— Les développements de la délibération comportant des données à caractère personnel ou des secrets protégés par la loi sont remplacés par le signe […] -

La Commission nationale de l’informatique et des libertés, réunie en sa formation restreinte composée de M. Philippe-Pierre CABOURDIN, président, M. Vincent LESCLOUS, vice-président, M^mes Laurence FRANCESCHINI et Isabelle LATOURNARIE-WILLEMS, MM. KLING, membres,

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, notamment ses articles 20 et suivants ;

Vu le décret n° 2019-536 du 29 mai 2019 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu la délibération n° 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l’informatique et des libertés ;

Vu la décision n° 2025-1154 QPC du 8 août 2025 du Conseil constitutionnel ;

Vu la décision n° 2024-205C du 6 novembre 2024 de la Présidente de la Commission nationale de l’informatique et des libertés de charger le secrétaire général de procéder ou de faire procéder à une mission de vérification ;

Vu la décision de la Présidente de la Commission nationale de l’informatique et des libertés portant désignation d’un rapporteur devant la formation restreinte du 24 juillet 2025 ;

Vu le rapport de M. Tarissan, commissaire rapporteur, notifié à la société le 25 juillet 2025 ;

Vu les observations écrites de la société FREE reçues le 15 septembre 2025 ;

Vu la réponse du rapporteur notifiée à la société FREE le 15 octobre 2025 ;

Vu les observations écrites de la société FREE reçues le 17 novembre 2025 ;

Vu la clôture de l’instruction notifiée à la société FREE le 18 novembre 2025 ;

Vu la demande de huis-clos formulée le 15 septembre 2025 et refusée le 3 décembre 2025 ;

Vu les observations orales formulées lors de la séance de la formation restreinte du 15 décembre 2025 ;

Vu la note en délibéré produite par la société le 19 décembre 2025 ;

Vu les autres pièces du dossier,

Étaient présents, lors de la séance de la formation restreinte du 15 décembre 2025 :

— Monsieur Tarissan, commissaire, entendu en son rapport ;

En qualité de représentants de la société FREE :

— […] ;

Le président ayant vérifié l’identité des représentants du mis en cause, présenté le déroulé de la séance et rappelé que le mis en cause peut, s’il le souhaite, présenter des observations orales introductives ou en réponse aux questions des membres de la formation restreinte.

La société FREE ayant été informée de son droit de garder le silence sur les faits qui lui étaient reprochés et ayant eu la parole en dernier.

Après en avoir délibéré, a adopté la décision suivante :

I. Faits et procédure

1. Le groupe ILIAD, spécialisé dans les télécommunications en Europe, compte plus de 50,2 millions d’abonnés. La société française ILIAD est la maison mère du groupe du même nom. Elle détient à 100 % la société FREE (ci-après « la société »), qui exerce une activité d’opérateur de téléphonie fixe et comptait, au 31 décembre 2024, environ 7,6 millions d’abonnés fixes. En 2024, le chiffre d’affaires de la société ILIAD était de 10,024 milliards d’euros pour un résultat net de 367 millions d’euros.

2. La société FREE a été alertée le 21 octobre 2024, par un attaquant s’étant introduit dans le système d’information de la société FREE MOBILE, de la compromission de la confidentialité des données des abonnés des deux sociétés. A la suite de cette alerte, la société FREE a conduit des investigations qui ont permis de confirmer la survenance d’une violation de données (ci-après « la violation de données en cause »). Celle-ci a duré du 28 septembre au 22 octobre 2024.

3. Par l’intermédiaire de la société FREE MOBILE, la société FREE a notifié cette violation de données à la Commission nationale de l’informatique et des libertés (ci-après « la Commission » ou « la CNIL »), le 23 octobre 2024, puis a complété cette notification le 5 novembre 2024. Par ailleurs, elle a informé par courriel les personnes concernées de la survenance de la violation de données, de manière échelonnée entre le 24 et le 29 octobre 2024 afin de ne pas saturer les serveurs de messagerie.

4. Au jour de la notification du rapport de sanction, la CNIL avait reçu 2 614 plaintes de personnes concernées par cette violation de données.

5. Par décision n° 2024-205C du 6 novembre 2024, la Présidente de la Commission a chargé le secrétaire général de procéder ou de faire procéder à une mission de contrôle afin de vérifier la conformité à la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés (ci-après « la loi Informatique et Libertés » ou « LIL ») et au règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (ci-après « le RGPD » ou « le Règlement »), de tout traitement mis en œuvre par les sociétés FREE et FREE MOBILE.

6. En application de cette décision, le 8 novembre 2024, une délégation a procédé à une mission de contrôle sur place dans les locaux des sociétés FREE et FREE MOBILE sis 16 rue de la Ville L’Évêque à Paris (75008).

7. Aux fins d’instruction de ces éléments, la présidente de la Commission a, le 17 février 2025, désigné Monsieur Fabien TARISSAN en qualité de rapporteur sur le fondement de l’article 39 du décret n° 2019-536 du 29 mai 2019 pris pour l’application de la loi Informatique et Libertés.

8. Le 24 juillet 2025, la présidente de la Commission a décidé de disjoindre la procédure de sanction initialement intentée à l’égard des deux sociétés afin de les poursuivre dans le cadre de procédures distinctes. Afin de procéder à toutes diligences utiles dans le cadre de la procédure de sanction diligentée à l’encontre de la société FREE, la présidente de la CNIL a désigné Monsieur Fabien TARISSAN en qualité de rapporteur. Les sociétés FREE et FREE MOBILE ont été informées le 24 juillet 2025 être désormais poursuivies chacune dans le cadre de procédures de sanction distinctes.

9. A l’issue de son instruction, le rapporteur a fait notifier le 25 juillet 2025 à la société FREE un rapport détaillant les manquements aux articles 32 et 34 du RGPD qu’il estimait constitués en l’espèce. Ce rapport proposait à la formation restreinte de prononcer une amende administrative à l’encontre de la société et une injonction assortie d’une astreinte de mettre en conformité le traitement avec les dispositions de l’article 32 du RGPD. Il proposait également que cette décision soit rendue publique.

10. Le 15 septembre 2025, la société a produit des observations en réponse au rapport de sanction.

11. Le rapporteur a répondu aux observations de la société le 15 octobre 2025.

12. Le 17 novembre 2025, la société a produit ses secondes observations en réponse.

13. Par courrier du 18 novembre 2025, le rapporteur a, en application du III de l’article 40 du décret n° 2019-536 susvisé, informé la société et le président de la formation restreinte que l’instruction était close.

14. Par courrier du 18 novembre 2025, la société a été informée que le dossier était inscrit à l’ordre du jour de la séance de la formation restreinte du 4 décembre 2025.

15. Le 18 novembre 2025, la société a, par l’intermédiaire de son conseil, sollicité le report de la séance de la formation restreinte. Le 25 novembre 2025, le président de la formation restreinte a fait droit à cette demande de report et a informé la société de l’inscription du dossier à l’ordre du jour de la séance du 15 décembre 2025.

16. Le 3 décembre 2025, le président de la formation restreinte a refusé la demande de huis-clos formée par la société dans ses observations du 15 septembre 2025. Il a rappelé que la procédure devant la formation restreinte étant écrite et que si la société ne souhaitait pas dévoiler devant des tiers des éléments susceptibles de lui porter préjudice, elle pouvait, lors de la séance, renvoyer à ses observations écrites et annexes.

17. Le rapporteur et la société ont présenté des observations orales lors de la séance de la formation restreinte.

II. La violation de données en cause

18. Il résulte de l’enquête menée par la société FREE, à la suite de l’alerte reçue le 21 octobre 2024, que l’attaquant s’est d’abord connecté au réseau privé virtuel (ci-après « VPN ») de la société FREE MOBILE […].

19. L’attaquant s’est ensuite connecté à l’outil de gestion des abonnés de la société FREE MOBILE […]. Cet outil permet de consulter à la fois les données présentes dans la base de données des abonnés mobiles de la société FREE MOBILE, et dans la base de données des abonnés fixes de la société FREE lorsque les clients sont dits « convergents » (c’est-à-dire dans les cas où un client est un abonné à la fois de la société FREE MOBILE et de la société FREE). L’attaquant a ainsi pu accéder aux données à caractère personnel présentes dans la base de données « fixe » de la société FREE (données liées au contrat FREE, dont l’IBAN).

20. A partir du 6 octobre 2024, l’attaquant a exfiltré, au total, des données relatives à 24 633 469 contrats fixes et mobiles, dont 5 172 577 contrats fixes détenues par la société FREE.

III. Motifs de la décision

A. Sur la responsabilité de traitement de la société FREE

21. Aux termes de l’article 4, alinéa 7, du RGPD, le responsable de traitement est « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ».

22. Dans son rapport, le rapporteur souligne que la délégation a été informée lors du contrôle que, dans le cadre de son activité d’opérateur de téléphonie fixe, la société FREE dispose de sa propre base de données d’abonnés fixes, qu’elle alimente avec les données de ses propres clients (données d’identité, coordonnées, données liées aux contrats, dont l’IBAN) et exploite au moyen de son outil de gestion de clientèle dénommé « SIEBEL ». Les sociétés FREE et FREE MOBILE ont indiqué à la délégation être chacune responsable des traitements liés à la gestion de leur clientèle respective, ce qui correspond à ce qui est inscrit dans leurs registres. Le rapporteur n’a pas remis en cause cette qualification juridique dans le cadre de la présente procédure.

23. La société ne conteste pas être responsable du traitement relatif à la gestion de sa propre clientèle. Elle reproche cependant au rapporteur d’imputer indistinctement des manquements aux sociétés FREE et FREE MOBILE, sur la base des mêmes constats, sans prendre en compte leurs traitements et responsabilités respectifs.

24. La formation restreinte relève, à titre liminaire, que la violation de données a touché à la fois le système d’information de la société FREE et celui de la société FREE MOBILE, filiales du même groupe. Lors du contrôle de la CNIL au sein des deux sociétés, celles-ci étaient en partie représentées par les mêmes personnes (notamment, le président et le responsable réseau). Il a été constaté que certaines mesures de sécurité étaient communes aux deux sociétés […].

25. A l’issue de son instruction, le rapporteur a considéré, à l’instar des deux sociétés, que chacune d’elles met en œuvre un traitement relatif à la gestion de ses propres abonnés, à l’aide d’outils qui lui sont propres, dont chacune est responsable de traitement. Au regard des éléments du dossier, la formation restreinte partage cette position.

26. La formation restreinte observe que, compte tenu de la responsabilité particulière de chacune des deux sociétés, la présidente de la Commission a décidé, le 24 juillet 2025, d’engager deux procédures de sanction autonomes à l’encontre des sociétés FREE et FREE MOBILE. Ainsi, les deux sociétés répondent chacune des obligations relatives à leur propre système d’information.

