En infligeant aux sociétés Free Mobile et Free, des amendes à hauteur respective de 27 et 15 millions d’euros d’amende, soit un montant cumulé de 42 millions d’euros, la Commission nationale de l’informatique et des libertés (ci-après « CNIL ») marque un tournant décisif dans sa politique de répression des manquements à la sécurité. Les délibérations du 8 janvier 2026[1] confirment l’exigence renforcée de sécurité pesant sur les responsables de traitement et consacrent une jurisprudence fermement axée sur l’accountability en cybersécurité.
En l’espèce, entre le 28 septembre et le 22 octobre 2024, un attaquant est parvenu à s’introduire dans les systèmes d’information des deux opérateurs de télécommunications en exploitant plusieurs vulnérabilités. Cet accès frauduleux est demeuré actif durant près d’un mois sans être détecté par les dispositifs de sécurité en place. L’attaquant a ainsi eu accès aux données relatives à 24 633 469 contrats, dont 19 460 891 contrats mobiles conclus avec Free Mobile et 5 172 577 contrats fixes conclus avec Free. La compromission n’a été révélée qu’à la suite d’une alerte émanant de l’attaquant lui-même, le 21 octobre 2024, selon une pratique courante dans les attaques de type rançongiciel (ransomware).
Faisant notamment suite à plus de 2 500 plaintes de personnes concernées par cette violation de données, la CNIL a réalisé un contrôle qui a mis en évidence des manquements aux obligations établies par le Règlement n° 2016/679 du 27 avril 2016 (ci-après « RGPD ») imputables aux sociétés Free et Free Mobiles, chacune responsable du traitement des données de leurs propres abonnés.
La formation restreinte de la CNIL a retenu un manquement à l’obligation de sécurité (RGPD, art. 32), relevant qu’au jour de la violation les sociétés n’avaient pas mis en œuvre des mesures élémentaires de protection susceptibles, à tout le moins, de rendre l’attaque plus difficile.
Ces deux délibérations constituent une référence jurisprudentielle en matière de sécurité des données. Elles offrent une illustration particulièrement aboutie de l’appréciation des obligations de sécurité prévues à l’article 32 du RGPD (I.A), de la mise en œuvre de la responsabilité conjointe de traitement (I.B), ainsi que des limites du principe de non bis in idem en matière de sanctions administratives (II.A). Elles confirment, enfin, le renforcement d’une politique de sanction exigeante, fondée sur une évaluation concrète des risques et sur une application effective du principe d’accountability (II.B).
- Une appréciation exigeante des obligations de sécurité à l’aune de la coresponsabilité des acteurs du traitement
- L’appréciation du manquement aux obligations de sécurité de l’article 32 du RGPD
Les décisions Free et Free Mobile précisent utilement la portée de l’article 32 du RGPD, que la formation restreinte de la CNIL qualifie de manière constante d’obligation de moyens et non de résultat[2], dans le sillage de la jurisprudence de la Cour de justice de l’Union européenne, en particulier l’arrêt Agence nationale des recettes publiques de Bulgarie[3], aux termes duquel le RGPD « instaure un régime de gestion des risques et […] ne prétend nullement éliminer les risques de violation des données ».
La seule survenance d’une violation de données ne suffit donc pas à caractériser un manquement ; celui-ci résulte du fait que la violation a été rendue possible ou facilitée par l’insuffisance des mesures de sécurité.
Cette qualification implique une analyse en deux temps : identification des risques liés au traitement et de leurs conséquences, puis appréciation du caractère approprié des mesures mises en œuvre au regard de ces risques, de l’état des connaissances, des coûts et de la nature du traitement. En l’espèce, la CNIL retient un niveau de risque élevé, compte tenu de la volumétrie des données (près de 25 millions d’abonnés), de leur nature (notamment les IBAN), des conséquences potentielles (fraudes, usurpation d’identité) et de la probabilité de survenance des attaques, écartant l’argument selon lequel un IBAN serait inoffensif.
A l’aune de cette analyse, la CNIL juge insuffisantes les mesures techniques et organisationnelles déployées, au regard du principe de « défense en profondeur ». Elle relève notamment des carences dans l’authentification des accès VPN (absence de certificats machines et d’authentification multi-facteurs), dans la gestion des accès internes, ainsi que dans les dispositifs de journalisation et de détection des comportements anormaux, la simple collecte de logs étant jugée inefficace sans capacités d’analyse.
