Vincent Gautrais

Lola Gregorowius est étudiante dans le cadre du cours DRT6929 (Vie privée + Numérique) (Hiver 2026)  

Le 13 janvier 2026, la CNIL (Commission nationale de l’informatique et des libertés) a condamné les entreprises françaises FREE et FREE Mobile à hauteur de 42 millions d’euros d’amende (environ 67771794.9 CAD) pour manquement au RGPD (le règlement général sur la protection des données).

Pour rappel, le RGPD, entré en vigueur en 2018, est un règlement européen qui encadre le traitement des données personnelles au sein de l’Union Européenne. Il s’applique aux organismes publics et privés qui traitent des données personnelles.

La CNIL est une autorité administrative indépendante qui est chargée de veiller à la protection des données personnelles. Elle a un pouvoir d’investigation, de contrôle et de sanction en cas de manquement.

Pour information, l’entreprise française Bouygues Telecom avait été condamnée en 2018 par la CNIL pour manquement à la loi Informatique et Libertés. Le montant de l’amende s’élevait à  250 000 euros (environ 405324,75 CAD) seulement. La sanction prononcée à l’encontre FREE et FREE Mobile n’est donc pas anodine et montre que la protection des données personnelles a pris une place importante ces dernières années.

Nous verrons dans un premier temps le contexte de cette décision, puis nous analyserons son contenu et enfin sa portée.

1. Le contexte

A. Un piratage sans précédent

Les entreprises FREE et FREE Mobile sont des opérateurs de télécommunication français. Ils représentent une part importante du marché en la matière. Ce géant de la télécommunication est né en 1999, avant le RGPD qui date de 2018. Ils ont donc dû s’adapter à son arrivée et revoir leur système de protection des données, ce qui n’a pas été de tout repos.

En effet, ce n’est pas la première fois que cette entreprise est au cœur de polémiques concernant la protection des données de ses utilisateurs. Déjà en 2021, la CNIL l’avait condamné à une amende de 300 000 euros, puis en 2022 avec le même montant d’amende. Dans les deux cas, c’était un manquement au RGPD dont il était question. On comprend ainsi que ce n’est pas la première fois que l’entreprise FREE dépasse les limites légales en termes de protection des données personnelles de ses abonnés.

Alors pourquoi la CNIL a-t-elle décidé d’augmenter autant le montant de l’amende cette fois-ci ?

En octobre 2024, un hacker web est parvenu à s’infiltrer dans le système informatique couvrant les données personnelles des clients de FREE. 24 millions de contrats d’abonnées au service ont été touchés. C’est l’une des plus grosses fuites de données enregistrées durant l’année 2024 en France. On sait aujourd’hui que toutes ces données ont été revendues.

A la suite de cet incident, plus de 2 000 plaintes d’utilisateurs ont été déposées auprès de la CNIL.

Les renseignements d’un réseau aussi important sont très sensibles, il est question ici de données bancaires comme des IBAN par exemple. L’autorité administrative est alors de nouveau intervenue. Après plus d’une année d’enquête, la CNIL a relevé plusieurs manquements au RGPD de la part de FREE et FREE Mobile.

Ce qui nous amène à la sanction très lourde rendue par la formation restreinte de la CNIL.

B. Une sanction lourde de sens

Depuis 2024, le nombre de fuites de données en France a augmenté de 20% par rapport à l’année 2023 (selon les chiffres de la CNIL). Les chiffres de l’année 2025 ne sont pas encore sortis, en revanche on sait que la France est un des pays les plus touchés par les fuites de données au sein de l’Union Européenne.

La CNIL s’est exprimée face à cette situation :

“[…] l’analyse des différentes phases des violations révèle qu’une succession de défauts de sécurité courants ont permis à l’attaquant de passer d’une étape à la suivante.”

Un grand nombre de fuites serait donc lié à des défauts du système de sécurité de la part des entreprises.

En sachant cela, la CNIL a condamné FREE en considérant qu’elle avait largement les moyens de protéger les données de ses utilisateurs, d’autant plus au regard de la sensibilité de ces dernières. En décidant de sanctionner sévèrement l’entreprise de télécommunication, elle a fait d’elle un exemple pour les autres entreprises qui traitent de données personnelles.

Il nous faut à présent analyser la décision afin de mieux comprendre les enjeux autour de cette sanction inédite.

2. L’analyse de la sanction de la CNIL

La CNIL a repéré plusieurs manquements au RGPD qui lui ont permis de fonder son enquête et plus tard sa décision. Elle montre aux autres grandes entreprises détentrices de données personnelles, que le RGPD n’est pas une option. 

A. Un manquement à l’obligation d’assurer la sécurité des données personnelles (article 32 du RGPD)

L’organisme administratif considère que le système de sécurité mis en place par FREE était inefficace et n’assurait pas la confidentialité des données personnelles. Elle rappelle qu’on ne peut éliminer tout risque, mais qu’il faut tenter de le réduire au maximum et elle a enjoint l’entreprise à continuer ses efforts.

B. Un manquement à l’obligation de communiquer auprès des personnes concernées par la violation de données (article 34 du RGPD)

L’obligation de communiquer la violation de données auprès des personnes concernées à été partiellement réalisée par les entreprises FREE et FREE Mobile. Notamment grâce à un courriel d’information, ainsi que par un numéro vert et une section interne dédiée à la gestion des demandes.

Toutefois, la CNIL a considéré que ce n’était pas suffisant :

“ […] le courriel adressé ne comportait pas toutes les informations nécessaires […], en estimant que ces omissions ne permettaient notamment pas aux personnes concernées de comprendre directement les conséquences de la violation […].”

C. Un manquement à l’obligation de conserver les données personnelles pendant une durée limitée (article 5-1-e) du RGPD)

L’article 5-1-e du RGPD prévoit une obligation de conserver des données personnelles pendant une durée limitée. La société FREE Mobile a conservé des millions des données de ses abonnés, sans justification, et pendant une durée allant au-delà de celle autorisée. La CNIL enjoint à l’entreprise de trouver un système de tri qui permettra de stopper le stockage de données sensibles qui apparaît comme non-nécessaire.

3. Les effets de la sanction de la CNIL

Au regard de cette lourde condamnation et des dernières sanctions prononcées par la CNIL, on peut conclure que l’organisme souhaite durcir son contrôle et son impact sur les entreprises françaises. Face à des cyber-attaques toujours plus nombreuses et ingénieuses, il est nécessaire d’avoir des systèmes de protection adaptés et efficaces. Concernant cet enjeu, je vous renvoie au papier de Maître Thiébaut Devergranne qui décrypte les nouvelles priorités de la CNIL.

On peut alors se demander si cette augmentation du montant d’amende va s’appliquer dans les prochaines affaires de fuites de données personnelles ou si FREE est un cas à part.

Pour conclure, FREE et FREE Mobile ont répondu à la sanction de la CNIL en déposant un recours devant le Conseil d’Etat français. Ils estiment le montant de l’amende disproportionné aux atteintes commises, notamment au regard d’anciennes affaires similaires.

Entre une remise en cause des sanctions toujours plus lourdes de la CNIL, une augmentation des fuites de données personnelles, des systèmes de sécurité inefficaces, les choix de la CNIL seront décisifs pour les années à venir en matière de protection des renseignements personnels.

 

Ce contenu a été mis à jour le 26 janvier 2026 à 11 h 10 min.