27. La formation restreinte relève que le rapport de sanction à l’encontre de la société FREE fait état de manquements reprochés à cette dernière au regard du traitement relatif à la gestion des abonnés mobiles dont elle est seule responsable (ci-après dénommé « traitement en cause »). Il appartient à la formation restreinte d’examiner si les manquements allégués sont constitués et imputables à la société FREE, conformément au principe de responsabilité personnelle.

28. La formation restreinte rappelle qu’elle n’entend pas se prononcer sur la survenance de la violation de données en tant que telle mais bien sur le fait de déterminer si, la société a ou non manqué à ses obligations de moyens au titre du RGPD, en qualité de responsable du traitement.

29. Par conséquent, la formation restreinte écarte l’argument de la société, qui considère que des manquements sont indistinctement reprochés par le rapporteur aux sociétés FREE et FREE MOBILE sur la base de mêmes constats, sans prise en compte de leurs responsabilités individuelles respectives.

B. Sur le manquement à l’obligation d’assurer la sécurité des données en application de l’article 32 du RGPD

30. L’article 32, paragraphe 1, du RGPD dispose que " compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque y compris entre autres, selon les besoins :

a) la pseudonymisation et le chiffrement des données à caractère personnel ;

b) des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;

c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ;

d) une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement […] ".

31. L’article 32, paragraphe 2, du RGPD prévoit que « lors de l’évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l’altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou de l’accès non autorisé à de telles données, de manière accidentelle ou illicite ».

1. La portée de l’obligation de sécurité prévue à l’article 32 du RGPD et la prévisibilité du cadre juridique applicable

32. La société soutient que l’obligation de sécurité prévue à l’article 32 du RGPD est une obligation de moyens et pas de résultat, de sorte que la survenance d’une violation de données ne saurait suffire à caractériser un manquement à cet article.

33. Par ailleurs, la société considère, compte tenu de l’absence de caractère prescriptif de l’article 32 du RGPD et de valeur contraignante des guides et recommandations de la CNIL et de l’ANSSI, que la formation restreinte ne peut pas caractériser un manquement à l’article 32 du RGPD sur le fondement d’instruments de droit souple sans violer le principe de légalité des délits et des peines, qui exige que la règle méconnue soit suffisamment claire et prévisible dans son application. Elle ajoute ne pas avoir pu bénéficier de précédents qui lui auraient permis d’apprécier la nature des mesures qui était attendues en ce qu’elle serait le premier organisme, victime d’un acte de malveillance extérieur, visé par une procédure de sanction de la CNIL sur le fondement de l’article 32 du RGPD.

34. En premier lieu, la formation restreinte rappelle que l’obligation de sécurité prévue par l’article 32 du RGPD est effectivement une obligation de moyens, qui impose au responsable du traitement de prendre des mesures qui, au regard des caractéristiques du traitement en cause, permettent à la fois de réduire la probabilité de la survenance d’une violation de données et le cas échéant, d’en atténuer la gravité. Il n’est donc pas attendu que les mesures de sécurité permettent d’éliminer toute forme de risque et, la simple survenance d’une violation de données ne caractérise pas à elle seule un manquement à l’article 32 du RGPD.

35. Cette analyse a été confirmée par la CJUE dans son arrêt « Agence nationale des recettes publiques de Bulgarie » (14 décembre 2023, C/2024/1065, points 29 à 31). La formation restreinte relève que, dans cet arrêt, la CJUE a retenu que " la référence, figurant à l’article 32, paragraphes 1 et 2, du RGPD, à « un niveau de sécurité adapté au risque » et à un « niveau de sécurité approprié » témoigne de ce que ce règlement instaure un régime de gestion des risques et qu’il ne prétend nullement éliminer les risques de violations des données à caractère personnel. Ainsi, il ressort des libellés des articles 24 et 32 du RGPD que ces dispositions se bornent à imposer au responsable du traitement d’adopter des mesures techniques et organisationnelles destinées à éviter, dans toute la mesure du possible, toute violation de données à caractère personnel. Le caractère approprié de telles mesures doit être évalué de manière concrète, en examinant si ces mesures ont été mises en œuvre par ce responsable en tenant compte des différents critères visés auxdits articles et des besoins de protection des données spécifiquement inhérents au traitement concerné ainsi qu’aux risques induits par ce dernier. Partant, les articles 24 et 32 du RGPD ne sauraient être compris en ce sens qu’une divulgation non autorisée de données à caractère personnel ou un accès non autorisé à de telles données par un tiers suffisent pour conclure que les mesures adoptées par le responsable du traitement concerné n’étaient pas appropriées, au sens de ces dispositions, sans même permettre à ce dernier d’apporter la preuve contraire ".

36. La CJUE a rappelé plus récemment que " cette interprétation littérale est corroborée par une lecture combinée desdits articles 24 et 32 avec l’article 5, paragraphe 2, et l’article 82 dudit règlement, lus à la lumière des considérants 74, 76 et 83 de celui ci, dont il découle, en particulier, que le responsable du traitement est tenu d’atténuer les risques de violation des données à caractère personnel, et non d’empêcher toute violation de celles-ci " (25 janvier 2024, C-687/21, point 39).

37. Dès lors, un manquement à l’obligation de sécurité peut être caractérisé indifféremment de l’existence d’une violation de données à caractère personnel.

38. La formation restreinte rappelle pouvoir sanctionner, non pas la survenance d’une violation de données, mais le fait que celle-ci a été rendue possible ou a été facilitée par l’absence ou l’insuffisance des mesures de sécurité mises en œuvre par un responsable du traitement, compte tenu de l’état de l’art. En ce sens, elle a déjà retenu, à plusieurs reprises, un manquement à l’article 32 du RGPD, compte tenu de l’absence ou de l’insuffisance des mesures de sécurité déployées qui a été exploitée par un attaquant dans le cadre d’une violation de données à caractère personnel (délibération n° SAN-2021-020 du 28 décembre 2021 § 61 ; délibération de la formation restreinte n° SAN-2020-014 du 7 décembre 2020 § 19 ; délibération de la formation restreinte n° SAN – 2019-005 du 28 mai 2019 § 31 ; délibération n° SAN-2018-011 du 19 décembre 2018). La formation restreinte considère que, bien que les mesures de sécurité visées dans ces précédents diffèrent du cas d’espèce, il n’en demeure pas moins que la société n’est pas la première visée par une procédure de sanction pour un manquement à l’article 32 du RGPD consécutif à une violation de données et qu’elle est responsable des mesures de sécurité qu’elle déploie pour assurer la protection des données qu’elle traite.

39. S’agissant de l’appréciation de l’obligation de moyens à laquelle est tenue le responsable de traitement, la CJUE considère que " le caractère approprié de telles mesures techniques et organisationnelles doit s’apprécier en deux temps. D’une part, il convient d’identifier les risques de violation des données à caractère personnel induits par le traitement concerné et leurs éventuelles conséquences pour les droits et libertés des personnes physiques. Cette appréciation doit être conduite de manière concrète, en prenant en considération le degré de probabilité des risques identifiés et leur degré de gravité. D’autre part, il y a lieu de vérifier si les mesures mises en œuvre par le responsable du traitement sont adaptées à ces risques, compte tenu de l’état des connaissances, des coûts de mise en œuvre ainsi que de la nature, de la portée, du contexte et des finalités de ce traitement " (14 décembre 2023, C 340/21, point 42).

40. Par conséquent, la formation restreinte n’entend pas sanctionner la violation de données en elle-même mais déterminer si, compte tenu de l’état des connaissances, des caractéristiques du traitement, de la probabilité et de la gravité des risques, ainsi que de la portée de l’obligation de sécurité précisées ci-dessus, la société FREE a respecté ses obligations au titre de l’article 32 du RGPD en mettant en place des mesures techniques et organisationnelles appropriées.

41. En second lieu, la formation restreinte relève que le principe de légalité des délits et des peines, rappelé par le Conseil constitutionnel en matière de sanction administrative (n° 88 248 DC, 17 janvier 1989), exige que les obligations et sanctions en cas de manquement aient été définis à l’avance.

42. Le Conseil d’État a précisé la portée de ce principe, qui implique que les éléments constitutifs des infractions soient définis de façon précise et complète (CE, 9 octobre 1996, Société Prigest, n° 170363, T. ; CE, Section, 12 octobre 2009, M. P., n° 311641, Rec.). En matière de sanctions administratives, la jurisprudence considère que " l’exigence d’une définition des infractions sanctionnées se trouve satisfaite […] dès lors que les textes applicables font référence aux obligations auxquelles les intéressés sont soumis en raison de l’activité qu’ils exercent, de la profession à laquelle ils appartiennent, de l’institution dont ils relèvent ou de leur qualité " et qu’une sanction peut être prononcé s’il est « raisonnablement prévisible par les personnes concernées et en tenant compte de leur qualité et des responsabilités qu’elles exercent, que le comportement litigieux constitue un manquement à ces obligations » (CE, 3 octobre 2018, SFCM, n° 411050, Rec.).

43. En l’espèce, la formation restreinte relève que, dans le cadre de ses écritures, le rapporteur s’attache notamment à caractériser la commission par la société d’un manquement aux obligations prévues à l’article 32 du RGPD, telles qu’éclairées par de nombreuses recommandations de la CNIL et de l’ANSSI, qui sont publiques et antérieures aux faits reprochés.

44. La formation restreinte rappelle que, si les recommandations de la Commission et de l’ANSSI n’ont certes pas de caractère impératif, elles précisent et illustrent les dispositions législatives et réglementaires applicables et éclairent les acteurs sur les mesures concrètes et conformes à l’état de l’art à mettre en œuvre.

45. Si c’est au seul regard des obligations prévues par l’article 32 du RGPD qu’un responsable de traitement peut être sanctionné, le Conseil d’Etat a néanmoins confirmé à plusieurs reprises que la formation restreinte de la CNIL pouvait retenir un manquement à l’article 32 du RGPD, caractérisé à la lumière de ses propres recommandations (CE, 11 mars 2015, Société Total Raffinage Marketing, n° 368748, n° 368819, pt 4 ; CE, 30 avril 2024, Commune de Beaucaire, n° 472864, pt 11).

46. Par conséquent, la formation restreinte relève que la société occupe une place significative dans le secteur des télécommunications en France et traite à ce titre les données de millions d’abonnés, et considère qu’elle dispose de moyens matériels, humains et techniques lui permettant d’assurer sa mise en conformité, d’adapter le cas échéant ses pratiques afin de respecter ses obligations au titre de l’article 32 du RGPD, telles qu’éclairées par les différentes recommandations de la CNIL et de l’ANSSI en matière de sécurité, qui existent depuis de nombreuses années.

47. Il résulte de ce qui précède que, dès lors que les éléments constitutifs du manquement à l’article 32 du RGPD reproché à la société sont définis de façon précise et complète, il ne peut être valablement soutenu que le prononcé d’une sanction méconnaîtrait le principe de légalité des délits et des peines.

