Le 8 janvier 2026, la CNIL a sanctionné Free et Free Mobile pour des défauts dans leur système de sécurité de données clients, qui ont permis la fuite de données de 24 millions de contrats, dont des données bancaires (IBAN) + une communication clients trop vague. Des pratiques contraires aux articles 32 et 34 du RGPD.
✅ ce que vous devez retenir : ce n’est pas tant la fuite de données en elle-même qui déclenche cette sanction, que l’absence des « mesures élémentaires de sécurité » qui « auraient rendu l’attaque plus difficile ». On est dans une obligation de moyens, pas de résultat. L’objectif est de faire son maximum pour prévenir les attaques, bien sûr, mais surtout de les limiter — dans le temps, la gravité et l’ampleur.
→ Vos choix techniques ont des conséquences juridiques.
→ Une “économie” sur la sécurité = risque de sanction.
→ Un défaut de sécurité peut être sanctionné même en l’absence d’attaque!
+ Les sociétés sont aussi sanctionnées pour avoir mal communiqué auprès de leurs clients: l’e-mailing mentionnait un « risque de SMS, mails ou appels frauduleux », information générique qui ne permettait pas aux clients de prendre la mesure de la fuite et de décider quoi faire en pratique pour limiter le risque d’être attaqués à leur tour.
→ Une communication spécifique et maîtrisée vous apportera confiance et conformité.
👉 Info bonus: En matière de cybersécurité, le projet de loi « relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité », doit actualiser le code de la défense sur les activités critiques (dont les télécoms), pour mettre la France au niveau de la directive NIS2. Elle est en cours d’examen au Parlement depuis… le 15 octobre 2024 :-/
Encore beaucoup d’efforts à faire collectivement pour une vraie cybersécurité !
🔗 Lien vers les deux décisions de la CNIL ici: https://lnkd.in/ez7X7QRV
