE MOBILE et FREE afin de détecter les comportements anormaux sur leur système d’information étaient inefficaces. Cependant les sociétés visées avaient pris plusieurs mesures en cours de procédure permettant de renforcer leur niveau de sécurité. Elle leur a enjoint d’achever la mise en œuvre de ces nouvelles mesures dans un délai de trois mois.
Enfin la société n’avait pas mis en place de mesures permettant de trier les données des anciens abonnés, afin de ne conserver que celles nécessaires à des fins comptables, puis de les supprimer lorsque cette conservation n’apparaît plus nécessaire.
