A l'occasion de deux délibérations sanctionnant un opérateur de téléphonie, la Cnil précise le contenu de l'obligation d'information de la personne dont les données ont fait l'objet d'une violation.
Les sociétés de téléphonie Free et Free Mobile ont été victimes, entre septembre et octobre 2024, d’une violation massive de données, ayant exposé les données personnelles de plus de 24 millions de contrats Free et Free Mobile (identité, coordonnées, données contractuelles et IBAN pour certains clients).
La société Free a notifié la violation à la Cnil et informé les personnes concernées, tandis qu’une mission de contrôle a été diligentée en novembre 2024. A la suite de cette enquête, la Cnil a sanctionné les deux sociétés en se fondant sur les éléments suivants.
D'une part, la Cnil relève une violation de l'obligation de sécurité au regard des risques élevés pour les personnes concernées, les sociétés n'ayant pas mis en œuvre, au jour de la violation des données, certaines mesures élémentaires de sécurité qui auraient pu rendre l’attaque plus difficile.
D'autre part, la Cnil retient un manquement des opérateurs à l'obligation de communiquer aux personnes concernées sur la survenance d'une violation de données à caractère personnel, qui requiert une information des personnes concernées par la violation à deux niveaux (Règl. 2016-679 du 27-4-2016, dit « RGPD », art. 34) :
- un socle obligatoire d’informations essentielles directement communiqué aux personnes concernées ;
- des informations complémentaires accessibles via des dispositifs additionnels.
En l’espèce, elle constate que ce schéma a été respecté sur la forme : un courriel initial constituait le premier niveau d’information, complété par des canaux dédiés permettant d’obtenir des précisions. Toutefois, certains éléments essentiels faisaient défaut dans la communication initiale. Ces omissions ne permettaient notamment pas aux personnes concernées de comprendre directement les conséquences de la violation ainsi que les mesures qu’elles pouvaient mettre en place pour s'en protéger.
La Cnil a prononcé à l'encontre des deux sociétés des amendes pour un montant total de 42 millions d’euros et une injonction de mise en conformité.
Documents et liens associés :
Délib. Cnil SAN-2026-001 du 8-1-2026 ; Délib. Cnil SAN 2026-002 du 8-1-2026
