← Tous les articles

consultant

Free Mobile/Free sanctionnées 42 M€: leçons pour vos 72 h RGPD

CNIL sanctionne Free Mobile (27 M€) et Free (15 M€) après une violation touchant 24 M de contrats. Priorités: sécurité (art. 32), contenu des notifications à l’autorité (art. 33) et des communications aux personnes (art. 34).

Par Expertise Luxgap 16/06/2026

En janvier 2026, la CNIL a infligé 27 M€ à Free Mobile et 15 M€ à Free après une violation touchant 24 millions de contrats. Enseignement clé: sécurité (art. 32), information des personnes (art. 34) et contenu de la notification (art. 33) sont scrutés au mot près.

L’affaire

Le 13 janvier 2026, la CNIL a prononcé deux décisions de sanction à l’encontre de Free Mobile (27 M€) et de Free (15 M€), à la suite d’une intrusion révélée en octobre 2024 ayant exposé des données liées à 24 millions de contrats d’abonnés, dont des IBAN pour certains clients communs aux deux sociétés. La formation restreinte a retenu:

  • un manquement à l’article 32 RGPD (mesures de sécurité jugées insuffisantes, notamment une authentification VPN trop faible et une détection « inefficace » des comportements anormaux),
  • un manquement à l’article 34 RGPD (contenu incomplet des communications adressées aux personnes),
  • et, pour Free Mobile, un manquement au principe de limitation de la conservation (art. 5-1-e).

Références officielles: communiqué de la CNIL du 14/01/2026 et délibérations SAN‑2026‑001 et SAN‑2026‑002 du 08/01/2026 publiées sur Légifrance. Voir le récapitulatif et les liens vers les décisions: CNIL, Violation de données : sanction de 42 M€ à l’encontre de FREE MOBILE et FREE (avec liens « Délibération SAN‑2026‑001 » et « SAN‑2026‑002 »). (cnil.fr)

Le raisonnement juridique

  • Article 32 RGPD (sécurité): la CNIL rappelle que les mesures doivent être « appropriées » au risque réel. Ici, le nombre et la nature des données (dont des IBAN) imposaient une authentification robuste pour l’accès VPN (MFA résistant au phishing), une surveillance efficace et une détection d’anomalies opérationnelle. (cnil.fr)
  • Article 34 RGPD (communication aux personnes): le courriel d’information manquait d’éléments exigés par l’art. 34(2), lequel renvoie explicitement au contenu minimal prévu à l’art. 33(3)(b)-(d) (nature de la violation, catégories/volumes approximatifs, conséquences probables, mesures prises et à prendre, et point de contact). Autrement dit, un message « générique » qui n’aide pas les abonnés à se protéger (p. ex. risques concrets d’abus d’IBAN, gestes barrières attendus) est sanctionnable. Texte de référence: RGPD sur EUR‑Lex (art. 33 et 34). (eur-lex.europa.eu)
  • Article 33 RGPD (notification à l’autorité sous 72 h): même si la décision CNIL insiste surtout sur art. 32 et 34, elle illustre la cohérence du triptyque 32‑33‑34: la notification à l’autorité doit intervenir « sans retard indu et, si possible, 72 h au plus tard après en avoir pris connaissance » (art. 33(1)), et contenir les éléments de l’art. 33(3). Pour harmoniser et structurer ces contenus, le CEPD a adopté le 10 juin 2026 un modèle commun de notification des violations destiné aux autorités et aux organisations. Voir EDPB – Template for personal data breach notification (10/06/2026). (edpb.europa.eu)
  • Lignes directrices CEPD: pour apprécier quand notifier et quoi dire, les Guidelines 01/2021 (Examples regarding Personal Data Breach Notification) fournissent des cas concrets utiles (ransomware, fuite d’identifiants, pièces jointes mal adressées, etc.). (edpb.europa.eu)
  • Position CNPD (Luxembourg): la CNPD rappelle l’obligation de notifier si le risque pour les personnes est au moins « plausible », et précise l’organisation interne attendue côté responsable/sous-traitant pour respecter le délai de 72 h (« sans retard indu ») depuis la connaissance de la violation. Voir la page « Violations de données (RGPD) » de la CNPD: CNPD – Data breaches. (cnpd.public.lu)

Pour un rappel synthétique des articles concernés, voyez notre page dédiée au RGPD et ses exigences de notification.

Ce que ça change concrètement

Pour les dirigeants, DPO et CISO au Luxembourg (et frontaliers), cette affaire confirme trois exigences opérationnelles:

  1. Concevoir des parcours « 72 h » réalistes. Le délai n’est tenable que si vous avez:
    • une détection effective (SIEM/EDR avec corrélation et alertes pertinentes) et une procédure d’« awareness » qui fixe clairement le moment où l’organisation « prend connaissance » (déclencheur art. 33). En pratique, l’appui d’un SOC managé pour la détection d’incident sécurise ce jalon,
    • un tronc commun de notification basé sur l’art. 33(3) prêt à compléter: nature de la violation, catégories/volumes, conséquences probables, mesures prises/proposées, DPO/point de contact,
    • une matrice d’escalade avec rôles (CISO, DPO, Juridique, Comms, Direction) et un « fallback » week‑end/jours fériés.
  2. Rédiger des communications utiles pour les personnes (art. 34). L’email « nous enquêtons » est insuffisant si le risque est non négligeable. Il faut, en langage clair:
    • décrire ce qui a été compromis et pourquoi cela compte (p. ex. IBAN, risques d’escroquerie par virement),
    • donner des gestes de protection concrets (p. ex. vigilance aux ordres de virement, activation d’alertes bancaires, vérification IBAN, opposition si nécessaire),
    • indiquer les mesures techniques/organisationnelles prises,
    • fournir un canal d’assistance/DPO.
  3. Aligner vos registres et politiques de conservation (art. 5-1-e). Free Mobile a été épinglée pour conservation excessive: documentez des durées, paramétrez des purges automatiques, et suspendez la purge en cas d’exercice de droits ou d’incident si nécessaire (traçabilité).

À court terme, intégrez le nouveau modèle CEPD dans vos « playbooks » d’incident: il structure le contenu exigé par l’art. 33(3) et facilitera l’évaluation par l’autorité (y compris la CNPD). Voir le communiqué CNIL sur l’adoption du modèle commun et le lien EDPB: CNIL – Le CEPD adopte un modèle commun. (cnil.fr)

Si vous opérez au Luxembourg, alignez vos pratiques avec les attentes de la CNPD décrites dans notre page RGPD Luxembourg et conformité CNPD.

Pièges fréquents

  • Minimiser la portée de l’incident et attendre « la fin de l’enquête » avant d’alerter: l’art. 33 exige une notification initiale rapide, puis des compléments. La CNPD rappelle que l’absence d’exhaustivité initiale n’excuse pas l’absence d’alerte dans les temps. (cnpd.public.lu)
  • Courriel aux personnes trop générique: l’art. 34(2) renvoie explicitement au contenu de l’art. 33(3)(b)-(d); en pratique, manque d’explication des risques et des gestes concrets = manquement (illustré par Free/Free Mobile). (cnil.fr)
  • MFA « faible » sur VPN et journalisation inopérante: l’affaire montre qu’un MFA non résistant au phishing et une détection « à blanc » pèsent lourd dans l’appréciation de l’art. 32. (cnil.fr)
  • Durées de conservation non maîtrisées: conserver « au cas où » des millions d’anciens enregistrements vous expose à un cumul de griefs (sécurité + minimisation + conservation). (cnil.fr)
  • Sous-traitants non arrimés au « 72 h »: l’art. 33(2) impose au sous-traitant d’alerter « sans retard indu » le responsable. Testez ce flux en exercice: sans alerte amont, le responsable manquera la fenêtre de 72 h. Texte: Chapitre IV RGPD (CNPD). (cnpd.public.lu)

Sources officielles

  • CNIL — Violation de données: sanction de 42 M€ (Free Mobile 27 M€; Free 15 M€), 14/01/2026. Contient le contexte, les manquements (art. 32, 34, 5-1-e) et les liens Légifrance vers SAN‑2026‑001/002. https://www.cnil.fr/fr/sanction-free-2026. (cnil.fr)
  • EUR‑Lex — Règlement (UE) 2016/679 (RGPD): articles 33 et 34 (notification à l’autorité sous 72 h; communication aux personnes et contenu minimal). https://eur-lex.europa.eu/eli/reg/2016/679/oj?locale=EN. (eur-lex.europa.eu)
  • CNPD (Luxembourg) — Violations de données (RGPD): obligations de notification, rôle du sous-traitant, délai de 72 h. https. (cnpd.public.lu)
  • CEPD/EDPB — Modèle commun de notification d’une violation (10/06/2026): structure type pour satisfaire l’art. 33(3). https. (edpb.europa.eu)
  • CEPD/EDPB — Guidelines 01/2021 (Examples regarding Personal Data Breach Notification): cas pratiques pour décider de notifier et rédiger utilement. https. (edpb.europa.eu)
  • CNIL — Le CEPD adopte un modèle commun de notification: https. (cnil.fr)

En synthèse: l’affaire Free/Free Mobile confirme que l’autorité évalue de bout en bout la chaîne « sécuriser — notifier — informer ». Au Luxembourg, cadrez vos 72 h avec le gabarit CEPD, préparez des messages clairs aux personnes et documentez vos choix. Les écarts désormais constatés et chiffrés par les autorités (ici 42 M€) guident très précisément ce que la CNPD attend.

Article d'expertise Luxgap. Pour un cadrage personnalise sur ce sujet, contactez-nous ou configurez votre devis en ligne.

expertise reglementaire rgpd cnil cnpd notification-violation securite
NEWSLETTER LUXGAP

Recevez nos analyses des qu'elles sortent.

Articles d'expertise RGPD, NIS 2, IA, et invitations aux webinaires + formations gratuites Luxgap. 1 a 2 emails par semaine maximum, desabonnement en un clic.

Vos données ne sont jamais partagées. Conformité RGPD garantie (logique : on est DPO).

Une question sur ce sujet ?

Notre équipe répond généralement sous 24 h ouvrées. Configurez votre devis ou écrivez-nous.

Configurer mon devis →