Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
En janvier 2026, la CNIL inflige une sanction historique de 42 millions d'euros au groupe Free : 27 millions d'euros pour Free Mobile et 15 millions d'euros pour Free. Ces amendes sanctionnent des violations graves du RGPD, notamment le partage illégal de données clients avec des réseaux sociaux sans base légale. Si vous êtes client Free, cette décision renforce vos droits sur vos données personnelles et vous permet de mieux comprendre les obligations de votre opérateur.
La Commission Nationale de l'Informatique et des Libertés a identifié plusieurs manquements graves au RGPD dans les pratiques de Free Mobile et Free. L'enquête a révélé que ces deux entités partageaient massivement les données personnelles de leurs clients avec des plateformes de réseaux sociaux, sans disposer d'une base légale valable au sens de l'article 6 du RGPD.
Concrètement, vos données (numéro de téléphone, adresse email, historique de navigation) étaient transmises à des tiers à des fins publicitaires, sans que vous n'ayez donné votre consentement libre et éclairé. Cette pratique constitue une violation frontale des principes fondamentaux de protection des données personnelles établis par le Règlement européen 2016/679.
La CNIL a également constaté que les informations fournies aux clients sur l'utilisation de leurs données étaient insuffisantes, voire trompeuses, ne permettant pas aux abonnés de comprendre réellement quelles données étaient collectées et à quelles fins. Pour mieux comprendre vos droits fondamentaux en matière de protection des données, consultez notre guide sur la RGPD conformité : 8 obligations du responsable de traitement.
La décision de la CNIL détaille précisément les violations commises par le groupe Free. Premier manquement : l'absence de base légale pour le traitement des données personnelles transmises aux réseaux sociaux. L'article 6 du RGPD exige soit un consentement explicite, soit une autre base légale clairement identifiée.
Deuxième manquement : le défaut d'information claire et transparente aux clients. Les politiques de confidentialité de Free ne mentionnaient pas explicitement le partage de données avec des tiers à des fins publicitaires, violant ainsi l'article 13 du RGPD qui impose une information complète et accessible.
Troisième violation : l'absence de mécanisme de consentement valide. Lorsqu'un consentement était demandé, il n'était pas libre (cases précochées) ni spécifique (consentement global non détaillé), contrevenant aux exigences strictes de l'article 7 du RGPD.
Quatrième manquement : le non-respect du droit d'opposition. Les clients qui souhaitaient s'opposer au traitement de leurs données à des fins commerciales rencontraient des obstacles techniques et procéduraux, en violation de l'article 21 du RGPD.
Cinquième et dernier point : l'insuffisance des mesures de sécurité lors du transfert de données vers les plateformes tierces, exposant potentiellement les informations personnelles de millions d'abonnés à des risques de fuites ou d'usages détournés.
Cette sanction record envoie un signal fort aux opérateurs télécoms et aux entreprises qui traitent massivement des données personnelles. Le montant de 42 millions d'euros cumulés représente l'une des amendes les plus importantes prononcées par la CNIL depuis l'entrée en vigueur du RGPD en 2018.
Pour vous, client Free ou de tout autre opérateur, cette décision renforce concrètement trois droits fondamentaux. D'abord, votre droit à l'information : les entreprises doivent désormais vous expliquer clairement ce qu'elles font de vos données, dans un langage accessible et non dans des conditions générales illisibles.
Ensuite, votre droit au consentement : aucune entreprise ne peut utiliser vos données à des fins commerciales sans votre accord explicite, donné par une action positive (case à cocher non précochée, par exemple). Les cases précochées sont formellement interdites.
Enfin, votre droit d'opposition et de retrait du consentement : vous pouvez à tout moment refuser que vos données soient utilisées à des fins publicitaires, et ce refus doit être aussi simple à exercer que l'acceptation initiale. Les entreprises ne peuvent pas vous imposer de parcours du combattant pour protéger votre vie privée.
Depuis mai 2018, le Règlement Général sur la Protection des Données impose des obligations strictes à tous les responsables de traitement, y compris les opérateurs de télécommunications. Ces entreprises collectent par nature des volumes considérables de données personnelles : identité, coordonnées, historique de consommation, géolocalisation, navigation internet.
Première obligation : la licéité du traitement. Chaque utilisation de vos données doit reposer sur une base légale parmi les six prévues par l'article 6 du RGPD : consentement, exécution d'un contrat, obligation légale, sauvegarde des intérêts vitaux, mission d'intérêt public ou intérêt légitime. Le simple intérêt commercial ne suffit pas.
Deuxième impératif : la minimisation des données. L'opérateur ne doit collecter que les informations strictement nécessaires au service fourni. Demander votre date de naissance complète quand seule votre majorité compte constitue une violation de ce principe.