48. La formation restreinte écarte donc le grief tiré de la méconnaissance du principe de légalité des délits et des peines.

2. Sur les risques du traitement pour les personnes concernées

Le rapporteur rappelle que la société doit assurer un niveau de sécurité, à l’égard des données à caractère personnel qu’elle traite, qui s’apprécie au regard des risques liés à la divulgation et à l’accès non autorisé de celles-ci, compte tenu des conséquences que pourrait avoir la survenance de tels risques pour les personnes concernées. En l’espèce, il souligne le caractère massif du traitement (données d’environ 7,6 millions d’abonnés fixes), ainsi que le caractère « hautement personnel » de certaines données (données bancaires), ce qui présente de forts risques pour les personnes concernées en cas d’atteinte à la confidentialité de ces données (usurpation de leur identité, tentative d’hameçonnage et exploitation frauduleuse de leurs coordonnées bancaires).

49. La société estime que le traitement qu’elle met en œuvre ne présente pas de risque élevé pour les personnes concernées en l’absence de données sensibles au sens de l’article 9 du RGPD.

50. Par ailleurs, elle soutient que la compromission des IBAN n’entraîne pas de risque particulier dès lors qu’un IBAN seul ne permet pas de réaliser un prélèvement frauduleux et que les établissements bancaires ont mis en place des mécanismes pour l’éviter (nécessité d’obtenir la signature d’un mandat SEPA avant tout prélèvement, délai de contestation et remboursement en cas de fraude).

51. En outre, la société estime que la recrudescence de violations de données ne permet pas d’imputer le préjudice allégué par certains plaignants (hameçonnage, etc.) à l’attaque dont elle a été victime, qui n’a dans ce contexte pas créé de risque supplémentaire pour les personnes concernées.

52. La formation restreinte rappelle que le considérant 75 du RGPD vise " des risques pour les droits et libertés des personnes physiques, dont le degré de probabilité et de gravité varie, peuvent résulter du traitement de données à caractère personnel qui est susceptible d’entraîner des dommages physiques, matériels ou un préjudice moral, en particulier: lorsque le traitement peut donner lieu […] à un vol ou une usurpation d’identité, à une perte financière, […] ou lorsque le traitement porte sur un volume important de données à caractère personnel et touche un nombre important de personnes concernées ".

53. La formation restreinte relève qu’aux termes du considérant 76 du RGPD « il convient de déterminer la probabilité et la gravité du risque pour les droits et libertés de la personne concernée en fonction de la nature, de la portée, du contexte et des finalités du traitement. Le risque devrait faire l’objet d’une évaluation objective permettant de déterminer si les opérations de traitement des données comportent un risque ou un risque élevé ».

54. Par ailleurs, le considérant 83 du RGPD précise que « dans le cadre de l’évaluation des risques pour la sécurité des données, il convient de prendre en compte les risques que présente le traitement de données à caractère personnel, tels que la destruction, la perte ou l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière ou l’accès non autorisé à de telles données, de manière accidentelle ou illicite, qui sont susceptibles d’entraîner des dommages physiques, matériels ou un préjudice moral ».

55. En l’espèce, la formation restreinte relève, qu’au 31 décembre 2024, la société FREE comptait environ 7,6 millions d’abonnés fixes.

56. Par ailleurs, la formation restreinte observe que la société FREE permet à la société FREE MOBILE d’accéder, par l’intermédiaire de son outil de gestion de clientèle, aux données qu’elle détient concernant les clients qu’elle a en commun avec la société FREE MOBILE (cas des clients dit « convergents » précités), dont leurs coordonnées bancaires.

57. Compte tenu de sa qualité de responsable du traitement à l’égard du traitement relatif à la gestion des abonnés fixes, la formation restreinte estime que la société FREE est responsable de la sécurité des données contenues dans sa base de données des abonnés fixes, et donc de l’accès à ces données par la société FREE MOBILE.

58. La formation restreinte considère que l’accès non autorisé ou la divulgation des données traitées par la société est de nature à créer un préjudice moral et matériel pour les personnes concernées. En effet, comme relevé par la société dans le cadre de ses notifications auprès de la CNIL, celles-ci sont exposées à des risques liés à la revente de leurs données à des personnes malveillantes, une usurpation de leur identité, des tentatives d’hameçonnage (pratique consistant, pour une personne malveillante, à se faire passer pour un organisme connu de la personne concernée afin par exemple de lui demander ses coordonnées bancaires). La formation restreinte relève que le rapporteur démontre, dans ses écritures, l’existence d’un risque de paiements frauduleux au moyen d’un IBAN usurpé. En effet, une personne mal intentionnée, disposant d’un IBAN usurpé, peut procéder à un paiement frauduleux sur un site web qui propose de valider le mandat de prélèvement SEPA par l’intermédiaire d’une simple case à cocher.

59. Par ailleurs, la formation restreinte considère que le degré de probabilité que les risques de divulgation et d’accès non autorisé aux données traitées par la société se réalisent est élevé, précisément compte tenu de la recrudescence des violations de données depuis plusieurs années, rappelée par la société elle-même. En outre, le degré de probabilité que les risques liés à l’exploitation malveillante de ces données (usurpation d’identité, tentatives d’hameçonnage et prélèvement frauduleux) se réalisent en cas de perte de confidentialité est également élevé. Comme rappelé par le Groupement d’Intérêt Public Action contre la Cybermalveillance, l’hameçonnage est la menace prédominante en France (« Cybermalveillance.gouv.fr dévoile les tendances de la menace cyber en France », 27 mars 2025).

60. En ce sens, la formation restreinte observe qu’un certain nombre de plaignants ont fait état auprès de la Commission d’utilisations frauduleuses de leurs données à la suite de la violation de données en cause, notamment des tentatives d’hameçonnage. S’il n’est pas possible de déterminer avec certitude que les fraudeurs ont obtenu les données des plaignants par la violation de données en cause, et non par celle subie par un tiers disposant des mêmes données, il est constant que la perte de confidentialité des données traitées par FREE a participé à l’augmentation du volume de données disponibles pour les attaquants potentiels. L’existence d’autres violations de données n’est en tout état de cause pas de nature à décharger la société de son obligation de mettre en œuvre les mesures de sécurité adaptées au risque de compromission des données qu’elle traite.

61. La formation restreinte considère que les mesures de sécurité mises en place par la société FREE aurait dû permettre de répondre aux risques qui viennent d’être exposés.

3. Sur le niveau de sécurité déployé par la société

62. L’ANSSI applique le principe de « défense en profondeur » aux systèmes d’information, qui consiste à ne pas faire reposer la sécurité " sur un élément mais sur un ensemble cohérent. Cela signifie donc qu’il ne doit en théorie pas exister de point sur lequel tout l’édifice repose ", c’est-à-dire que toute faille de sécurité potentielle d’un composant logiciel doit être compensée par au moins un second niveau de sécurité (voir le Memento sur le concept de défense en profondeur appliquée aux systèmes d’information, version 1.1 du 19 juillet 2004). L’ANSSI fait reposer ce concept sur le postulat que " tout composant d’un système peut être défaillant ou compromis. Ce postulat, qui s’applique également aux fonctions de sécurité d’un SI [système d’information], est confirmé régulièrement par l’actualité sur les vulnérabilités de nombreux produits et logiciels " (voir la note blanche Système d’information hybride et sécurité : un retour à la réalité, 10 août 2021).

63. En l’espèce, la formation restreinte va devoir analyser si la société a mis en place un « ensemble cohérent » de mesures de sécurité pour protéger son système d’information.

3.1 Sur l’absence de sécurisation du canal d’interconnexion

64. Dans un contexte numérique, il est possible pour un salarié de se connecter à distance (par exemple, depuis son domicile) au système d’information de sa société au moyen de son ordinateur portable. Il s’agit de nomadisme numérique.

65. L’ANSSI définit le nomadisme numérique comme " toute forme d’utilisation des technologies de l’information permettant à un utilisateur d’accéder au SI [système d’information] de son entité d’appartenance ou d’emploi, depuis des lieux distants, ces lieux n’étant pas maîtrisés par l’entité « (ANSSI, » Recommandations sur le nomadisme numérique ", 2018).

66. Elle relève, dans ses recommandations susvisées, que les lieux de travail non maîtrisés par une entité exposent celle-ci à des risques exacerbés de perte ou de vol de matériel, de compromission du matériel (par exemple, pendant une absence temporaire de l’utilisateur), de compromission des informations contenues dans le matériel volé, perdu ou emprunté, d’accès illégitime au système d’information de la société (et donc la compromission de celui-ci), et d’interception, voire d’altération des informations (perte de confidentialité ou d’intégrité).

67. Ainsi, l’ANSSI souligne que " dans le cadre du nomadisme, l’objectif est de réussir à s’aligner avec le niveau de sécurité du SI [système d’information] interne de l’entité, en répondant aux risques d’exposition plus forts listés ci-dessus ".

68. Elle considère que les entités doivent adopter des mesures spécifiques au nomadisme dans leurs politiques de sécurité du système d’information afin de réduire ou de couvrir les risques susvisés.

69. Elle précise qu’afin de permettre à un utilisateur d’accéder depuis un réseau non maitrisé à un système d’information interne, il est nécessaire de mettre en œuvre un canal qui établit un lien sécurisé entre le poste nomade et le système d’information interne de l’entité, au moyen de la technologie VPN (« Virtual Private Network » ou réseau privé virtuel).

70. L’ANSSI rappelle qu’" en fonction des moyens d’authentification mis en œuvre sur le poste nomade, un attaquant peut tenter d’usurper l’identité de l’utilisateur ou celle du poste nomade « . Dès lors, » il est important d’utiliser des mécanismes robustes […] d’authentification […] pour la mise en place du canal d’interconnexion d’un poste nomade ".

71. En situation de nomadisme, l’ANSSI estime que " trois niveaux d’authentification doivent être considérés :

— authentification de l’utilisateur sur le poste nomade ;

— authentification du poste nomade sur le SI [système d’information] ;

— authentification de l’utilisateur sur le SI [système d’information] ".

72. S’agissant plus spécifiquement de l’authentification du poste nomade sur le système d’information de l’entité, l’ANSSI rappelle que l’objectif est de garantir que le poste utilisé pour accéder au système d’information est un équipement maîtrisé par l’entité afin de réduire les risques qui résulteraient de l’utilisation de postes nomades non maîtrisés et dont le niveau de sécurité ne serait pas conforme à la politique de sécurité de l’entité. Elle recommande " d’authentifier le poste nomade sur le SI [système d’information] au moyen d’un certificat machine [c’est-à-dire d’un certificat lié au poste nomade et non pas à l’utilisateur du poste nomade] « et de » protéger la clé privée de ce certificat en intégrité et en confidentialité, afin de s’assurer qu’elle ne puisse être accédée ni par l’utilisateur nomade ni par un attaquant ".

