Délibération de la forma­tion restreinte n° SAN-2026–002 du 8 janvier 2026 pronon­çant une sanc­tion pécu­niaire à l’en­contre de la société FREE 

Délibération de la forma­tion restreinte n° SAN-2026–001 du 8 janvier 2026 pronon­çant une sanc­tion pécu­niaire à l’en­contre de la société FREE MOBILE 

Introduction 

La Commission natio­nale de l’informatique et des liber­tés (« CNIL ») revient dans cette sanc­tion sur des articles emblé­ma­tiques du RGPD  en préci­sant les exigences atten­dues dans la mise en œuvre de ces derniers. Plus spéci­fi­que­ment, l’Autorité offre une analyse des articles rela­tifs à la conser­va­tion des données (art. 5 para. 1 let. e RGPD), à la sécu­rité du trai­te­ment (art. 32 RGPD) et à la commu­ni­ca­tion à la personne concer­née d’une viola­tion de données à carac­tère person­nel (art. 34 RGPD).  

Pour rappel, le manque­ment à l’art. 5 para. 1 let. e RGPD, qui consacre l’un des prin­cipes clés du RGPD, est suscep­tible de faire l’objet d’une amende admi­nis­tra­tive pouvant s’élever jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel. Le manque­ment aux art. 32 et 34 RGPD est, quant à lui, suscep­tible de faire l’objet d’une amende admi­nis­tra­tive pouvant s’élever jusqu’à 10  millions d’euros ou 2 % du chiffre d’affaires annuel. Le montant de l’amende doit toute­fois être propor­tionné et dissua­sif au regard des respon­sa­bi­li­tés et capa­ci­tés finan­cières de l’organisme mis en cause.  

Faits 

La société FREE a été aler­tée par un atta­quant de la compro­mis­sion de la confi­den­tia­lité des données des abon­nés de ses socié­tés FREE MOBILE et FREE (« socié­tés »). À la suite d’investigations, les socié­tés ont confirmé la surve­nance d’une viola­tion de données surve­nue. 

En effet, l’attaquant a réussi à se connec­ter au réseau privé virtuel (VPN), puis à l’outil de gestion des abon­nés des socié­tés, et à accé­der à des données à carac­tère person­nel (données d’identité, de contact, contrac­tuelles). En ce qui concerne les clients conver­gents, soit ceux qui sont abon­nés à la fois à FREE MOBILE et à FREE, l’attaquant a égale­ment pu accé­der à leur IBAN. Au total, l’attaquant a exfil­tré les données rela­tives à plusieurs dizaines de millions de contrats. 

La société FREE a noti­fié cette viola­tion de données à la CNIL. Les socié­tés ont ensuite informé par cour­riel les personnes concer­nées. 

Lors de la noti­fi­ca­tion du rapport de sanc­tion à la société, la CNIL avait reçu plusieurs milliers de plaintes de personnes concer­nées par cette viola­tion de données. 

Ultérieurement, un contrôle a été réalisé dans les locaux des socié­tés afin de véri­fier leur confor­mité à la loi n° 78–17 du 6 janvier 1978 modi­fiée rela­tive à l’informatique, aux fichiers et aux liber­tés (« LIL ») et au RGPD. 

Dans le cadre de la procé­dure, la prési­dente de la CNIL a décidé de disjoindre la procé­dure de sanc­tion initia­le­ment enga­gée à l’égard des deux socié­tés afin de les pour­suivre dans le cadre de procé­dures distinctes. 

Il est ainsi repro­ché à ces socié­tés, un manque­ment aux art. 32 (sécu­rité du trai­te­ment) et 34 (commu­ni­ca­tion à la personne concer­née d’une viola­tion de données à carac­tère person­nel) RGPD. Un manque­ment à l’art. 5 para. 1 let. e (conser­va­tion des données à carac­tère person­nel) RGPD est égale­ment repro­ché à la société FREE MOBILE. 

Droit 

La CNIL détaille son analyse en quatre parties : (i) la qualité de respon­sable de trai­te­ment de la société, (ii) le manque­ment à l’obligation de conser­ver les données pour une durée propor­tion­née à la fina­lité du trai­te­ment, (iii) le manque­ment à l’obligation d’assurer la sécu­rité des données, et (iv) le manque­ment à l’obligation de commu­ni­quer aux personnes concer­nées la surve­nance d’une viola­tion de données.  

