La Commission nationale de l’informatique et des libertés (CNIL) a infligé, le 13 janvier 2026, une amende totale de 42 millions d’euros aux sociétés Free Mobile et Free à la suite d’une fuite massive de données survenue en octobre 2024. Lors de cet incident, un pirate informatique a eu accès aux données sensibles de 24 millions de contrats d’abonnés, parmi lesquelles figuraient des IBAN. La CNIL a relevé que les deux entités n’avaient pas respecté leurs obligations de sécurité au regard du RGPD : elles n’avaient pas mis en place des mesures techniques et organisationnelles adéquates pour protéger les données, et n’avaient pas suffisamment informé les personnes concernées des conséquences de l’incident. Elle a également pointé l’absence de procédures robustes de contrôle des accès au réseau et le non-respect des durées de conservation, qui a conduit à la rétention d’informations superflues. La sanction se répartit en 27 millions d’euros pour Free Mobile et 15 millions d’euros pour Free. Les sociétés ont en outre été sommées de finaliser les mesures de sécurité requises dans le délai fixé par la CNIL.