La Cnil sanctionne Free très lourdement pour ses failles de sécurité : une impasse ?

Free doit s’acquitter d’une amende totale de 42 millions d’euros infligée par la Cnil. La Cnil affirme que les mesures de sécurité des données des abonnés étaient inadaptées. Les sanctions sont respectivement de 27 et 15 millions d’euros infligées à Free Mobile et Free.

Inciter les autres entreprises à se sécuriser ?

Le montant de l’amende est très élevé et amène à s’interroger sur l’efficacité de la stratégie de la Cnil. L’Autorité souhaite probablement que la publicité faite sur la sanction infligée à Free effraye les autres entreprises afin qu’elles agissent pour se protéger. Cela semble un vœu pieux car protéger un système d’information est un processus sans fin et les hackers ont toujours un coup d’avance.

Les sanctions de la Cnil se succèdent à l’encontre des entreprises et pourtant les vols de données sont récurrents dans tous les secteurs et toutes les tailles d’entreprise. Si l’on regarde juste du coté des 3 concurrents de Free, on constate que Bouygues Telecom était victime en août 2025 d’un vol de données sur 6,5 millions de clients. Le vol de données chez Free date d’octobre 2024 et n’a manifestement pas éclairé les pratiques de Bouygues Telecom.

Une sanction élevée qui amène à s’interroger

Une sanction de 42 millions d’euros apparaît excessive d’autant plus qu’aucune somme ne revient aux abonnés de Free qui vont devoir vérifier pendant des années que le vol de leurs données n’a pas de conséquences négatives sur leur vie quotidienne.

Dans la démarche de la Cnil, les hackers semblent totalement épargnés. Dès lors, plutôt que de verser l’amende infligée à Free dans le tonneau sans fond du budget de la France, on se prend à imaginer d’autres usages de ces 42 millions. Ou peut même penser utiliser ces sommes pour placer une rançon sur la tête des hackers qui détruisent la vie économique.

Imiter le FBI et ses Wanted des hackers

C’est ce que pratique le FBI aux Etats-Unis et dont se réjouit le Clusif, qui réunit les professionnels de la sécurité en France. Le FBI émet des avis « Wanted » sur des cybercriminels en rémunérant de 1 à 10 millions de dollars une information menant à leur arrestation. Le Clusif considère comme une bonne nouvelle la capacité du FBI à mobiliser autant d’argent pour lancer la chasse aux hackers.

« Le FBI a mis en place 274 millions de dollars pour traquer 42 personnes les plus recherchées [avec des primes] pouvant aller jusqu’à 10 millions de dollars pour les personnes particulièrement intéressantes” se sont félicités au micro l’avocate Garance Mathias et Valentin Jangwa du Clusif lors de la présentation le 15 janvier du bilan des attaques informatiques de 2025.

“C’est une prise de conscience et une volonté stratégique du FBI d’axer sur cette recherche notamment parce que les acteurs visés sont à la tête des réseaux de cyber criminalité. C’est la lutte contre les malwares et les rançongiciels qui va être au cœur des priorités du FBI » insistent-ils.

Que fait la police ?

On peut aussi financer une équipe de chasseurs de pirates. Quant aux sanctions, elles pourraient tout autant viser les services de l’Etat, la Police en tête car ils sont incapables de protéger les entreprises. Et une fois certains hackers pris, pourquoi ne devraient-ils pas s’acquitter des amendes et des coûts de sécurisation qu’ils infligent aux entreprises ?

Enfin, on pourrait imaginer plus judicieux d’imposer à Free d’investir son amende dans la sécurisation de ses services télécoms et mobiles. Cette amende pourrait servir également à contribuer à un pot commun de sécurisation des entreprises françaises. Sans oublier que l’on vit dans un univers très concurrentiel et que le “Name and Shame” peut déjà avoir un impact fort auprès des consommateurs lorsqu’ils veulent choisir un prestataire.

Un hacker a dérobé 24 millions de contrats d’abonnés

En ce qui concerne l’attaque contre Free et Free Mobile, la Cnil rappelle ce qui s’est passé en octobre 2024. Un attaquant est parvenu à s’infiltrer dans le système d’information des sociétés et à accéder à des données personnelles concernant 24 millions de contrats d’abonnés, dont les coordonnées bancaires IBAN lorsque les personnes étaient à la fois clientes de la société FREE MOBILE et de la société FREE.

La Cnil a réalisé un contrôle.  Elle sanctionne la méconnaissance de principes essentiels de sécurité, le nombre de personnes concernées et le caractère « hautement » personnel des données compromises ainsi que des risques engendrés par la fuite de certaines données telles que les IBAN.

Accès insuffisamment sécurisé au VPN de Free

La Cnil souligne que la procédure d’authentification pour se connecter au VPN de la société FREE MOBILE et à celui de la société FREE – utilisée en particulier pour le travail à distance des employés – n’était pas suffisamment robuste. De plus, les mesures déployées par les sociétés FREE MOBILE et FREE afin de détecter les comportements anormaux sur leur système d’information étaient inefficaces.

La Cnil reconnaît qu’il est impossible d’éliminer tout risque, mais elle estime que l’on peut en réduire la probabilité et, le cas échéant, en limiter la gravité. La Cnil affirme que les mesures de sécurité déployées par les sociétés afin d’assurer la confidentialité des données personnelles n’étaient pas adaptées.

De plus, lors de l’information des clients, la Cnil considère que l’email envoyé ne comportait pas toutes les informations nécessaires visées au paragraphe 2 de l’article 34 du RGPD. Elle estime que ces omissions ne permettaient notamment pas aux personnes concernées de comprendre directement les conséquences de la violation, ainsi que les mesures qu’elles pouvaient mettre en place pour se protéger de celles-ci.

Tri des données clients insuffisant

D’autre part, la Cnil a constaté que, au jour du contrôle, Free Mobile n’avait pas mis en place de mesures permettant de trier les données des anciens abonnés, afin de ne conserver que celles nécessaires à des fins comptables, puis de les supprimer lorsque cette conservation n’apparaît plus nécessaire. La Cnil estime que la société Free Mobile avait conservé des millions de données de ses abonnés, sans justification, pendant une durée excessive.

Free Mobile, lors de la procédure, a initié un tri afin de conserver pendant dix ans les seules données qui lui sont nécessaires pour respecter des obligations comptables et, a supprimé une partie des données conservées pendant une durée excessive. La Cnil a enjoint à la société de finaliser le tri et la purge des données dans un délai de six mois à compter de la notification de la délibération.

Note : l’article a été publié le 14 janvier et mis à jour à la suite de la conférence de presse du Clusif (Club de la Sécurité de l’Information français) du 15 janvier. La conférence du Clusif a présenté le PANOCRIM 2026 sur le bilan « Attaques, désinformation et supply chain : les tendances clés de la cybercriminalité à l’ère de l’Intelligence Artificielle (IA) » de 2025. Les perspectives pour 2026 apparaissent particulièrement négatives qu’il s’agisse de la manipulation facilitée de l’information avec l’IA, des attaques des sites critiques ou des vols de données personnelles.