www.defenseconso.fr

Association de défense des consommateurs

Paris Nord Est
01 42 41 85 04 Coût d’un appel local
ADC Paris Nord Est
Adhérer à L'ADCpne
Administration / Justice Argent Consommation Multimedia / Télécom

Sanction de Free par la Cnil : une aubaine pour les victimes ?

par Colette Levassor027

Conséquence de la décision de la Cnil du 14 janvier, les clients victimes du piratage de Free l’an passé peuvent muscler leur demande de réparation.

Mesures de sécurité informatique élémentaires non mises en place, courrier d’information aux victimes lacunaire, conservation illégale des données d’anciens abonnés… La Commission nationale de l’informatique et des libertés (Cnil) a très sévèrement sanctionné, le mercredi 14 janvier 2026, des manquements graves qui valent à Free et à Free Mobile une très lourde amende de 42 millions d’euros au total.

En octobre 2024, l’affaire avait provoqué une onde de choc : une attaque informatique avait conduit à la fuite de plus de 24 millions de contrats clients (24 633 469 précisément). Plus inquiétant, 5,1 millions d’IBAN avaient aussi été dérobés, livrant ainsi en pâture autant de profils d’abonnés complets aux cyberescrocs.

La sanction infligée par la Cnil est aussi vertigineuse que la masse de données dérobées et se décompose en deux volets, frappant à la fois Free Mobile (27 millions d’euros de sanction) et Free (15 millions d’euros). Cette sévérité exceptionnelle s’explique par une accumulation de négligences que le gendarme de l’informatique et des libertés juge inexcusables pour un acteur de cette envergure.

Des failles de sécurité ahurissantes

La Cnil n’a pas de mot assez dur pour qualifier la légèreté de l’opérateur en matière de sécurité de ses fichiers client : « les sociétés n’avaient pas mis en œuvre certaines mesures élémentaires de sécurité qui auraient pu rendre l’attaque plus difficile », indique la sanction. Elle fustige ainsi la gestion des accès distants des employés de Free et de Free Mobile en télétravail, révélant que la procédure d’authentification des connexions VPN n’était « pas suffisamment robuste ». C’est d’ailleurs cette défaillance qui a permis à l’attaquant de s’introduire dans l’outil de gestion des abonnés sans grande difficulté.

L’opérateur a également été épinglé pour un manque criant de réactivité : le système n’a pas déclenché d’alerte alors que des volumes massifs de données étaient en train d’être extraits. « L’attaquant a pu accéder aux données des clients […], et ce pendant presque un mois, sans qu’une alerte ne soit émise ou, à supposer qu’une alerte ait bien été émise, sans que celle-ci soit traitée, ce qui a eu pour conséquence que la société n’a pas eu connaissance de l’accès non autorisé aux données avant que l’attaquant l’en informe lui-même », indique la décision de la Cnil. Ahurissant !

De plus, la Cnil a constaté que Free conservait les données d’anciens clients bien après le délai légal, augmentant mécaniquement le nombre de victimes. Les données de trois millions de contrats étaient par exemple conservées depuis plus de dix ans, a constaté la Cnil. « La conservation injustifiée des données a concerné les données d’environ 15 millions de contrats », précise le gendarme des données personnelles dans sa décision.

Plus grave, Free et Free Mobile ont été épinglés pour leur incapacité à informer correctement leurs abonnés. Le courriel qui leur a été envoyé ne comportait ainsi pas toutes les informations obligatoires : « ces omissions ne permettaient notamment pas aux personnes concernées de comprendre directement les conséquences de la violation, ainsi que les mesures qu’elles pouvaient mettre en place pour se protéger de celles-ci ». 

Ce que change la sanction de la Cnil pour les victimes

L’amende colossale infligée à l’opérateur par la Cnil ne bénéficiera malheureusement pas directement aux victimes. Comme les autres sanctions pécuniaires infligées par le gendarme des données personnelles, les 42 millions d’euros seront versés au budget général de l’État. Encore faut-il qu’elle le soit : le groupe de Xavier Niel qui estime la sanction disproportionnée, a annoncé à l’AFP qu’un recours devant le Conseil d’État allait être déposé pour « obtenir la révision de cette décision ».

