Free / Free Mobile : sanction CNIL 42 M€ (fuite IBAN)
La CNIL a infligé le 13 janvier 2026 une amende record de 42 M€ à Free et Free Mobile pour une violation de 2024 ayant exposé 24 millions de contrats d'abonnés, dont des IBAN.
- Organisation
- Free et Free Mobile (groupe Iliad)
- Secteur
- Télécom / FAI
- Pays
- France
- Date des faits
- Octobre 2024 (violation de données) ; sanction rendue le 13 janvier 2026
- Ampleur
- 24 millions de contrats d'abonnés
- Vecteur
- Intrusion du système d'information (octobre 2024) ; manquements de sécurité retenus par la CNIL : authentification VPN insuffisante et détection des anomalies inefficace
- Données exposées
- Données d'identification d'abonnés, Coordonnées, IBAN (pour les clients cumulant Free Mobile et Free)
Le 13 janvier 2026, la CNIL a rendu deux décisions de sanction (délibération SAN-2026-001) à l’encontre des sociétés Free Mobile et Free, du groupe Iliad. L’autorité a prononcé une amende de 27 millions d’euros à l’encontre de Free Mobile et de 15 millions d’euros à l’encontre de Free, soit un total de 42 millions d’euros. Cette sanction fait suite à la violation de données survenue en octobre 2024, lorsqu’un attaquant est parvenu à s’infiltrer dans le système d’information des deux sociétés.
Selon la CNIL, l’incident a exposé des données personnelles concernant 24 millions de contrats d’abonnés. Des IBAN figuraient parmi les données compromises pour les personnes à la fois clientes de Free Mobile et de Free. L’autorité a notamment retenu un manquement à l’obligation de sécurité (article 32 du RGPD), pointant une authentification d’accès distant (VPN) insuffisante et une détection inefficace des comportements anormaux, ainsi qu’une notification aux personnes concernées incomplète (article 34) et, pour Free Mobile, une conservation excessive de données d’anciens abonnés (article 5-1-e).
Le montant de la sanction tient compte des capacités financières des sociétés, du nombre de personnes concernées et du caractère sensible des données exposées, en particulier le risque de fraude lié aux IBAN. Les abonnés concernés sont des résidents en France, ce qui place l’incident dans le périmètre des fuites touchant des données de personnes en Europe.
À noter que la CNIL a sanctionné l’authentification VPN insuffisante et la détection inefficace des comportements anormaux comme des manquements à l’obligation de sécurité (article 32) : ces faiblesses ont facilité l’attaque, mais l’autorité ne désigne pas formellement le VPN comme la porte d’entrée prouvée de l’intrusion. Free et Free Mobile ont par ailleurs annoncé contester la sévérité de la sanction et envisager un recours : celle-ci n’est donc pas nécessairement définitive.
Les faits sont confirmés par le communiqué officiel de la CNIL et recoupés par plusieurs sources de presse spécialisée et généraliste.