La qualité de respon­sable de trai­te­ment  

En premier lieu, la CNIL rappelle qu’aux termes de l’art. 4 al. 7  RGPD, le respon­sable de trai­te­ment est « la personne physique ou morale, l’autorité publique, le service ou un autre orga­nisme qui, seul ou conjoin­te­ment avec d’autres, déter­mine les fina­li­tés et les moyens du trai­te­ment ».  

Dans le cas d’espèce, si les socié­tés ne contestent pas être respon­sables du trai­te­ment, elles reprochent au rappor­teur d’imputer indis­tinc­te­ment des manque­ments aux socié­tés sans prendre en compte leurs trai­te­ments et leurs respon­sa­bi­li­tés respec­tifs. Sur ce point, la forma­tion restreinte de la CNIL précise que les socié­tés sont des filiales du même groupe et que certaines mesures de sécu­rité étaient communes aux deux socié­tés.  

Toutefois, comme les manque­ments repro­chés auxdites socié­tés concernent des trai­te­ments dont elles sont seules respon­sables (gestion des abon­nés mobiles), deux procé­dures de sanc­tion auto­nomes ont été enga­gées à l’encontre des socié­tés FREE MOBILE et FREE. 

L’obligation de conser­ver les données pour une durée propor­tion­née à la fina­lité du trai­te­ment (art. 5 para. 1 let. e RGPD) 

Lors du contrôle de la société FREE MOBILE, il a été relevé que la société n’avait pas mis en place de mesures permet­tant de trier les données de ses anciens abon­nés et que cette dernière conser­vait les données à carac­tère person­nel de millions d’anciens abon­nés pendant une durée exces­sive. Au titre de l’art. 5 para. 1 let. e RGPD, les données à carac­tère person­nel doivent être conser­vées sous une forme permet­tant l’identification des personnes concer­nées pendant une durée n’excédant pas celle néces­saire au regard des fina­li­tés pour lesquelles elles sont trai­tées. La CNIL précise égale­ment qu’il incombe au respon­sable du trai­te­ment de défi­nir une durée de conser­va­tion conforme à la fina­lité du trai­te­ment et que, lorsque cette fina­lité est atteinte, les données doivent être suppri­mées, anony­mi­sées ou faire l’objet d’un archi­vage inter­mé­diaire.  

En l’espèce, FREE MOBILE avance qu’elle conser­vait les données à carac­tère person­nel de ses abon­nés tant qu’un contrat, prin­ci­pal ou acces­soire, était en cours et qu’elle conser­vait les données pendant dix ans pour s’acquitter d’obligations comp­tables, tel que le recom­mande le réfé­ren­tiel rela­tif aux trai­te­ments mis en œuvre aux fins de gestion des acti­vi­tés commer­ciales publié par la CNIL en 2021. Toutefois, la société recon­naît que son méca­nisme de purge des données n’était pas plei­ne­ment opéra­tion­nel et que l’architecture de son système d’information s’accordait diffi­ci­le­ment avec des opéra­tions de purge à grande échelle.  

La forma­tion restreinte précise alors que des diffi­cul­tés ou défaillances tech­niques n’exonèrent pas la société de sa respon­sa­bi­lité de s’assurer du tri ou de la suppres­sion des données aux échéances de leurs durées de conser­va­tion telles qu’elle les a elle-même défi­nies. De plus, les données des abon­nées conser­vées pour s’acquitter d’obligations comp­tables et les données des contrats après la rési­lia­tion de ces derniers étaient toutes deux, conser­vés pendant des durées supé­rieures à dix et cinq ans, sans justi­fi­ca­tion, ce qui est mani­fes­te­ment exces­sif et consti­tue un manque­ment à l’art. 5 para. 1 let. e RGPD. 

L’obligation d’assurer la sécu­rité des données (art. 32 RGPD) 

En premier lieu, la forma­tion restreinte rappelle l’analyse de la CJUE rete­nant que le RGPD instaure un régime de gestion des risques et qu’il ne prétend nulle­ment élimi­ner les risques de viola­tions des données à carac­tère person­nel (cf. C‑340/​21 « VB » du 14 décembre 2023, points 29 à 31, commen­tée in swiss​pri​vacy​.law/​2​30/).  