73. Dès lors, l’ANSSI recommande depuis 2018 d’authentifier le poste nomade d’un utilisateur sur un système d’information au moyen d’un certificat machine, qui est lié au poste nomade et non pas à l’utilisateur de celui-ci.

74. Dans son « Guide de la sécurité des données personnelles » de mars 2024, la CNIL recommande également de " privilégier l’authentification multi facteur lorsque cela est possible, en particulier lorsque la connexion est accessible depuis l’extérieur du réseau de l’organisme ".

75. Il résulte de ce qui précède que tant l’ANSSI que la CNIL recommandent d’authentifier un utilisateur sur un système d’information en mettant en œuvre une authentification multi facteur forte, notamment lorsque la connexion au système d’information de l’entité est accessible depuis l’extérieur de son réseau.

76. Le rapporteur reproche à la société de ne pas avoir mis en place des mesures de sécurité appropriées pour sécuriser l’accès par les utilisateurs au VPN de la société, […]. Il considère que ces vulnérabilités constituent un manquement à l’article 32 du RGPD. Il note que la société a entamé le déploiement de ces mesures au cours de la procédure de sanction afin de se mettre en conformité.

77. En défense, la société soutient avoir mis en place, au jour du contrôle, des mesures de sécurité suffisamment robustes s’agissant de l’authentification des utilisateurs et de leurs postes lors de leur connexion à son VPN.

78. […].

79. […].

80. […].

81. […].

82. […].

83. A titre liminaire, la formation restreinte rappelle que dans le contexte de nomadisme numérique, il revient au responsable de traitement de déployer des mesures permettant de garantir que, tant la personne qui se connecte, que la machine qu’elle utilise, bénéficient des autorisations nécessaires pour se connecter aux ressources internes. Ces mesures s’ajoutent à celles qui doivent exister lorsqu’une personne est déjà authentifiée sur le réseau, telles que des mécanismes d’authentification robustes lors de l’accès à des outils.

84. […].

85. La formation restreinte rappelle que la connexion au VPN d’une entité par des postes qui n’appartiennent pas à son parc informatique présente un risque pour son système d’information dès lors qu’elle ne maîtrise pas les mesures de sécurité mises en œuvre sur ces équipements, qui peuvent donc ne pas correspondre au niveau de sécurité défini dans sa politique interne.

86. […].

87. […].

88. […].

89. […].

90. […].

91. […].

92. […].

93. […].

94. […].

3.2 Sur l’absence de détection des comportements anormaux

95. Dans sa délibération n° 2021-122 du 14 octobre 202 portant adoption d’une recommandation relative à la journalisation, la CNIL rappelle que " la mise en place d’un dispositif de journalisation participe au respect de l’obligation de sécurisation de tout traitement de données à caractère personnel, en application des articles 5 et 32 du RGPD ".

96. Ainsi, elle recommande aux organismes de collecter des informations sur les personnes administrant ou accédant à leurs ressources, comme l’identifiant de l’utilisateur, la date et l’heure de l’accès et l’identifiant de l’équipement utilisé (CNIL, « La CNIL publie une recommandation relative aux mesures de journalisation », 18 novembre 2021).

97. La CNIL rappelle dans sa recommandation susvisée que « cette sécurisation est essentiellement » active " : elle repose sur une exploitation en temps réel ou à court terme de ces données pour détecter des opérations anormales afin de parer des attaques ou intrusions, ou de remédier rapidement à un incident informatique en facilitant l’identification du problème ".

98. L’ANSSI rappelle également dans ses « Recommandations de sécurité pour l’architecture d’un système de journalisation » du 28 janvier 2022, que " l’analyse continue des journaux d’évènements permet de repérer des activités inhabituelles, tandis que l’archivage des journaux rend possible les levées de doutes a posteriori. En ce sens, la journalisation constitue également le prérequis indispensable à la mise en œuvre d’une capacité de détection, d’analyse et de réponse aux incidents de sécurité ".

99. Autrement dit, la simple collecte des données de journalisation ne suffit pas à sécuriser un système d’information. Le dispositif de journalisation n’est efficace que si une entité est en capacité de traiter les informations enregistrées dans les journaux afin d’être en mesure, le cas échéant, de détecter rapidement un comportement suspect.

100. La Commission recommande donc, dans sa recommandation susvisée, de " mettre en œuvre un système de traitement et d’analyse des données collectées et de formaliser un processus permettant de générer des alertes et de les traiter en cas de suspicion de comportement anormal. Ces données peuvent également servir ex post lorsqu’une violation de données (notamment par consultation, transmission ou usage illégaux des données) est constatée et que le responsable de traitement cherche à en établir la responsabilité ".

101. Le Comité européen de la protection des données considère également dans ses lignes directrices 9/2022 sur la notification de violations de données à caractère personnel en vertu du RGPD, que " la capacité de détecter une violation, d’y remédier et de la communiquer dans les meilleurs délais devrait être considérée comme un élément essentiel ".

Le rapporteur considère, qu’au jour du contrôle, les mesures de sécurité mises en œuvre par la société pour détecter une activité suspecte sur son outil de gestion de clientèle SIEBEL étaient insuffisantes, ce qui a rendu possible, ou a minima facilité, la perte de confidentialité de millions de données à caractère personnel d’abonnés de la société entre le 28 septembre et le 22 octobre 2024. Il note que la société s’est toutefois mise en conformité sur ce point au cours de la procédure.

102. En défense, la société considère avoir mis en œuvre, au jour du contrôle, des mesures suffisamment robustes pour détecter les comportements malveillants sur son système d’information. Elle précise avoir notamment déployé un dispositif de surveillance et d’analyse des logs, générant plusieurs rapports d’activité à destination du responsable de la sécurité du système d’information de FREE. Ces rapports comportaient notamment des informations relatives aux utilisateurs de l’outil SIEBEL qui consultent le plus de données d’abonnés fixes, et ce afin de détecter l’utilisation de robot ou des informations concernant l’activité des utilisateurs en dehors des heures ouvrées.

103. Elle précise, que dès le 28 octobre 2024, à l’issue de la violation de données en cause, elle a déployé des mesures supplémentaires visant notamment à détecter en temps réel les activités suspectes sur son outil SIEBEL (nombre d’abonnés distincts consultés et volume de recherches effectuées par les utilisateurs en une heure) et mis en place un blocage automatique en cas de dépassement de certains seuils.

104. Elle ajoute avoir, en cours de procédure, notamment mis en service un centre opérationnel de sécurité permettant de détecter plus rapidement les comportements anormaux sur son outil SIEBEL, et consacré une équipe interne aux réponses aux incidents de sécurité.

105. La formation restreinte rappelle que la société FREE autorise la société FREE MOBILE à accéder aux données contenues dans sa base de données fixes pour ce qui concerne les clients dits « convergents » (clients à la fois de la société FREE et de la société FREE MOBILE). Lorsqu’un salarié de la société FREE MOBILE réalise une recherche concernant un abonné sur l’outil de gestion de clientèle de la société FREE MOBILE, dénommé MOBO, celui-ci va notamment interroger la base de données fixe de la société FREE grâce au service web (serveur qui permet de communiquer des résultats à une requête) mis à sa disposition par la société FREE. La formation restreinte relève que, dans la réponse renvoyée, figuraient les données à caractère personnel de l’abonné concerné que détenait la société FREE (notamment l’IBAN). La formation restreinte observe que, compte tenu d’une anomalie technique liée à l’outil MOBO de la société FREE MOBILE, au jour de la violation de données, la réponse renvoyait l’entièreté de l’IBAN de l’abonné concerné, contenue dans la base de données fixe de la société FREE.

106. En premier lieu, la formation restreinte relève, qu’au jour de la violation de données, les activités réalisées sur l’outil SIEBEL de la société étaient bien journalisées, ce qui n’est d’ailleurs pas contesté par le rapporteur.

107. En deuxième lieu, […].

108. La formation restreinte note que le dispositif de journalisation de l’activité sur l’outil SIEBEL, tel que mis en place au jour de la violation de données, ne permettait pas à la société de détecter certaines situations pourtant anormales.

109. A titre d’exemple, elle observe que l’attaquant a pu accéder aux données des clients convergents contenues dans l’outil SIEBEL de la société, et ce pendant presque un mois, sans qu’une alerte ne soit émise ou, à supposer qu’une alerte ait bien été émise, sans que celle-ci soit traitée, ce qui a eu pour conséquence que la société n’a pas eu connaissance de l’accès non autorisé aux données avant que l’attaquant l’en informe lui-même.

110. Toujours à titre d’exemple, la formation restreinte note que, le 15 octobre 2024, l’attaquant a pu exfiltrer les données d’environ […] de contrats fixes, sans que ce comportement n’émette d’alerte ou, à supposer qu’une alerte ait bien été émise, sans que celle-ci n’entraine un blocage du compte à l’origine des requêtes.

111. La formation restreinte estime que cette exfiltration massive de données ne pouvait pas rester inaperçue et aurait dû déclencher une alerte ou, si une alerte avait bien été émise, aurait dû déclencher son analyse, ce qui aurait permis à la société d’identifier une situation anormale et de prendre rapidement les mesures nécessaires pour assurer la protection de son système d’information.

112. La formation restreinte considère, par conséquent, que le mécanisme de détection des comportements anormaux sur l’outil SIEBEL était inadapté au jour de la violation de données […].

113. La formation restreinte relève que ce n’est qu’à l’issue de la violation de données que la société a mis en œuvre un mécanisme de détection en temps réel, […], du nombre d’abonnés distincts consultés et du volume de recherches effectuées par les utilisateurs de son outil métier afin, le cas échéant, de bloquer automatiquement les utilisateurs dépassant les seuils fixés. Elle relève, par ailleurs, qu’au cours de la procédure de sanction, la société a mis en place un centre opérationnel de sécurité, ce qui permet à une équipe dédiée d’analyser en temps réel les journaux émis par l’outil SIEBEL.

114. En troisième lieu, à supposer que la société ait été en mesure de détecter un comportement anormal sur son outil métier au jour de la violation de données, la formation restreinte relève que celle-ci n’avait pas déployé un mécanisme visant à bloquer automatiquement l’utilisateur concerné. La formation restreinte note que l’outil SIEBEL émettait des rapports d’activité à destination du RSSI et qu’une intervention humaine était nécessaire pour vérifier si un comportement suspect était anormal et le cas échéant prendre les mesures qui s’imposaient. La formation restreinte estime que ces conditions n’étaient pas appropriées et qu’un blocage automatique aurait été une mesure adaptée pour compléter le dispositif mis en place.

115. La formation restreinte note que la société a déployé des mesures de blocage automatique à la suite de la violation de données, puis déployé un centre opérationnel de sécurité chargé d’analyser en temps réel les journaux liés à SIEBEL afin le cas échéant de prendre les mesures de blocage nécessaires.