Enfin, concernant Free Mobile, la CNIL retient un manquement autonome tenant au stockage non conforme des mots de passe, en méconnaissance des recommandations constantes de l’ANSSI et de la CNIL, notamment quant au recours à des fonctions de hachage lentes à calculer. Elle rappelle à cette occasion que « les difficultés techniques n’exonèrent pas le responsable de traitement de son obligation de sécurité », indépendamment de toute exploitation effective de la vulnérabilité.
- La mise en œuvre conjointe d’un traitement
L’une des questions préalables posées par l’affaire portait sur la qualification juridique des relations entre les sociétés Free et Free Mobile au regard du droit de la protection des données personnelles. Toutes deux filiales à 100 % de la société mère Iliad, elles entretenaient des liens organisationnels étroits, tenant notamment au partage de certains locaux, à l’existence de dirigeants communs et à la mutualisation partielle d’infrastructures de sécurité. Ce faisceau d’indices était susceptible de conduire à une qualification large de responsabilité conjointe de traitement, au sens de l’article 26 du RGPD, d’autant que la violation de données affectait des abonnés communs aux deux sociétés. Les décisions commentées présentent toutefois un intérêt particulier en ce qu’elles illustrent une application mesurée et rigoureuse de cette notion.
Dans un premier temps, la CNIL retient que Free Mobile et Free doivent être regardées comme responsables conjointes pour certains traitements, dès lors qu’elles participaient conjointement à la détermination de leurs finalités et moyens. Cette qualification s’inscrit dans le droit fil de la jurisprudence constante de la Cour de justice de l’Union européenne, notamment issue des arrêts Wirtschaftsakademie[4] et Fashion ID[5], selon laquelle la responsabilité conjointe suppose l’exercice d’une influence déterminante, fût-elle partielle, sur les décisions relatives au traitement.
Toutefois, la formation restreinte valide l’analyse du rapporteur en opérant une distinction nette entre les traitements relevant de la gestion propre des abonnés de chaque société. Elle relève que chaque entité mettait en œuvre des traitements distincts, fondés sur des outils informatiques spécifiques : l’outil MOBO pour Free Mobile, donnant accès à la base des abonnés mobiles, et l’outil SIEBEL pour Free, dédié à la gestion des abonnés fixes. Ces traitements répondaient à des logiques fonctionnelles propres et faisaient l’objet de choix techniques et organisationnels différenciés, certaines défaillances constatées ne pouvant dès lors être imputées qu’à l’un ou l’autre système d’information. La CNIL en déduit que, pour ces traitements, chaque société devait être qualifiée de responsable de traitement autonome.
Cette qualification emporte des conséquences procédurales décisives. Par décision du 24 juillet 2025, la présidente de la CNIL a ainsi choisi de disjoindre la procédure initialement engagée afin d’ouvrir deux procédures de sanction distinctes, chacune visant l’une des sociétés concernées.
Ce choix illustre avec clarté le principe de responsabilité personnelle en matière de protection des données : chaque responsable de traitement répond des manquements imputables à son propre système d’information et aux décisions prises quant aux mesures de sécurité déployées. Une telle approche pragmatique permet d’éviter la dilution des responsabilités au sein des groupes de sociétés, fréquemment dénoncée par la doctrine, tout en garantissant une appréciation individualisée des manquements et une sanction proportionnée à la gravité des défaillances constatées.
- Une politique de sanction rationalisée : dépassement du non bis in idem et consécration de l’unité économique
- Une limite au principe « non bis in idem » en matière de sanctions administratives
A titre de moyen de défense, les sociétés mises en cause ont invoqué la méconnaissance du principe non bis in idem, consacré par l’article 50 de la Charte des droits fondamentaux de l’Union européenne. Elles soutenaient que la prise en compte du chiffre d’affaires de la société mère Iliad pour sanctionner deux filiales distinctes, à raison de faits ayant partiellement affecté les mêmes données (celles des clients dits « convergents »), revenait à sanctionner deux fois des faits identiques. Selon elles, l’existence d’une attaque unique et les liens étroits unissant les deux sociétés faisaient obstacle au prononcé de sanctions distinctes.