En ce sens, l’art. 32 du RGPD impose une obli­ga­tion de moyens au respon­sable de trai­te­ment, qui est tenu de prendre des mesures permet­tant à la fois de réduire la proba­bi­lité de la surve­nance d’une viola­tion de données et, cas échéant, d’en atté­nuer la gravité (cf. Guide de la sécu­rité des données person­nelles de la CNIL ; Guide d’hygiène infor­ma­tique de l’ANSSI). La CJUE précise que cette obli­ga­tion de moyens doit s’apprécier en deux temps. Dans un premier temps, iden­ti­fier les risques de viola­tion des données à carac­tère person­nel induits par le trai­te­ment concerné et leurs éven­tuelles consé­quences pour les droits et liber­tés des personnes physiques. Dans un second temps, véri­fier si les mesures mises en œuvre par le respon­sable de trai­te­ment sont adap­tées à ces risques compte tenu de l’état des connais­sances, des coûts de mise en œuvre ainsi que de la nature, de la portée, du contexte et des fina­li­tés de ce trai­te­ment (cf. C‑340/​21 « VB » du 14 décembre 2023, point 42). 

Par consé­quent, la simple surve­nance d’une viola­tion de données ne carac­té­rise pas à elle seule, un manque­ment à l’art. 32 RGPD. Toutefois, si celle-ci a été rendue possible ou faci­li­tée par l’absence ou l’insuffisance des mesures de sécu­rité mises en œuvre par le respon­sable de trai­te­ment, ce dernier peut être sanc­tionné au titre de cette dispo­si­tion. En complé­ment, la CNIL ajoute que le Conseil d’État a confirmé à plusieurs reprises que le manque­ment à l’art. 32 RGPD peut être carac­té­risé à la lumière des recom­man­da­tions de l’Autorité (cf. CE, n°472864 « Commune de Beaucaire » du 30 avril 2024). 

Sur les risques du trai­te­ment pour les personnes concer­nées, les socié­tés estiment que les trai­te­ments ne présen­taient pas de risque élevé puisqu’ils ne concer­naient pas des données sensibles (art. 9 RGPD) et que la compro­mis­sion des IBAN seuls, ne permet pas de réali­ser des prélè­ve­ments frau­du­leux. A contra­rio, la CNIL ne partage pas complè­te­ment cet avis et précise que l’accès non auto­risé ou la divul­ga­tion des données trai­tées par les socié­tés est de nature à créer un préju­dice moral et maté­riel pour les personnes concer­nées tel que la revente de leurs données, une usur­pa­tion d’identité ou des tenta­tives d’hameçonnage. La forma­tion restreinte ajoute que les IBAN sont des données « haute­ment » person­nelles et qu’une personne dispo­sant d’un IBAN usurpé, peut tout de même procé­der à un paie­ment frau­du­leux sur un site inter­net par l’intermédiaire d’une simple case à cocher. 

Sur le niveau de sécu­rité déployé par les socié­tés, l’ANSSI rappelle que les enti­tés doivent adop­ter des mesures spéci­fiques au noma­disme dans leurs poli­tiques de sécu­rité du système d’information. Pour cela, il est néces­saire de mettre en œuvre un VPN entre le poste nomade et le système d’information interne de l’entité et de prévoir une authen­ti­fi­ca­tion multi­fac­teur forte des utili­sa­teurs. En l’espèce, l’absence de mise en œuvre de ces mesures est repro­chée aux deux socié­tés. 