116. Au regard de l’ensemble de ces éléments, la formation restreinte considère qu’au jour du contrôle, la société n’avait pas déployé les moyens suffisants pour être en mesure de détecter les activités suspectes sur son outil de gestion de ses abonnés, ce qui constitue un manquement à l’article 32 du RGPD.

117. La formation restreinte relève que la société a pris des mesures à la suite de la violation de données permettant de mettre fin au manquement constaté. Elle considère, dès lors, qu’il n’y a pas lieu de prononcer une injonction de mise en conformité.

C. Sur le manquement à l’obligation de communiquer aux personnes concernées de la survenance d’une violation de données à caractère personnel en application de l’article 34 du RGPD

118. En droit, aux termes de l’article 34, paragraphe 1, du RGPD, « lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, le responsable du traitement communique la violation de données à caractère personnel à la personne concernée dans les meilleurs délais ».

119. Le paragraphe 2 de l’article susvisé précise les mentions qui doivent obligatoirement figurer dans le contenu de cette communication. Celle-ci doit contenir une description de la nature de la violation de données, des conséquences probables de la violation de données à caractère personnel, ainsi que des mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives. Par ailleurs, elle doit communiquer le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenue.

120. Le considérant 86 du RGPD précise que cette communication doit « formuler des recommandations à la personne physique concernée pour atténuer les effets négatifs potentiels » puisque que son objectif est de permettre aux personnes concernées de « prendre les précautions qui s’imposent ».

121. Le rapporteur considère que la société a commis un manquement à l’article 34 du RGPD dès lors que le courriel d’information adressé par la société aux personnes concernées par la violation de données ne permet de les éclairer ni quant aux mesures de remédiation qu’elle a prises, ni sur les conséquences probables de la violation de données, ni enfin sur les mesures que ces personnes doivent prendre pour se prémunir des risques auxquels la violation les expose.

122. En défense, la société estime avoir respecté l’article 34 du RGPD.

123. Tout d’abord, sur la forme de la communication, la société indique avoir adopté une approche à plusieurs niveaux. D’une part, un courriel a été adressé aux personnes concernées, entre les 24 et 29 octobre 2024, afin de leur communiquer un premier niveau d’information synthétique. La société précise avoir procédé à une communication échelonnée afin d’éviter de saturer les serveurs de messagerie des personnes. D’autre part, un second niveau d’information a été communiqué aux personnes par l’intermédiaire d’un numéro vert gratuit disponible 7 jours sur 7, visé dans le courriel d’information initial, et d’un dispositif interne de gestion des demandes (« ticket DPO »). La société précise que le numéro vert mis en place lui a permis de répondre à 58 239 appels et que, grâce au système de ticket DPO, elle a pu traiter 1 081 demandes.

124. Puis, sur le fond de la communication, la société considère que le courriel d’information initial était complet au regard des exigences posées par l’article 34, paragraphe 2, du RGPD. Elle fait valoir que celui-ci informait les personnes de la survenance de la violation de données en cause, les alertait sur les risques de « courriels, SMS ou appels frauduleux », leur rappelait que ses conseillers ne demandent jamais la communication de mots de passe à l’oral et elle les invitait, en cas de situation anormale, à consulter le site officiel cybermalveillance.gouv.fr pour effectuer un signalement.

125. La société justifie l’envoi d’un message de vigilance générale par le fait qu’elle ne pouvait pas anticiper toutes les formes d’exploitation futures de la violation de données.

126. Plus spécifiquement la société soutient que l’article 34, paragraphe 2, du RGPD, qui renvoie à l’article 33, paragraphe 3, ne lui imposait pas de détailler aux personnes concernées l’ensemble des mesures prises afin de mettre fin à la violation de données. Elle considère qu’une position contraire engendrerait un risque de compromission de la sécurité du système d’information concerné.

127. Enfin, la société considère que le nombre important de plaintes reçues par la CNIL résulte de la médiatisation exceptionnelle de la violation de données, à laquelle la CNIL a participé. Elle considère que les fraudes et tentatives de fraude, dont font état certains plaignants, ne sont pas imputables à un défaut d’informations de sa part dès lors qu’elle a pris les mesures nécessaires pour sensibiliser ses abonnés aux risques de fraude (notamment, par la mise en ligne d’une page d’assistance dédiée au phishing, une campagne de sensibilisation par courriel, la mise en place d’une veille proactive des sites susceptibles de conduire des campagnes de phishing visant ses abonnés).

128. La formation restreinte rappelle que l’article 34 du RGPD impose à un responsable de traitement, victime d’une violation de données, de communiquer certaines informations aux personnes concernées lorsque la violation de données est susceptible d’engendrer un risque élevé pour leurs droits et libertés.

129. La formation restreinte rappelle également que, comme le souligne le Comité européen de la protection des données (ci-après « CEPD ») dans ses lignes directrices sur la notification de violations de données à caractère personnel en vertu du règlement (UE) 2016/679 adoptées le 28 mars 2023, " l’objectif principal [de l’article 34 du RGPD] est d’aider les personnes concernées à comprendre la nature de la violation ainsi que les mesures qu’elles peuvent mettre en place pour se protéger ".

130. Ainsi, le paragraphe 2 de l’article 34 du RGPD prévoit que la communication aux personnes concernées doit décrire la nature de la violation de données à caractère personnel et contenir « au moins » les informations et mesures visées à l’article 33, paragraphe 3, points b), c) et d). Ces informations concernent « le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues » (point b), la description des « conséquences probables de la violation de données à caractère personnel » (point c), et la description des « mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives » (point d).

131. La formation restreinte considère qu’il résulte de la rédaction du paragraphe 2 de l’article 34 du RGPD que les informations énumérées ci-dessus sont celles qui doivent, a minima, être communiquées aux personnes concernées par une violation de données à caractère personnel lorsque celle-ci est susceptible d’engendrer un risque élevé pour leurs droits et libertés.

132. Dès lors, ces informations doivent être adressées directement aux personnes concernées, dans un premier niveau d’information, car elles sont essentielles pour atteindre l’objectif poursuivi par la communication : leur permettre de comprendre la nature de la violation, ainsi que les mesures qu’elles peuvent mettre en place pour se protéger.

133. Par ailleurs, la formation restreinte observe que l’obligation, pour un responsable de traitement, de communiquer « le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact », comme prévu par le point b) du paragraphe 2 de l’article 33 du RGPD, a pour objectif de fournir aux personnes concernées par la violation de données « des informations supplémentaires ». La formation restreinte estime que ces informations viennent donc compléter les informations essentielles devant figurer dans le premier niveau d’information et ne sauraient s’y substituer.

134. En ce sens, la formation restreinte relève que, dans ses lignes directrices sur la notification de violations de données à caractère personnel en vertu du règlement (UE)2016/679 adoptées le 28 mars 2023, le CEPD rappelle qu’" un responsable du traitement peut choisir de fournir des informations complémentaires à celles présentées ici [article 33, paragraphe 3, points b), c) et d)] comme nécessaires ".

135. Autrement dit, l’article 34, paragraphe 2, du RGPD, qui renvoie à son article 33, paragraphe 3, point b), prévoit la possibilité de communiquer auprès des personnes concernées à deux niveaux d’information : un premier obligatoire comportant les informations essentielles et un second comportant des informations complémentaires que le responsable du traitement souhaite porter à la connaissance des personnes.

136. En l’espèce, en premier lieu, la formation restreinte relève que la société a adressé aux personnes concernées par la violation de données un premier courriel d’information, qui constitue un premier niveau d’information. La société a, par ailleurs, mis en place un numéro vert, gratuit, accessible 7 jours sur 7, de 9 heures à 18 heures, dont elle communique les coordonnées dans son courriel initial, ainsi qu’un système de « ticket DPO », pour répondre aux questions complémentaires des personnes, qui constitue un second niveau d’information.

137. La formation restreinte considère que la forme de la communication réalisée à destination des personnes concernées est conforme aux exigences posées par l’article 34, paragraphe 2, du RGPD.

138. En deuxième lieu, la formation restreinte relève que le courriel adressé aux personnes concernées les informait du fait que la société avait été victime d’une cyberattaque ciblant son outil de gestion, ayant entraîné un accès non autorisé à une partie des données à caractère personnel associées aux comptes des abonnés (leurs nom, prénom, adresse électronique, adresse postale, date et lieu de naissance, numéro de téléphone, identifiant abonné et données contractuelles). Ce courriel précisait également que " toutes les mesures nécessaires ont été prises immédiatement pour mettre fin à cette attaque et renforcer la protection de [ses] systèmes d’information ", que la violation de données avait été notifiée à la CNIL, ainsi qu’à l’ANSSI et qu’une plainte avait également été déposée auprès du procureur de la République. En outre, la société invitait les personnes concernées " à la plus grande vigilance face au risque d’emails, SMS ou appels frauduleux ", précisait que ses conseillers ne demanderaient jamais la communication à l’oral de mot de passe et les invitait, en cas de suspicion ou de situation anormale à contacter le service officiel d’assistance aux victimes numériques sur le site web cybermalveillance.gouv.fr afin d’effectuer un signalement. Enfin, « pour toute question et demande de renseignement », le courriel précisait que la société tenait à la disposition des personnes concernées un numéro vert, gratuit, accessible 7 jours sur 7, de 9 heures à 18 heures.

139. La formation restreinte estime que, si la majorité des informations essentielles figuraient dans le courriel d’information initial et que le mode de communication permettait aux personnes concernées d’accéder aux autres informations essentielles par l’intermédiaire du second niveau d’information, il n’en demeure pas moins que certains éléments importants n’étaient pas mentionnés.

140. S’agissant de l’information relative aux mesures de remédiation, il est admis que, dans certains cas, des mesures de sécurité déployées par un organisme doivent effectivement rester secrètes afin de ne pas exposer son système d’information à des risques de nouvelles attaques. La formation restreinte précise, cependant, que toutes les mesures de sécurité mises en œuvre par un organisme ne présentent pas un risque pour la sécurité d’un système d’information et n’ont donc pas nécessairement vocation à demeurer secrètes.

141. La formation restreinte observe que la société a uniquement indiqué aux personnes concernées par la violation de données en cause que " toutes les mesures nécessaires ont été prises immédiatement pour mettre fin à cette attaque et renforcer la protection de nos systèmes d’information ", ce qui constitue, selon la formation restreinte, une formulation trop générale et abstraite pour se conformer à l’article 34, paragraphe 2, du RGPD. En effet, l’article 33, paragraphe 3, point d), auquel l’article susmentionné renvoie prévoit une obligation de « décrire » ces mesures.

