42. C’est le nom des écoles d’apprentissage informatique promues par Xavier Niel, le fondateur de Free. Mais 42, c’est aussi le montant de la sanction, en millions d’euros, que vient d’infliger la Commission nationale de l’informatique et des libertés (CNIL) à l’opérateur français. C’est ce que l’autorité administrative vient d’annoncer ce mercredi 14 janvier 2026.
En réalité, l’entreprise de télécommunications est visée par deux amendes : la première (de 15 millions d’euros) vise le fournisseur d’accès à Internet Free, tandis que la seconde (de 27 millions d’euros) concerne sa branche dans la téléphonie mobile (Free Mobile). Motif de cette double peine ? Les mauvaises pratiques du groupe en matière de sécurité informatique.
De grosses négligences techniques, et une rétention des données qui n’a pas aidé
En l’espèce, la décision de l’autorité chargée de la protection des données en France constitue l’épilogue de son enquête administrative lancée à la suite du piratage massif confirmé par l’opérateur en octobre 2024. À l’époque, un assaillant avait réussi à s’infiltrer dans les systèmes internes de gestion de Free, accédant ainsi aux données de près de 24 millions de contrats.
Le réquisitoire contre Free est sévère et pointe des manquements graves, y compris des « mesures élémentaires de sécurité qui auraient pu rendre l’attaque plus difficile ». Par exemple, l’authentification pour se connecter au VPN de la société « n’était pas suffisamment robuste ». Quant aux mesures pour détecter des anomalies en interne, elles « étaient inefficaces ».
Autrement dit, les données des abonnés étaient mal gardées. C’est grave quand on est l’un des quatre grands opérateurs du pays, avec une clientèle qui se chiffre en millions d’individus. Certes, la CNIL reconnaît que le risque zéro n’existe pas en sécurité informatique, mais il y a des leviers qui aident à réduire le risque.
« Compte tenu du nombre et de la nature des données traitées, la [CNIL] a considéré que les mesures de sécurité déployées afin d’assurer la confidentialité [des données] n’étaient pas adaptées. Elle a rappelé que, même s’il est impossible d’éliminer tout risque, celles-ci peuvent en réduire la probabilité et, le cas échéant, en limiter la gravité », est-il souligné.
Et ce n’est pas tout : l’autorité administrative a aussi épinglé Free Mobile en raison de sa durée excessive de conservation des informations. L’opérateur conservait des fiches d’anciens clients bien au-delà des durées légales, sans faire le tri, ce qui a eu pour effet d’augmenter mécaniquement le nombre de victimes lors de l’attaque.
Une communication floue face à des risques bien réels
Le mécontentement de la CNIL est allé au-delà des seules considérations techniques. La gestion d’après-crise est aussi remise en cause. L’opérateur aurait pu communiquer plus clairement sur les risques encourus par les victimes. Il y a eu un courrier d’alerte, envoyé fin 2024, mais son contenu a été jugé insuffisant.
Le courriel « ne comportait pas toutes les informations nécessaires » et ces « omissions ne permettaient notamment pas aux personnes concernées de comprendre directement les conséquences de la violation, ainsi que les mesures qu’elles pouvaient mettre en place pour se protéger de celles-ci », alors que l’inquiétude était naturellement élevée.
Une meilleure communication n’aurait sans doute pas empêché l’inévitable vague de tentatives d’arnaque et d’escroquerie qui s’est rapidement propagée après — d’autant que, dans le lot des données qui ont fuité, il y a les IBAN. Mais elle aurait peut-être mieux armé les victimes, car celles-ci ont vécu une année noire en matière de cybersécurité.
- L’arnaque aux prélèvements SEPA : dès les premières semaines, des fraudeurs ont utilisé les IBAN volés pour tenter d’automatiser des paiements via des plateformes comme Stripe. Nous vous expliquions alors comment une entreprise pouvait vous prélever de l’argent avec un simple IBAN, souvent par petites sommes pour passer inaperçu.
- Les faux conseillers bancaires : des escrocs ont appelé les victimes en se faisant passer pour leur banque (ou Revolut), utilisant l’adresse et les informations volées pour crédibiliser le discours et vider les comptes.
- Le faux Amazon Prime : au printemps 2025, une campagne de phishing massive a exploité les adresses postales pour piéger les abonnés avec de faux abonnements « famille » à 480 euros.
- Le faux support Free : en juillet 2025, c’est une fausse « procédure obligatoire » de Free Mobile menaçant de couper la ligne qui a fait de nouvelles victimes.
Et maintenant pour Free et Free Mobile ?
En plus de l’amende qui devra être réglée, Free est désormais sous le coup d’injonctions strictes : le groupe a 3 mois pour finaliser la sécurisation de ses systèmes (authentification, détection) et 6 mois pour purger les bases de données des anciens clients qu’il n’a plus le droit de conserver.
Si cette sanction ne remboursera pas les victimes des arnaques, elle peut être un rappel clair aux opérateurs de faire preuve de beaucoup plus de rigueur quant à la protection des données personnelles. Car Free n’a pas été un cas isolé. Bouygues Telecom, à l’été 2025, a aussi connu un incident qui a débouché sur la fuite de millions de données.
Pour savoir si vous faites partie des victimes, le site de référence Have I Been Pwned répertorie la fuite depuis mai 2025. Enfin, si vous constatez des mouvements suspects sur votre compte bancaire liés à cette fuite (même plus d’un an après), il existe des recours : voici la marche à suivre pour contester un prélèvement frauduleux auprès de votre banque.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Toute l'actu tech en un clin d'œil
Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !
Tous nos articles sont aussi sur notre profil Google : suivez-nous pour ne rien manquer !