Free écope d'une amende record de 42 millions d'euros après le piratage massif de 2024

Par La rédaction le 14.01.2026 14.01.2026

Illustration représentant la sanction de la CNIL contre Free pour la fuite de données personnelles

La Commission nationale de l'informatique et des libertés (CNIL) a infligé ce 13 janvier 2026 une sanction financière historique à Free et Free Mobile. Les deux entités du groupe de Xavier Niel devront s'acquitter d'un total de 42 millions d'euros pour avoir manqué à leurs obligations de protection des données personnelles, suite à la cyberattaque massive survenue en octobre 2024.

Cette décision intervient après plus d'un an d'enquête, déclenchée par le dépôt de plus de 2 500 plaintes auprès du gendarme français des données personnelles. L'intrusion avait permis à un pirate de s'introduire dans les systèmes informatiques de l'opérateur et d'accéder aux informations de 24 millions de contrats d'abonnés, incluant des données bancaires sensibles comme les IBAN pour les clients disposant à la fois d'une offre mobile et d'une box internet.

Des failles de sécurité élémentaires pointées du doigt

La formation restreinte de la CNIL n'y est pas allée de main morte dans ses conclusions. L'autorité a relevé que Free n'avait pas mis en œuvre « certaines mesures élémentaires de sécurité qui auraient pu rendre l'attaque plus difficile ». Parmi les griefs retenus : une procédure d'authentification au VPN jugée insuffisamment robuste et des systèmes de détection d'anomalies totalement défaillants face à l'intrusion.

Plus embarrassant encore pour l'opérateur : la CNIL a constaté que Free Mobile conservait des données relatives à plus de 15 millions de contrats résiliés depuis plus de cinq ans, dont trois millions depuis plus de dix ans. Une rétention qualifiée de « manifestement excessive » et contraire aux principes du Règlement général sur la protection des données (RGPD). Cette accumulation de données dormantes a considérablement aggravé l'impact de la fuite de données personnelles.

Free dénonce une décision d'une sévérité inédite

La répartition de l'amende distingue les deux entités : 27 millions d'euros pour Free Mobile et 15 millions pour Free. Au-delà de la sanction pécuniaire, des délais stricts ont été imposés. L'opérateur dispose de trois mois pour finaliser ses nouvelles mesures de sécurité et de six mois pour purger ses bases de données obsolètes.

Free n'a pas tardé à réagir, qualifiant cette sanction de « sévérité inédite sans commune mesure au regard des précédents en matière de cyberattaques ». L'opérateur a annoncé son intention de déposer un recours devant le Conseil d'État, tout en assurant avoir renforcé son architecture de sécurité depuis l'incident. Pour rappel, un mineur de 16 ans avait été mis en examen en janvier 2025 dans le cadre de cette affaire.

Précision importante pour les victimes : les amendes de la CNIL ne servent pas à indemniser les particuliers. Ces sommes rejoignent directement le Trésor public. Les abonnés lésés souhaitant obtenir réparation devront engager des procédures distinctes, comme cela a été le cas pour d'autres piratages de grande ampleur ayant touché la France ces derniers mois.