Données personnellesFree lourdement sanctionnée par la CNIL après une exposition massive des données de ses abonnés

Dans un contexte où l’exploitation des données personnelles est devenue un levier économique majeur pour les grandes entreprises du numérique et la cybersécurité une priorité nationale, le respect du cadre légal ne peut être relégué au second plan. La sanction prononcée par la CNIL le 13 janvier 2026 à l’encontre de Free s’inscrit précisément dans cette exigence fondamentale de protection des droits des consommateurs.

Loin d’être anodine, cette décision est l’aboutissement d’une démarche collective, à laquelle a concouru notre association afin de faire respecter un principe essentiel : la protection des données personnelles ne doit souffrir d’aucun compromis et la cybersécurité en constitue un pilier essentiel.

Cette sanction fait en effet suite à la plainte notamment déposée par notre association en avril 2025 (s’ajoutant à celles de plus de 2 500 personnes), suite à la vaste fuite de données survenue à l’automne 2024 chez l’opérateur Free (19 millions d’abonnés touchés parmi lesquels figuraient les données de 5,1 millions d’IBAN… rien que cela !).

Par sa décision, elle rappelle avec force qu’aucun acteur, quelle que soit sa position sur le marché ou sa puissance économique, ne peut s’affranchir des règles générales de sécurité. Plus précisément, la CNIL estime que Free Mobile et Free n’ont pas suffisamment assuré la sécurité des données personnelles de leurs abonnés en omettant certaines mesures élémentaires de sécurité qui auraient pu rendre la cyberattaque plus difficile. Au surplus, les deux sociétés n’ont pas communiqué les informations obligatoires visées à l’article 33 du RGPD aux personnes victimes de la fuite de leurs données (comme la nature de la violation de données). Enfin, Free Mobile n’avait pas mis en place de dispositif pour trier et supprimer les données des anciens abonnés au-delà de ce qui était nécessaire à des fins comptables et autorisé par la réglementation.

L’UFC- Que Choisir poursuit avec détermination sa défense des droits des consommateurs afin que ceux-ci ne soient pas théoriques et soient réellement pris en compte par les entreprises au travers de pratiques conformes à la réglementation. Désormais les professionnels savent à quoi s’attendre si la sécurité des données collectées ou l’information sur celle-ci est négligée. À charge pour eux de mettre tout en œuvre afin d’empêcher toutes violations !