142. La formation restreinte estime dès lors que, sans mettre en danger son système d’information, ni celui de la société FREE MOBILE, la société FREE aurait dû « décrire », même brièvement, dans des termes simples, les principales mesures correctives prises pour remédier à la violation de données en cause. La formation restreinte rappelle que l’objectif de cette communication est de rassurer les personnes concernées sur la protection effective de leurs données à caractère personnel.

143. La formation restreinte relève que, dans le cadre de la notification initiale effectuée auprès de la CNIL quelques jours avant la communication réalisée auprès des personnes concernées, la société avait bien décrit ces mesures, conformément à l’article 33 du RGPD (obligation de notifier la violation de données à la Commission). Sans entrer dans le détail de ces mesures pour permettre la lisibilité de la communication aux personnes, la formation restreinte considère que la société aurait notamment dû indiquer que les comptes compromis ont été révoqués, les vulnérabilités liées à son outil métier corrigées, l’accès aux données à caractère personnel renforcé. Ces éléments d’information sont compréhensibles pour les personnes concernées et ne sont pas de nature à compromettre le système d’information de la société.

144. S’agissant de l’information relative aux conséquences probables de la violation de données en cause et des mesures à prendre pour en atténuer les éventuelles conséquences négatives, la formation restreinte rappelle que la société a indiqué aux personnes concernées " nous vous invitons à la plus grande vigilance face au risque d’emails, SMS ou appels frauduleux. Sachez que nos conseillers ne vous demanderont jamais vos mots de passe à l’oral. En cas de suspicion ou de situation anormales, nous vous invitons à contacter le service officiel d’assistance aux victimes numériques sur : www.cybermalveillance.gouv.fr pour effectuer un signalement et faire valoir vos droits ".

145. La formation restreinte estime que cette formulation est trop vague pour atteindre l’objectif d’aider les personnes concernées à comprendre les principaux risques auxquels elles sont exposées, ainsi que les mesures qu’elles peuvent mettre en place pour s’en protéger.

146. En effet, d’une part, la formation restreinte considère que les personnes concernées ne sont pas mises en mesure d’appréhender le contexte dans lequel elles pourraient être sollicitées par courriel, SMS ou téléphone, ni de comprendre les réflexes à adopter pour se prémunir des conséquences négatives. La formation restreinte observe que la société avait pourtant bien identifié dans le cadre des scripts de questions/réponses mis à la disposition des conseillers répondant aux appels qu’il existait un scénario de risque relatif à des « tentatives de fraude en se faisant passer pour Free ou tout autre organisme ». La formation restreinte note qu’elle avait également identifié des recommandations à prodiguer aux personnes (par exemple : ne jamais communiquer ses informations personnelles par email, SMS ou lors d’un appel, ne jamais ouvrir une pièce jointe d’un courriel en cas de doute). La formation restreinte considère que ces informations, identifiées au jour de l’envoi du courriel d’information, auraient dû être transmises de manière synthétique aux personnes concernées.

147. D’autre part, la formation restreinte considère qu’en visant uniquement le " risque d’emails, SMS ou appels frauduleux ", la société n’a pas communiqué l’ensemble des principaux risques auxquels sont exposées les personnes concernées par la violation. La société les avait pourtant identifiés lors de sa notification initiale auprès de la CNIL, ainsi que dans les scripts de questions/réponses fournis aux conseillers répondant aux appels. A titre d’exemple, s’agissant du risque d’usurpation d’identité, dès lors que les personnes le découvrent généralement a posteriori, la formation restreinte estime qu’une mention de ce risque, susceptible de causer un préjudice important en cas de réalisation, associé à un renvoi vers la page dédiée du site cybermalveillance.gouv.fr, qui communique des informations sur les principaux signes dont il faut se méfier, aurait été plus efficace qu’un renvoi vers sa page d’accueil, compte tenu de la densité d’informations qui figurent sur ce site, et qui ne sont pas toutes appropriées au cas d’espèce. L’avantage d’une telle approche est de communiquer sur le risque et d’apporter des informations plus détaillées, sans nuire à l’ergonomie ni à la lisibilité de l’information.

148. Par ailleurs, compte tenu du fait que certains IBAN d’abonnés ont été touchés par la violation de données, la formation restreinte estime que la société aurait dû alerter spécifiquement sur les risques d’exploitation frauduleuse de coordonnées bancaires, rassurer sur le fait que les établissements bancaires en avaient été informés et inviter les personnes concernées à consulter régulièrement leur compte bancaire et à rester vigilantes en cas d’appels frauduleux d’une personne se faisant passer pour un conseiller bancaire.

149. En troisième lieu, la formation restreinte relève que la communication de la CNIL intitulée « Violations massives de données en 2024 : quels sont les principaux enseignements et mesures à prendre » du 28 janvier 2025 mentionnait des violations de données de différents responsables de traitement, dont celle de la société. D’une part, elle estime que cette communication n’a pas accru le nombre de plaintes dès lors que dès décembre 2024, la CNIL avait déjà reçu la très grande majorité des plaintes sur les 2 614 reçues au jour de la notification du rapport le 25 juillet 2025, ce qui constituait un nombre record. D’autre part, la communication n’a pas augmenté le nombre de plaintes déposées à l’encontre des autres responsables de traitement cités.

150. Il résulte de ce qui précède que, le courriel d’information initial n’a pas constitué une communication appropriée dès lors que les seules informations qu’il contenait ne permettaient pas aux millions de personnes concernées par la violation de données en cause d’être rassurées sur le fait que la société avait bien pris les mesures de remédiation nécessaires, ni de comprendre les risques auxquels elles étaient exposées, dont ceux liés à des « emails, SMS ou appels frauduleux », ni les mesures à prendre pour s’en prémunir.

151. Dès lors, la formation restreinte considère que la société a commis un manquement à l’article 34 du RGPD en ne communiquant pas aux personnes concernées par la violation de données les informations nécessaires dès le premier niveau d’information.

IV. Sur les mesures correctrices

152. Aux termes de l’article 20-IV de la loi n° 78-17 du 6 janvier 1978 modifiée, " lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi, le président de la Commission nationale de l’informatique et des libertés peut […] saisir la formation restreinte de la commission en vue du prononcé, après procédure contradictoire, de l’une ou de plusieurs des mesures suivantes : […]

153. 2° Une injonction de mettre en conformité le traitement avec les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi ou de satisfaire aux demandes présentées par la personne concernée en vue d’exercer ses droits, qui peut être assortie, sauf dans les cas où le traitement est mis en œuvre par l’Etat, d’une astreinte dont le montant ne peut excéder 100 000 euros par jour de retard à compter de la date fixée par la formation restreinte ;

154. 7° À l’exception des cas où le traitement est mis en œuvre par l’État, une amende administrative ne pouvant excéder 10 millions d’euros ou, s’agissant d’une entreprise, 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu. Dans les hypothèses mentionnées aux 5 et 6 de l’article 83 du règlement (UE) 2016/679 du 27 avril 2016, ces plafonds sont portés, respectivement, à 20 millions d’euros et 4 % dudit chiffre d’affaires. La formation restreinte prend en compte, dans la détermination du montant de l’amende, les critères précisés au même article 83 ".

155. L’article 83 du RGPD prévoit en outre que « chaque autorité de contrôle veille à ce que les amendes administratives imposées en vertu du présent article pour des violations du présent règlement visées aux paragraphes 4, 5 et 6 soient, dans chaque cas, effectives, proportionnées et dissuasives », avant de préciser les éléments devant être pris en compte pour décider s’il y a lieu d’imposer une amende administrative et pour décider du montant de cette amende.

156. Le deuxième alinéa de l’article 22 de la loi Informatique et Libertés dispose ensuite que " la formation restreinte peut rendre publique les mesures qu’elle prend ".

157. Le considérant 150 du RGPD prévoit que « lorsque des amendes administratives sont imposées à une entreprise, ce terme doit, à cette fin, être compris comme une entreprise conformément aux articles 101 et 102 du traité sur le fonctionnement de l’Union européenne ».

158. Les lignes directrices sur l’application et la fixation des amendes administratives aux fins du règlement 2016/679 précisent que la notion d’entreprise doit s’entendre comme " une unité économique pouvant être formée par la société mère et toutes les filiales concernées. Conformément au droit et à la jurisprudence de l’Union, il y a lieu d’entendre par entreprise l’unité économique engagée dans des activités commerciales ou économiques, quelle que soit la personne morale impliquée ".

159. Dans un arrêt du 5 décembre 2023 (CJUE, grande chambre, C-807/21), la CUJE a considéré, s’agissant de la notion d’ « entreprise » qu’ " ainsi que l’a relevé M. l’avocat général au point 45 de ses conclusions, c’est dans ce contexte spécifique du calcul des amendes administratives imposées pour des violations visées à l’article 83, paragraphes 4 à 6, du RGPD qu’il y a lieu d’appréhender le renvoi, effectué au considérant 150 de ce règlement, à la notion d’ « entreprise », au sens des articles 101 et 102 TFUE. À cet égard, il convient de souligner que, aux fins de l’application des règles de la concurrence, visées par les articles 101 et 102 TFUE, cette notion comprend toute entité exerçant une activité économique, indépendamment du statut juridique de cette entité et de son mode de financement. Elle désigne ainsi une unité économique même si, du point de vue juridique, cette unité économique est constituée de plusieurs personnes physiques ou morales. Cette unité économique consiste en une organisation unitaire d’éléments personnels, matériels et immatériels poursuivant de façon durable un but économique déterminé (arrêt du 6 octobre 2021, Sumal, C 882/19, EU:C:2021:800, point 41 et jurisprudence citée). Ainsi, il ressort de l’article 83, paragraphes 4 à 6, du RGPD, qui vise le calcul des amendes administratives pour les violations énumérées dans ces paragraphes, que, dans le cas où le destinataire de l’amende administrative est ou fait partie d’une entreprise, au sens des articles 101 et 102 TFUE, le montant maximal de l’amende administrative est calculé sur la base d’un pourcentage du chiffre d’affaires annuel mondial total de l’exercice précédent de l’entreprise concernée. En définitive, ainsi que M. l’avocat général l’a relevé au point 47 de ses conclusions, seule une amende administrative dont le montant est déterminé en fonction de la capacité économique réelle ou matérielle de son destinataire, et donc imposée par l’autorité de contrôle en se fondant, en ce qui concerne le montant de celle-ci, sur la notion d’unité économique au sens de la jurisprudence citée au point 56 du présent arrêt, est susceptible de réunir les trois conditions énoncées à l’article 83, paragraphe 1, du RGPD, à savoir d’être à la fois effective, proportionnée et dissuasive. Dès lors, lorsqu’une autorité de contrôle décide, au titre des pouvoirs qu’elle détient en vertu de l’article 58, paragraphe 2, du RGPD, d’imposer à un responsable du traitement, qui est ou fait partie d’une entreprise, au sens des articles 101 et 102 TFUE, une amende administrative en application de l’article 83 dudit règlement, cette autorité est tenue de se fonder, en vertu de cette dernière disposition, lue à la lumière du considérant 150 du même règlement, lors du calcul des amendes administratives pour les violations visées aux paragraphes 4 à 6 de cet article 83, sur la notion d’« entreprise », au sens de ces articles 101 et 102 TFUE "(paragraphes 55 à 59).