En outre, sur l’absence de détec­tion des compor­te­ments anor­maux, la CNIL et l’ANSSI rappellent que la mise en place d’un dispo­si­tif de jour­na­li­sa­tion est un prére­quis indis­pen­sable en ce qu’il parti­cipe au respect de l’obligation de sécu­ri­sa­tion de tout trai­te­ment de données à carac­tère person­nel et permet de détec­ter, d’analyser et de répondre aux inci­dents de sécu­rité (cf. Délibération n° 2021-122 du 14 octobre 2021 portant adop­tion d’une recom­man­da­tion rela­tive à la jour­na­li­sa­tion ; Guide ANSSI, Recommandations de sécu­rité pour l’architecture d’un système de jour­na­li­sa­tion). En l’espèce, bien que les socié­tés aient pris des mesures au cours de la procé­dure permet­tant de mettre fin aux manque­ments consta­tés, les mesures mises en œuvre par ces dernières pour détec­ter les connexions frau­du­leuses à leur VPN et les compor­te­ments suspects sur leurs réseaux internes, étaient insuf­fi­santes au jour du contrôle.  

En complé­ment, il est repro­ché à la société FREE MOBILE de ne pas avoir pris les mesures néces­saires pour assu­rer la confi­den­tia­lité du stockage des mots de passe des utili­sa­teurs de son outil de gestion clien­tèle, bien que cette vulné­ra­bi­lité n’ait pas été exploi­tée par l’attaquant dans le cadre de la viola­tion (cf. Délibération n° 2022-100 du 21 juillet 2022 portant adop­tion d’une recom­man­da­tion rela­tive aux mots de passe et autres secrets parta­gés, et abro­geant la déli­bé­ra­tion n°2017–012 du 19 janvier 2017 ; Guide ANSSI, Recommandations rela­tives à l’authentification multi­fac­teur et aux mots de passe). 

Par consé­quent, ces diffé­rents manque­ments ont faci­lité la surve­nance de cette viola­tion de données et consti­tuent une viola­tion des dispo­si­tions de l’art. 32 RGPD. 

L’obligation de commu­ni­quer aux personnes concer­nées la surve­nance d’une viola­tion de données (art. 34 RGPD) 

Il est repro­ché aux socié­tés que le cour­riel d’information adressé aux personnes concer­nées par la viola­tion de données ne four­nis­sait aucune indi­ca­tion sur les mesures de remé­dia­tion déployées, les consé­quences probables de la viola­tion de données, ou les précau­tions à adop­ter par les personnes concer­nées pour atté­nuer les risques induits. 

En ce sens, l’art. 34 para. 1 RGPD précise que « lors­qu’une viola­tion de données à carac­tère person­nel est suscep­tible d’en­gen­drer un risque élevé pour les droits et liber­tés d’une personne physique, le respon­sable du trai­te­ment commu­nique la viola­tion de données à carac­tère person­nel à la personne concer­née dans les meilleurs délais. » et le para. 2 ajoute les mentions qui doivent obli­ga­toi­re­ment figu­rer dans le contenu de cette commu­ni­ca­tion en renvoyant à l’art. 33 para. 3 let. b, c et d RGPD.

Dans la conti­nuité, le consi­dé­rant 86 précise que cette commu­ni­ca­tion doit « formu­ler des recom­man­da­tions à la personne physique concer­née pour atté­nuer les effets néga­tifs poten­tiels » et comme le précise le Comité euro­péenne de la protec­tion des données (CEPD), « l’objectif prin­ci­pal [de l’art. 34 RGPD] est d’aider les personnes concer­nées à comprendre la nature de la viola­tion ainsi que les mesures qu’elles peuvent mettre en place pour se proté­ger » (cf. CEPD, Lignes direc­trices 09/​2022 sur la noti­fi­ca­tion de viola­tions de données à carac­tère person­nel en vertu du RGPD, point 83). 

Plus concrè­te­ment, les infor­ma­tions devant figu­rer a minima dans un premier niveau d’information d’une noti­fi­ca­tion de viola­tion de données sont les suivantes :  

• la descrip­tion de la nature de la viola­tion de données, avec si possible, les caté­go­ries et le nombre approxi­ma­tif de personnes concer­nées par la viola­tion ;  

• le nom et les coor­don­nées du délé­gué à la protec­tion des données ou d’un autre point de contact auprès duquel des infor­ma­tions supplé­men­taires peuvent être obte­nues ; 

• les consé­quences probables de la viola­tion de données à carac­tère person­nel, et  

• les mesures prises ou que le respon­sable du trai­te­ment propose de prendre pour remé­dier à la viola­tion de données à carac­tère person­nel, y compris, le cas échéant, les mesures pour en atté­nuer les éven­tuelles consé­quences néga­tives. 

