La sanction est lourde. Et le message, clair. Mercredi 14 janvier 2026, la Commission nationale de l’informatique et des libertés a infligé une amende record de 42 millions d’euros à Free et Free Mobile.
Selon Midi Libre, en cause : une cyberattaque massive survenue en octobre 2024, qui a exposé les données personnelles de 24 millions de clients.
Des failles de sécurité jugées élémentaires
Dans sa décision, rendue le 8 janvier et publiée sur Légifrance, la Cnil pointe de graves manquements aux obligations de sécurité et au RGPD. L’autorité estime que le groupe Iliad n’a pas mis en place des mesures pourtant fondamentales.
« Les entreprises n’ont pas déployé certaines protections élémentaires qui auraient pu rendre l’attaque plus difficile », souligne la Cnil.
Le pirate a notamment exploité une procédure d’authentification insuffisamment robuste pour accéder au réseau interne.
Conservation abusive des données
Free Mobile est aussi sanctionné pour avoir conservé, durant des années, les données d’anciens clients. Plus de 15 millions de contrats résiliés restaient stockés, parfois depuis plus de dix ans, une pratique jugée « manifestement excessive ».
Free conteste, la Cnil assume
L’opérateur dénonce une « sévérité inédite » et annonce un recours devant le Conseil d’État. Ce recours ne suspend toutefois pas l’exécution des sanctions. La Cnil exige, en parallèle, la mise en conformité complète des systèmes de sécurité sous trois mois.