La Commission nationale de l’informatique et des libertés a infligé une amende totale de 42 millions d’euros aux sociétés Free et Free Mobile pour des manquements à leurs obligations de sécurité des données personnelles. La décision, publiée mercredi 14 janvier au Journal officiel, fait suite à un piratage survenu en octobre 2024 ayant concerné plus de 24 millions de contrats.
Dans le détail, la Cnil a prononcé une sanction de 27 millions d’euros à l’encontre de Free Mobile et de 15 millions d’euros contre Free. Les deux entités, qui appartiennent au groupe Iliad, ont été sanctionnées pour des défaillances dans la protection des données de leurs abonnés, en violation du règlement général sur la protection des données (RGPD).
Selon la décision de la Cnil, l’attaque informatique a permis l’accès à des données confidentielles d’abonnés, dans un contexte où les mesures de sécurité mises en place par l’opérateur ont été jugées insuffisantes. Un mineur âgé de 16 ans, soupçonné d’être à l’origine de l’intrusion dans les systèmes de l’opérateur, avait été mis en examen en janvier 2025.
Dans un communiqué, Free a contesté la sanction, estimant qu’elle présente « une sévérité inédite sans commune mesure avec les précédents en matière de cyberattaques ». L’opérateur souligne que, dans d’autres affaires comparables, les sanctions prononcées auraient été « dérisoires » au regard de l’impact constaté sur les données personnelles.
Le groupe indique avoir déposé un recours devant le Conseil d’État afin d’obtenir la révision de cette décision. Free affirme également avoir renforcé ses dispositifs de sécurité depuis octobre 2024, notamment par une amélioration des contrôles d’accès et la mise en place d’une surveillance renforcée en temps réel.
L’entreprise assure par ailleurs que « les données de ses abonnés sont protégées par des systèmes répondant aux standards de sécurité les plus élevés », tout en rappelant qu’aucune organisation n’est totalement à l’abri d’attaques informatiques sophistiquées.
LES DROITS DES CLIENTS APRES LA SANCTION DE LA CNIL
Les clients concernés peuvent engager des actions en justice, mais la condamnation de la Cnil n’ouvre pas automatiquement droit à une indemnisation.
La sanction administrative prononcée par la Cnil vise à punir les manquements au RGPD et à prévenir leur répétition. Elle ne répare pas, en elle-même, le préjudice subi par les personnes concernées.
En revanche, la décision de la Cnil constitue un élément de preuve majeur dans le cadre d’une action civile. Les abonnés dont les données ont été compromises peuvent :
- saisir le tribunal judiciaire pour demander réparation d’un préjudice moral (atteinte à la vie privée, anxiété, exposition au risque d’usurpation d’identité) et, le cas échéant, d’un préjudice matériel ;
- s’appuyer sur l’article 82 du RGPD, qui reconnaît explicitement un droit à indemnisation pour toute personne ayant subi un dommage du fait d’une violation du règlement ;
- se regrouper dans le cadre d’une action collective portée par une association agréée de défense des consommateurs ou des libertés numériques.
Toutefois, les clients devront démontrer un préjudice personnel, même si celui-ci peut être apprécié de manière relativement souple par les juridictions. La simple existence d’un vol de données ne suffit pas toujours : les juges examinent l’atteinte concrète subie.
La procédure engagée par Free devant le Conseil d’État n’empêche pas ces actions civiles, sauf si la sanction venait à être annulée sur le fond.