160. Cette position a été confirmée par la Cour dans son arrêt du 13 février 2025 (CJUE, cinquième chambre, C-383/23).

A. Sur le prononcé d’une amende administrative et son montant

161. A titre liminaire, la société reproche au rapporteur de sanctionner deux fois les mêmes faits en prenant en compte le chiffre d’affaires de la maison mère des sociétés pour sanctionner à la fois la société FREE et la société FREE MOBILE, compte tenu de la violation des données des clients convergents. La société considère que le rapporteur méconnaît ainsi le principe « non bis in idem ».

162. Le rapporteur considère ne pas avoir méconnu le principe « non bis in idem » en proposant à la formation restreinte de sanctionner les sociétés FREE et FREE MOBILE, deux personnes morales distinctes, pour des faits distincts, qui ont notamment impacté les données d’abonnés convergents.

163. La formation restreinte rappelle qu’il résulte de l’article 50 de la Charte des droits fondamentaux de l’Union européenne, relatif au principe « non bis in idem » que « nul ne peut être poursuivi ou puni pénalement en raison d’une infraction pour laquelle il a déjà été acquitté ou condamné dans l’Union par un jugement pénal définitif conformément à la loi ».

164. Elle rappelle également que ce principe a vocation à s’appliquer dans l’hypothèse où une personne a déjà été condamnée ou acquittée par un jugement définitif, pour des faits relevant de la même infraction (CJUE, 7 janvier 2004, Aalborg Portland e.a./Commission, affaire C 204/00 P, § 338).

165. En l’espèce, la formation restreinte rappelle que la violation de données en cause, qui a notamment concerné les données de clients dits « convergents », a été rendue possible ou a été facilitée par des vulnérabilités qui sont à la fois propres au système d’information de la société FREE et propres à celui de la société FREE MOBILE. Compte tenu de leurs responsabilités respectives à l’égard de leurs propres systèmes d’information, deux procédures de sanction distinctes ont été diligentées à l’encontre des deux sociétés. Dans le cadre de la procédure de sanction visant la société FREE, la formation restreinte considère que celle-ci a commis un manquement à l’article 32 du RGPD, compte tenu des vulnérabilités propres à son système d’information (absence de sécurisation de la connexion au VPN non exploitée par l’attaquant, absence de moyens de détection des comportements suspects sur son outil SIEBEL exploitée par l’attaquant). Ces faits et leur imputation sont distincts de ceux imputés à la société FREE MOBILE.

166. Dès lors, la formation restreinte considère ne pas méconnaitre le principe « non bis in idem » en sanctionnant deux personnes morales distinctes pour des faits distincts, ayant touché pour partie les mêmes données.

167. Par conséquent, la formation restreinte écarte le grief tiré d’une méconnaissance du principe « non bis in idem ».

1. Sur le prononcé d’une amende administrative

168. Le rapporteur propose à la formation restreinte de prononcer à l’encontre de la société une amende administrative au regard de manquements constitués aux articles 32 et 34 du RGPD.

169. En défense, la société conteste l’analyse du rapporteur s’agissant des critères de l’article 83 du RGPD qui permettent de déterminer s’il y a lieu de prononcer une amende et de fixer son montant. Tout d’abord, s’agissant de la gravité de la violation de données, elle estime que, compte tenu de la recrudescence de la cybermenace, les données concernées avaient donc déjà fait l’objet de violations antérieures. Elle fait notamment valoir qu’elle a pris toutes les mesures nécessaires pour remédier à la violation de données en cause, qui s’inscrit dans le cadre d’une recrudescence de cyberattaque, et pour atténuer les conséquences de celle-ci pour les personnes concernées. Par ailleurs, elle rappelle s’être mise en conformité en cours de procédure, avant la clôture de l’instruction, à l’égard des manquements relevés par le rapporteur. En outre, elle soutient ne pas avoir tiré d’avantages financiers de la violation de données et avoir, au contraire, subi un préjudice qui se traduit par la baisse du nombre des nouveaux abonnés au premier semestre de l’année 2025. Enfin, elle considère que la communication réalisée par la CNIL auprès des plaignants et sur son site web, viole le secret de l’enquête et de l’instruction ainsi que sa présomption d’innocence et doit être pris en compte.

170. La formation restreinte rappelle que, pour évaluer l’opportunité de prononcer une amende, elle doit tenir compte des critères précisés à l’article 83 du RGPD tels que la nature, la gravité et la durée de la violation, la portée ou la finalité du traitement concerné, le nombre de personnes concernées, les mesures prises par le responsable du traitement pour atténuer le dommage subi par les personnes concernées, le fait que la violation a été commise par négligence, le degré de coopération avec l’autorité de contrôle, les catégories de données concernées et le niveau de dommage subi par les personnes.

171. En premier lieu, la formation restreinte considère qu’il y a lieu de faire application du critère prévu à l’alinéa a) relatif à la gravité du manquement compte tenu de la nature, de la portée ou de la finalité du traitement, ainsi que du nombre de personnes affectées et du niveau de dommage qu’elles ont subi.

172. La formation restreinte rappelle que les manquements commis ont concerné un nombre très important de personnes puisque, d’une part, la violation de données a concerné les données de plus de 24 millions de contrats d’abonnés (dont 7,6 millions de contrats FREE). La formation restreinte observe que ce volume reflète la place centrale occupée par la société dans le secteur des télécommunications en France.

173. Par ailleurs, la formation restreinte a considéré que l’insuffisance des mesures de sécurité déployées par la société de détection des comportements suspects avait permis ou a facilité la survenance de la violation de données. Elle estime que le contexte de recrudescence de cyberattaques nécessite une attention particulière des responsables du traitement pour assurer la sécurité des données qu’ils traitent. En l’espèce, la violation de données a conduit à une surexposition des données et ainsi augmenté le risque d’utilisations frauduleuses.

174. En outre, la formation restreinte relève que sur les 24 633 469 contrats concernés (dont 7,6 millions de contrats FREE) par la violation de données, seules 58 239 personnes ont appelé le numéro de téléphone gratuit mis à disposition par les sociétés FREE et FREE MOBILE et ont donc bénéficié d’informations complètes sur les conséquences probables de la violation et les mesures que les personnes peuvent prendre pour les éviter. Ce défaut de communication d’informations essentielles à un très grand nombre de personnes a significativement augmenté la survenance des risques exposés au point 2 de la présente délibération.

175. Enfin, la formation restreinte observe que la violation de données en cause a généré un nombre sans précédent de plaintes adressées à la CNIL, ce qui reflète la grande inquiétude des personnes concernées. La formation restreinte relève que l’imprécision des courriels de notification adressés en application de l’article 34 du RGPD n’a pu qu’alimenter la crainte et l’incertitude des personnes s’agissant des conséquences de la violation sur leur vie privée.

176. Il résulte de ce qui précède que les manquements caractérisés à l’égard de la société sont particulièrement graves.

177. En deuxième lieu, la formation restreinte estime qu’il convient de tenir compte du critère prévu à l’article 83, paragraphe 2, b) du RGPD, relatif au fait que la violation ait été commise délibérément ou par négligence.

178. S’agissant du manquement à l’article 32 du RGPD, la formation restreinte relève, que les mesures de sécurité qui auraient permis d’empêcher ou de limiter la violation sont pourtant bien identifiées par l’état de l’art, et qu’elle disposait des moyens humains, techniques et financiers pour les mettre en œuvre.

179. S’agissant du manquement à l’article 34 du RGPD, la formation restreinte estime que la société a fait preuve de négligence en ne portant pas à la connaissance des personnes concernées, dès le courriel de notification, les risques encourus par ces dernières, ainsi que les mesures qu’elles doivent prendre pour s’en prémunir alors même qu’elle les avait identifiés.

180. Par conséquent, la formation restreinte considère que les manquements en cause résultent de la négligence de la société.

181. En troisième lieu, la formation restreinte considère qu’il convient de faire application du critère prévu à l’alinéa g) de l’article 83, paragraphe 2 du RGPD relatif aux catégories de données à caractère personnel concernées par le manquement.

182. La formation restreinte relève que la société FREE MOBILE traite des données « hautement personnelles » (données bancaires) auxquelles l’attaquant a accédé en l’espèce. La société aurait dû faire preuve d’une grande vigilance en implémentant des mesures permettant d’assurer la sécurité de l’accès à ces données, compte tenu du risque que présente leur perte de confidentialité pour les personnes concernées (prélèvement frauduleux).

183. En quatrième lieu, la formation restreinte considère qu’il convient de faire application du critère prévu à l’alinéa k) de l’article 83, paragraphe 2 du RGPD relatif aux circonstances aggravantes ou atténuantes applicables aux circonstances de l’espèce, telle que les avantages financiers obtenus ou les pertes évitées, directement ou indirectement, du fait de la violation.

184. Outre le fait que le nombre d’abonnés a augmenté entre le dernier trimestre 2024 et le premier trimestre 2025, la formation restreinte relève que la société ne démontre pas le lien de causalité entre le préjudice subi du fait de la violation de données et une éventuelle perte de chiffre d’affaires qu’il conviendrait de prendre en compte en tant que circonstance atténuante.

185. Par ailleurs, s’agissant de la communication effectuée par la CNIL aux plaignants, la formation restreinte rappelle qu’elle s’inscrit dans le cadre de l’article 8-I-2-d) de la loi Informatique et Libertés modifiée, qui prévoit une obligation pour la Commission d’informer l’auteur d’une réclamation de l’issue de l’enquête (décision de sa Présidente de procéder à la clôture de la procédure de contrôle, et le cas échéant celle de la réclamation, ou d’engager une procédure de sanction). En l’espèce, la saisine de la formation restreinte et la désignation d’un rapporteur marquent la fin de la phase d’enquête au sens de l’article précité et il convenait donc d’en informer l’auteur de la réclamation. La formation restreinte précise que le contenu de l’information communiquée aux plaignants ne comportait pas d’informations couvertes par le secret dès lors qu’il n’est pas fait mention des manquements reprochés ni de la mesure correctrice proposée par le rapporteur.

186. La formation restreinte rappelle également que, compte tenu de son impartialité et de son indépendance, elle n’est pas liée par les demandes formulées par le rapporteur dans le cadre d’une procédure de sanction en cours. Dès lors, la décision de la présidente de la CNIL d’engager une procédure de sanction à l’encontre de la société ne préjuge pas de la décision qui sera rendue par les membres de la formation restreinte, ce que rappelait d’ailleurs le courrier d’information adressé par les services de la Commission aux plaignants.

