Cerfrance Horizon 63
A l’occasion de deux délibérations sanctionnant un opérateur de téléphonie, la Cnil précise le contenu de l’obligation d’information de la personne dont les données ont fait l’objet d’une violation.
Publié le 28.05.2026
Les sociétés de téléphonie Free et Free Mobile ont été victimes, entre septembre et octobre 2024, d’une violation massive de données, ayant exposé les données personnelles de plus de 24 millions de contrats Free et Free Mobile (identité, coordonnées, données contractuelles et IBAN pour certains clients).
La société Free a notifié la violation à la Cnil et informé les personnes concernées, tandis qu’une mission de contrôle a été diligentée en novembre 2024. A la suite de cette enquête, la Cnil a sanctionné les deux sociétés en se fondant sur les éléments suivants.
D’une part, la Cnil relève une violation de l’obligation de sécurité au regard des risques élevés pour les personnes concernées, les sociétés n’ayant pas mis en œuvre, au jour de la violation des données, certaines mesures élémentaires de sécurité qui auraient pu rendre l’attaque plus difficile.
D’autre part, la Cnil retient un manquement des opérateurs à l’obligation de communiquer aux personnes concernées sur la survenance d’une violation de données à caractère personnel, qui requiert une information des personnes concernées par la violation à deux niveaux (Règl. 2016-679 du 27-4-2016, dit « RGPD », art. 34) :
- un socle obligatoire d’informations essentielles directement communiqué aux personnes concernées ;
- des informations complémentaires accessibles via des dispositifs additionnels.
En l’espèce, elle constate que ce schéma a été respecté sur la forme : un courriel initial constituait le premier niveau d’information, complété par des canaux dédiés permettant d’obtenir des précisions. Toutefois, certains éléments essentiels faisaient défaut dans la communication initiale. Ces omissions ne permettaient notamment pas aux personnes concernées de comprendre directement les conséquences de la violation ainsi que les mesures qu’elles pouvaient mettre en place pour s’en protéger.
La Cnil a prononcé à l’encontre des deux sociétés des amendes pour un montant total de 42 millions d’euros et une injonction de mise en conformité.
à noter : Lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, le responsable du traitement communique la violation de données à la personne concernée dans les meilleurs délais ; cette communication décrit, en des termes clairs et simples, la nature de la violation de données à caractère personnel et contient au moins les autres informations qui doivent être notifiées à l’autorité de contrôle, notamment les conséquences probables de la violation de données à caractère personnel et la description des mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives (RGPD art. 34).
La Cnil retient ici une atteinte à cette obligation de communication en dépit d’un dispositif d’information formellement conforme, apportant des informations pratiques très utiles sur le contenu et les caractéristiques exigées d’une telle communication.
En l’espèce, l’opérateur avait en effet bien eu recours à un double niveau d’information (courriel initial complété par des canaux de contact : système de ticket DPO et numéro vert gratuit). Toutefois, le contenu du message initial est jugé insuffisant en l’absence de certains éléments essentiels.
En particulier, l’autorité identifie des lacunes relatives aux mesures de remédiation et aux conséquences de la violation, ainsi qu’aux mesures à adopter par les personnes concernées.
S’agissant des mesures correctives, les sociétés soutenaient que leur divulgation pouvait accroître le risque de nouvelles attaques. La Cnil admet cette réserve, tout en affirmant que toutes les mesures de sécurité n’ont pas vocation à demeurer confidentielles. Elle en déduit que les responsables de traitement doivent, à tout le moins, décrire de manière synthétique et en termes accessibles les principales actions mises en œuvre, telles que la révocation des accès compromis, la correction de vulnérabilités ou le renforcement des contrôles d’accès.
Concernant les conséquences de la violation et les recommandations adressées aux personnes, la Commission reconnaît que les sociétés avaient fourni certaines indications (appel à la vigilance face aux sollicitations frauduleuses, rappel des bonnes pratiques, renvoi vers la plateforme cybermalveillance.gouv.fr). Néanmoins, ces éléments sont jugés trop généraux et insuffisamment opérationnels par la Cnil, qui exige une information plus ciblée, permettant aux personnes concernées d’identifier concrètement les risques encourus. Elle attend notamment la description du scénario de fraude plausible (par exemple, des tentatives d’escroquerie se faisant passer pour l’organisme concerné) ainsi que la mention explicite de risques tels que l’usurpation d’identité.
De même, les recommandations doivent être précises et directement exploitables (ne pas communiquer ses données personnelles, ne pas ouvrir de pièces jointes suspectes, identifier les signes de fraude). À cet égard, le seul renvoi vers le site cybermalveilance.gouv.fr est jugé insuffisant. Ce renvoi aurait dû être associé à une information sur les principaux signes de violation de données appelant à la vigilance.
En sanctionnant lourdement Free et Free Mobile, les délibérations commentées montrent la nécessité d’une information claire, utile et opérationnelle pour les personnes concernées.
Délib. Cnil SAN-2026-001 du 8-1-2026 - Délib. Cnil SAN 2026-002 du 8-1-2026
L'@ctualité en ligne, www efl.fr 18/05/2026