Le respon­sable de trai­te­ment peut égale­ment choi­sir de four­nir des infor­ma­tions complé­men­taires à celles-ci (cf. CEPD, Lignes direc­trices 09/​2022 sur la noti­fi­ca­tion de viola­tions de données à carac­tère person­nel en vertu du RGPD, point 87). 

En l’espèce, les socié­tés ont adressé un premier cour­riel d’information, consti­tuant un premier niveau d’information, en insé­rant dans ce cour­riel un numéro gratuit ainsi qu’un système de « ticket DPO » afin de répondre aux ques­tions complé­men­taires des personnes, consti­tuant un second niveau d’information.  

Toutefois, la forma­tion restreinte reproche aux socié­tés l’utilisation de formu­la­tions trop vagues et, par consé­quent, l’absence de plusieurs éléments impor­tants, comme une descrip­tion des prin­ci­pales mesures correc­tives prises pour remé­dier à la viola­tion de données en cause, une mention indi­quant que les comptes compro­mis ont été révo­qués, que les vulné­ra­bi­li­tés liées à leur outil métier ont été corri­gées et que l’accès aux données à carac­tère person­nel a été renforcé. L’Autorité ajoute qu’un renvoi vers la page dédiée du site cyber​mal​veillance​.gouv​.fr aurait été plus perti­nent. 

Cela est d’autant plus regret­table puisque les socié­tés avaient bien iden­ti­fié les diffé­rents risques et recom­man­da­tions à mettre en place dans leur noti­fi­ca­tion initiale auprès de la CNIL et que la descrip­tion des mesures de sécu­rité mises en œuvre par un orga­nisme ne présente pas toutes un risque pour la sécu­rité d’un système d’information et peuvent, par consé­quent, être parta­gées. 

Pour ces raisons, un manque­ment à l’art. 34 RGPD a été carac­té­risé à l’encontre de ces deux socié­tés. 

Conclusion 

Ces déci­sions s’inscrivent dans la conti­nuité de la doctrine de la CNIL et illus­trent qu’avant de prendre des sanc­tions, l’Autorité met en balance l’intégralité des manque­ments repro­chés, leur gravité et le nombre de personnes concer­nées. En effet, ce que la CNIL sanc­tionne dans cette déci­sion c’est l’ampleur de la viola­tion de données en raison du nombre très impor­tant de personnes concer­nées et l’insuffisance des mesures de sécu­rité déployées par les socié­tés. 

On retrouve égale­ment dans la déci­sion à l’encontre de la société FREE MOBILE, un aveu de non-confor­mité. La société FREE MOBILE recon­naît que son acti­vité a débuté en 2012, mais que la ques­tion de la suppres­sion des données ne s’est posée que très récem­ment. Rappelons-le, le RGPD est entré en appli­ca­tion le 25 mai 2018.  

Cela illustre une triste réalité : les entre­prises, même de grandes tailles, n’ont pris les sujets de protec­tion des données au sérieux que très tardi­ve­ment et la confor­mité reste souvent un sujet annexe dans la gouver­nance des entre­prises, au lieu d’en être le cœur.  

Il y a donc une réelle néces­sité d’anticiper les risques et de prévoir sa gouver­nance en amont de la mise en œuvre de tout trai­te­ment, à la fois pour éviter ce type de sanc­tion, mais surtout pour proté­ger la vie privée des indi­vi­dus. Soulignons qu’au-delà du risque de sanc­tion finan­cière, un préju­dice répu­ta­tion­nel et une perte de confiance des clients sont égale­ment des risques à consi­dé­rer.  

En outre, il est ainsi impor­tant de rete­nir de ces déci­sions les obli­ga­tions de trans­pa­rence en cas de viola­tion et d’information des personnes concer­nées de manière claire et complète, de mettre en place des durées de conser­va­tion adéquates afin de dimi­nuer le risque d’attaque et la néces­sité d’investir dans la détec­tion et la réponse aux inci­dents. 

Au surplus, notons que l’opérateur conteste la sévé­rité de la sanc­tion et a annoncé avoir déposé un recours devant le Conseil d’État. A suivre …