187. En outre, s’agissant de la communication réalisée par la Commission sur son site web, la formation restreinte observe que, l’article intitulé " Fuite de données et vol de votre IBAN : comment vous protéger si vous êtes concerné ? " publié sur le site web de la CNIL le 8 août 2025 rappelle les risques encourus par les personnes concernées en cas d’usurpation de leur IBAN et formule des conseils pour s’en prémunir. La formation restreinte relève que cet article ne mentionne pas la société. La seule communication de la CNIL qui mentionne la société, comme victime d’une violation de données au même titre que d’autres acteurs également cités, s’intitule " Violations massives de données en 2024 : quels sont les principaux enseignements et mesures à prendre ? " et date du 28 janvier 2025. D’une part, la formation restreinte note que cet article ne comporte aucune information couverte par le secret de l’enquête (par exemple, le périmètre du contrôle, les manquements constatés), qui était en cours au moment de sa publication, ni aucun jugement de valeur sur la société. Cet article vise qu’à sensibiliser les organismes, dans un contexte de recrudescence de violations de données, aux modes opératoires utilisés par les attaquants, qui exploitent régulièrement les mêmes vulnérabilités. D’autre part, la formation restreinte observe qu’à la date de publication de cet article, la violation de données dont a été victime la société était déjà publique dès lors qu’elle avait été relayée sur le site web cybermalveillance.gouv.fr, ainsi que dans la presse.

188. Par conséquent, la formation restreinte estime que les communications de la CNIL ne sont pas de nature à constituer une circonstance atténuante.

189. En conséquence, la formation restreinte estime, au vu de l’ensemble de ces éléments et au regard des critères fixés à l’article 83 du RGPD, qu’il y a lieu de prononcer une amende administrative au titre des manquements en cause.

2. Sur le montant de l’amende administrative

190. En défense, la société soutient que le montant de l’amende proposé par le rapporteur est disproportionné au regard des décisions antérieures de la formation restreinte. Elle ajoute qu’en prononçant une amende particulièrement élevée, la formation restreinte enverrait un mauvais signal aux autres responsables de traitement victimes d’une violation de données, qui pourraient décider ne pas porter à la connaissance de la Commission la survenance d’une violation de données et céder aux exigences des attaquants.

191. La formation restreinte relève d’abord que le manquement relatif aux articles 32 et 34 du RGPD sont, susceptibles de faire l’objet, en vertu de l’article 83 du RGPD, d’une amende administrative pouvant s’élever jusqu’à 10 000 000 euros et jusqu’à 2 % du chiffre d’affaires annuel, le montant le plus élevé étant retenu. Elle rappelle que les amendes administratives doivent être dissuasives et proportionnées.

192. Elle considère ensuite qu’il convient de recourir à la notion d’ « entreprise » en droit de la concurrence, en vertu de la référence directe et explicite opérée à cette notion par le considérant 150 du RGPD ainsi que par les lignes directrices sur l’application et la fixation des amendes administratives aux fins du règlement 2016/679. Elle souligne en effet que dans des arrêts rendus au titre du RGPD, la CJUE a confirmé que la notion d’ « entreprise » contenue à l’article 83 du RGPD devait bien s’appréhender au regard du droit de la concurrence, régit par les articles 101 et 102 du TFUE (CJUE, grande chambre, 5 décembre 2023, C-807/21 et CJUE, cinquième chambre, 13 février 2025, C-383/23).

193. S’agissant de ce que recouvre la notion d’« entreprise », la formation restreinte relève que dans son arrêt précité du 5 décembre 2023, la CJUE retient qu’une entreprise est une unité économique, même si du point de vue juridique cette unité économique est constituée de plusieurs personnes morales. La CJUE précise qu’à l’instar du droit de la concurrence (Cour de Cassation, ch. com., 7 juin 2023, pourvoi n° 22-10.545 ; Autorité de la concurrence, décisions n° 21-D-10 du 3 mai 2021 et n° 21-D-28 du 9 décembre 2021), lorsqu’une filiale est détenue directement ou indirectement à 100% par sa maison mère, il existe une présomption réfragable selon laquelle la maison mère exerce une influence déterminante sur le comportement de la société. Pour déterminer le montant de l’amende envisagée, et qu’il corresponde à la capacité économique réelle de son destinataire, il convient alors, selon les deux arrêts précités, si les deux sociétés peuvent matériellement être regardées comme relevant de la même unité économique, de prendre en compte le chiffre d’affaires de la maison mère afin que l’amende soit effective, proportionnée et dissuasive.

194. En l’espèce, la formation restreinte rappelle que la société ILIAD détient à 100 % la société FREE et considère ainsi, à l’instar du droit de la concurrence, qu’il existe une présomption selon laquelle la société ILIAD exerce une influence déterminante sur le comportement de la société FREE sur le marché (CJUE, grande chambre, 5 décembre 2023, C-807/21 ; également CJUE, troisième chambre, 10 septembre 2009, Akzo C 97/08 P, paragraphes 58 à 61. Voir également, pour l’application de la présomption d’influence déterminante en cas de détention en chaîne : CJUE, Eni c/ Commission, 8 mai 2013 (C-508/11 P, § 48). Par conséquent, les sociétés ILIAD et FREE constituent une seule entité économique et forment donc une seule entreprise au sens de l’article 101 du TFUE.

195. Compte tenu de ce qui précède, la formation restreinte considère qu’il y a lieu de retenir le chiffre d’affaires de l’entreprise au sens d’ « unité économique », à savoir celui de la maison mère du groupe. Elle rappelle qu’en 2024 le chiffre d’affaires de la société ILIAD était de 10,024 milliards d’euros pour un résultat net de 367 millions d’euros. La formation restreinte observe qu’au premier trimestre 2025, le chiffre d’affaires de la société ILIAD est de 2,5 milliards d’euros, dont 1,6 milliards provient de ses filiales françaises, dont la société FREE. La formation restreinte relève également que le chiffre d’affaires de la société ILIAD, au premier trimestre 2025, est en hausse de 4,3% par rapport au premier trimestre de l’année précédente.

196. S’agissant du montant de l’amende, la formation restreinte rappelle qu’il doit être proportionné et dissuasif, au regard des responsabilités et capacités financières de l’organisme mis en cause et des critères pertinents de l’article 83 du RGPD. Dès lors, le montant d’une amende est déterminé en fonction de chaque cas d’espèce. La formation restreinte relève notamment, en l’espèce, les ressources humaines, techniques et financières dont dispose la société pour respecter ses obligations au titre de la règlementation relative à la protection des données à caractère personnel, ainsi que le nombre particulièrement élevé de données et de personnes concernées par la violation de données (dont des données concernant 7,6 millions de contrats FREE) et les manquements en cause. Compte tenu de ce qui précède, la formation restreinte considère qu’apparait adapté de prononcer à l’encontre de la société FREE une amende administrative d’un montant de 15 000 000 (quinze millions) d’euros, au regard des manquements constitués aux articles 32 et 34 du RGPD. Contrairement à ce que soutient la société, la formation restreinte considère que le prononcé de cette amende n’entraînera pas une absence de notification auprès de la Commission par d’autres responsables de traitement victimes d’une violation de données. La formation restreinte rappelle à cet égard que la notification d’une violation de données présentant un risque pour les droits et libertés des personnes à la CNIL constitue une obligation pour les responsables du traitement, dont la méconnaissance constitue un manquement à l’article 33 du RGPD pouvant donner lieu au prononcé d’une mesure correctrice par la formation restreinte.

B. Sur le prononcé d’une injonction

197. Dans son rapport initial, le rapporteur proposait à la formation restreinte de prononcer à l’encontre de la société une injonction de mettre en conformité le traitement avec les dispositions de l’article 32 du RGPD, assortie d’une astreinte.

198. En défense, la société soutient que le prononcé d’une injonction est sans objet, dès lors qu’elle a déployé des mesures de mise en conformité en cours de procédure.

199. La formation restreinte relève qu’au jour de la séance, la société n’a pas justifié de l’évolution de l’ensemble des pratiques mises en cause dans le cadre de la procédure de sanction diligentée à son encontre. Dès lors, elle considère qu’afin de s’assurer de la mise en conformité de la société s’agissant du manquement relevé à l’article 32 du RGPD, le prononcé d’une injonction apparait nécessaire.

200. La formation restreinte estime que la société doit adopter des mesures de sécurité appropriées […].

201. Par ailleurs, pour garantir le respect de cette injonction, la formation restreinte considère qu’au regard du chiffre d’affaires de la société et des moyens financiers, humains et techniques dont elle dispose pour remédier aux manquements constatés, il convient de prononcer une astreinte journalière d’un montant de 25 000 (vingt-cinq mille) euros par jour de retard, liquidable à l’issue d’un délai de 3 (trois) mois à compter de la notification de la décision.

C. Sur la publicité de la sanction

202. La société conteste la proposition du rapporteur de rendre publique la présente délibération, compte tenu notamment de la sensibilité des mesures de sécurité visées dans le cadre de la procédure de sanction. Elle estime que la divulgation de ces mesures dans une décision publique pourrait porter atteinte à la sécurité de son système d’information.

203. La formation restreinte considère que la publicité de la présente décision se justifie au regard de la gravité des manquements, ainsi que du nombre de personnes concernées. Elle estime que la publicité permettra notamment d’informer l’ensemble des personnes concernées par les manquements en cause sur la nature de la mesure correctrice prise par la formation restreinte de la Commission à l’encontre de la société. Elle considère toutefois nécessaire que certains développements contenus dans la présente délibération seront occultés.

204. Elle considère en outre que cette mesure apparait proportionnée dès lors que la décision n’identifiera plus nommément la société à l’issue d’un délai de deux ans à compter de sa publication.  

PAR CES MOTIFS

La formation restreinte de la CNIL, après en avoir délibéré, décide de :

— prononcer à l’encontre de la société FREE, une amende administrative d’un montant de 15 000 000 (quinze millions) d’euros au regard des manquements constitués aux articles 32 et 34 du RGPD ;

— prononcer une injonction, à l’encontre de la société FREE, de mettre en conformité le traitement avec les dispositions de l’article 32 du RGPD, et en particulier de mettre en œuvre les mesures techniques et organisationnelles appropriées, dans un délai de trois mois, afin de garantir un niveau de sécurité adapté au risque, notamment :

• […] ;

• […] ;

— assortir l’injonction d’une astreinte de 25 000 (vingt-cinq mille) euros par jour de retard, les justificatifs de la mise en conformité devant être adressés à la formation restreinte dans le délai précité ;

— de rendre publique, sur le site de la CNIL et sur le site de Légifrance, sa délibération, qui n’identifiera plus nommément la société à l’expiration d’un délai de deux ans à compter de sa publication.

Le Président

Philippe-Pierre CABOURDIN

Cette décision peut faire l’objet d’un recours devant le Conseil d’Etat dans un délai de deux mois à compter de sa notification.