La formation restreinte écarte nettement cette argumentation en rappelant que, selon une jurisprudence européenne constante, le principe de non bis in idem ne trouve à s’appliquer que lorsqu’une même personne a déjà fait l’objet d’une condamnation définitive pour les mêmes faits constitutifs de la même infraction[6]. Or, en l’espèce, les sociétés Free Mobile et Free constituent des personnes morales distinctes, poursuivies pour des manquements autonomes. Si la violation de données a effectivement concerné, pour partie, des données communes, elle trouve son origine dans des vulnérabilités propres à chaque système d’information. Ainsi, s’agissant de Free Mobile, les manquements retenus tenaient notamment à l’insuffisante sécurisation de l’accès VPN et aux défaillances du dispositif de détection de l’outil MOBO. Pour Free, les manquements résultaient de carences spécifiques affectant les mécanismes de détection mis en œuvre sur l’outil SIEBEL. Ces défaillances, bien qu’ayant concouru à une violation de données d’ampleur commune, constituent des manquements distincts, imputables à des responsables de traitement différents.
Cette solution s’inscrit pleinement dans la logique du RGPD, qui privilégie une approche individualisée de la responsabilité et de la sanction. Elle permet d’éviter qu’une organisation en filiales ne serve de vecteur d’évitement de la responsabilité, tout en garantissant le respect strict du principe de personnalité des peines.
- L’unité économique et la responsabilité individualisée dans le calcul des amendes
Les délibérations commentées s’inscrivent dans une méthodologie de calcul des amendes désormais consacrée au niveau européen, fondée sur une lecture économique et fonctionnelle de l’article 83 du RGPD. Cette approche repose sur la notion d’« entreprise », entendue comme une unité économique, indépendamment de la pluralité des personnes morales qui la composent. Pour déterminer le montant des amendes, la CNIL applique une méthodologie en plusieurs étapes.
Elle identifie d’abord, pour chaque manquement, le responsable de traitement au sens du RGPD. Toutefois, pour la détermination du plafond légal de l’amende, elle ne se limite pas à l’entité juridique formellement sanctionnée. Constatant que les sociétés Free et Free Mobile appartiennent à une même unité économique, le groupe Iliad, caractérisée par un contrôle capitalistique intégral et une direction commune, la CNIL retient une approche consolidée. Conformément à la jurisprudence Deutsche Wohnen[7], le chiffre d’affaires pris en compte est ainsi celui du groupe, et non celui de la seule filiale sanctionnée. Le plafond de 2 % ou 4 % du chiffre d’affaires mondial annuel est dès lors calculé sur la base du chiffre d’affaires consolidé du groupe Iliad, ce plafond constituant une limite maximale sans préjuger du montant effectivement prononcé.
Dans un second temps, la CNIL procède à une individualisation fine des sanctions, au regard des critères énumérés à l’article 83, § 2, du RGPD, tenant notamment à la gravité et à la durée des manquements, au nombre de personnes concernées, à leur caractère intentionnel ou non, au degré de coopération avec l’autorité de contrôle et aux mesures correctrices mises en œuvre. C’est à ce stade que la distinction entre Free et Free Mobile retrouve toute sa portée : si le plafond est apprécié à l’échelle du groupe, le montant final de chaque amende est déterminé en fonction des manquements propres à chaque entité.
Les décisions Free et Free Mobile illustrent ainsi avec clarté l’articulation entre un plafond économique commun, apprécié au niveau du groupe, et une responsabilité juridique strictement individualisée.
[1] CNIL, 8 janv. 2026, délib. SAN-2026-001 : https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000053352664 ; CNIL, 8 janv. 2026, délib. SAN-2026-002 : https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000053352643
[2] CNIL, 7 déc. 2020, délib. SAN-2020-014 : https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000042675720?isSuggest=true ; CNIL, 28 déc. 2021, délib. SAN-2021-020 : https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000044609709
[3] CJUE, 14 déc. 2023, aff. C-340/21 : https://infocuria.curia.europa.eu/tabs/document?source=document&text=&docid=280623&pageIndex=0&doclang=FR&mode=req&dir=&occ=first&part=1&cid=7150229
[4] CJUE, 5 juin 2018, aff. C-210/16 : https://infocuria.curia.europa.eu/tabs/affair?lang=fr&sort=AFF_NUM-DESC&searchTerm=%22C-210%2F16%22&publishedId=C-210%2F16
[5] CJUE, 29 juill. 2019, aff. C-40/17 : https://infocuria.curia.europa.eu/tabs/affair?lang=FR&sort=AFF_NUM-DESC&searchTerm=%22C-40%2F17%22&publishedId=C-40%2F17
[6] CJUE, 7 janv. 2004, aff. C-204/00, Aalborg Portland : https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=ecli%3AECLI%3AEU%3AC%3A2004%3A6
[7] CJUE, 5 déc. 2023, aff. C-807/21 : https://infocuria.curia.europa.eu/tabs/document?source=document&text=&docid=280325&pageInde=