Cette sanction ne laisse toutefois pas les victimes sans moyen d’action. Car elle constitue en elle-même une preuve à ajouter à un dossier. « Les clients qui ont vu leurs données piratées peuvent en principe obtenir réparation de leur préjudice selon l’article 82 du RGPD, indique Thomas Gonçalves, juriste à l’Institut national de la consommation (INC, l’éditeur de 60 millions de consommateurs).

Les victimes doivent néanmoins apporter des éléments de preuve* : 

  • « D’abord un traitement de leurs données en violation du Règlement général sur la protection des données (RGPD), ce qui a été établi ici avec les sanctions de la Cnil », précise Thomas Gonçalves.
  • Ensuite, un préjudice subi. « Le piratage en lui-même en est un, de même que les utilisations frauduleuses qui peuvent avoir lieu par la suite (démarchage téléphonique/spams par mail ou SMS, phishing, usurpation d’identité, etc.) », poursuit le juriste. La Cnil va d’ailleurs dans ce sens : « S’il n’est pas possible de déterminer avec certitude que les fraudeurs ont obtenu les données des plaignants par la violation de données en cause, et non par celle subie par un tiers disposant des mêmes données, il est constant que la perte de confidentialité des données traitées par Free Mobile a participé à l’augmentation du volume de données disponibles pour les attaquants potentiels », détaille la décision
  • Enfin, un lien de causalité entre les deux « Il faut prouver que le manquement de Free dans la protection des données n’a pas valablement permis d’empêcher le piratage et d’autres préjudices subis. Les sanctions prononcées permettront plus facilement d’établir ce lien », conclut Thomas Gonçalves.

Et concrètement, comment agir ? 

Les victimes de la fuite de données de Free peuvent d’abord déposer plainte au commissariat de police ou à la brigade de gendarmerie en cas d’utilisation frauduleuse de leurs données personnelles. Il faudra fournir des copies de toutes les preuves (messages, adresse du site web, captures d’écran). 

Elles peuvent aussi saisir directement l’opérateur pour tenter d’obtenir réparation. « Il faut écrire au service client/consommateur, fournir les preuves des préjudices subis (captures d’écran, dépôt de plainte, etc.) et exiger réparation, détaille Thomas Gonçalves. Mais comme il s’agit avant tout d’un préjudice moral (par ailleurs difficile à chiffrer), Free peut contester le montant demandé ou refuser purement et simplement. » En cas d’échec la médiation des communications électroniques peut être sollicitée. 


Dernier recours à activer : la voie judiciaire, surtout s’il s’agit de trancher des préjudices moraux plutôt que financiers. « Avoir recours à un avocat est conseillé, surtout qu’il s’agit de RGPD, un sujet complexe, conseille Thomas Gonçalves. Les clients lésés pourraient aussi se réunir pour intenter une action de groupe, dans la mesure où ils ont subi le même préjudice, en faisant appel à une association nationale de consommateurs agréée. » 

*CJUE C -300/21 4 mai 2023

Source : 60 millions de consommateurs, publié le 15 janvier 2026

ADC Paris Nord Est
ADC Paris Nord Est

L'Association des consommateurs Paris Nord-Est donne à tout consommateur une information générale ou un renseignement simple sur vos droits. Notre association peut également vous accompagner dans la résolution de votre litige de consommation si, comme l’exige la loi, vous en devenez adhérent.

Articles relatifs

Affichage des prix, devis… : la DGCCRF agit aussi dans le secteur médical et médico-social

Françoise Benoit-Lison

Restrictions de circulation des voitures Crit’air 3 en 2025 : quelles agglomérations sont concernées ?

Colette Levassor

Loi de financement de la Sécurité sociale (LFSS) pour 2021 : les principales mesures

Colette Levassor