Troisième règle : la limitation de la conservation. Vos données ne peuvent être gardées indéfiniment. La CNIL recommande aux opérateurs de supprimer les données de facturation après 5 ans maximum, et les données de localisation après quelques mois seulement.
Quatrième exigence : la sécurité des traitements. L'opérateur doit mettre en œuvre toutes les mesures techniques et organisationnelles appropriées pour protéger vos données contre les accès non autorisés, les pertes ou les fuites. Le chiffrement des données sensibles est désormais un standard minimal.
Si vous êtes ou avez été client Free Mobile ou Free, vous disposez de plusieurs moyens pour vérifier l'utilisation qui a été faite de vos données personnelles. Le RGPD vous confère un droit d'accès qui permet d'obtenir la confirmation que vos données sont traitées et, le cas échéant, d'accéder à ces données.
Première étape : exercez votre droit d'accès en envoyant une demande écrite à Free. Vous pouvez utiliser le formulaire en ligne disponible dans votre espace client ou adresser un courrier recommandé avec accusé de réception au service clients. Free dispose d'un délai d'un mois maximum pour vous répondre, délai prorogeable de deux mois en cas de complexité.
Votre demande doit préciser que vous souhaitez connaître : quelles données personnelles vous concernant sont traitées, à quelles fins, pendant combien de temps, et surtout quels destinataires (notamment les réseaux sociaux) ont reçu vos données. Free doit vous fournir une copie de ces informations dans un format structuré et lisible.
Si vous constatez que vos données ont effectivement été partagées avec des plateformes tierces sans votre consentement, vous pouvez exercer votre droit d'opposition pour l'avenir et votre droit à l'effacement pour les données déjà transmises, dans la mesure du possible.
En cas de refus ou d'absence de réponse de Free, vous disposez d'un recours direct auprès de la CNIL. Vous pouvez déposer une plainte en ligne sur le site cnil.fr, en joignant tous les éléments de votre dossier (copies des demandes, réponses de Free, etc.).
La sanction administrative de 42 millions d'euros prononcée par la CNIL est versée au Trésor public, pas aux clients victimes. Cependant, cette décision ne vous prive pas de votre droit à réparation si vous avez subi un préjudice du fait des violations du RGPD commises par Free.
L'article 82 du RGPD établit clairement que toute personne ayant subi un dommage matériel ou moral du fait d'une violation du règlement a le droit d'obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi. Ce droit est distinct de la sanction administrative.
Le préjudice moral peut résulter de l'atteinte à votre vie privée, de l'utilisation non consentie de vos données, ou du stress et de l'inquiétude causés par la révélation de cette violation massive. Même sans préjudice financier direct, les juridictions françaises reconnaissent de plus en plus ce type de dommage immatériel.
Pour obtenir réparation, vous devez engager une action civile devant le tribunal judiciaire compétent (celui de votre domicile ou du siège de Free). Il est recommandé de vous regrouper avec d'autres clients dans le cadre d'une action de groupe (class action à la française), qui permet de mutualiser les frais et de renforcer votre position.
Les indemnisations accordées varient généralement de quelques centaines à quelques milliers d'euros par personne, selon la gravité du préjudice démontré. Conservez tous les justificatifs : captures d'écran de publicités ciblées suspectes, témoignages de sollicitations commerciales inhabituelles, etc.
Au-delà de l'amende de 42 millions d'euros, cette sanction CNIL impose à Free Mobile et Free des obligations de mise en conformité sous astreinte. L'opérateur dispose généralement de trois à six mois pour corriger l'ensemble des manquements identifiés, sous peine d'astreintes financières supplémentaires.
Free doit notamment revoir intégralement sa politique de confidentialité pour la rendre claire, transparente et complète. Tous les clients doivent recevoir une information actualisée sur l'utilisation de leurs données, rédigée dans un langage simple et accessible, sans jargon juridique ou technique excessif.
L'opérateur doit également mettre en place un mécanisme de consentement conforme au RGPD pour toute utilisation de données à des fins commerciales ou de profilage. Cela signifie concrètement : cases non précochées, information spécifique pour chaque finalité, possibilité de consentir séparément à différents traitements.
Free doit en outre cesser immédiatement tout partage de données avec les réseaux sociaux qui ne reposerait pas sur une base légale valide. Les flux de données existants doivent être interrompus et les contrats avec les plateformes publicitaires revus pour garantir la conformité au RGPD.
Enfin, la CNIL exige la mise en place d'un dispositif de contrôle interne renforcé, avec la désignation d'un délégué à la protection des données (DPO) aux moyens suffisants, et des audits réguliers des traitements de données pour prévenir toute nouvelle violation.
Cette affaire Free illustre l'importance de rester vigilant sur l'utilisation de vos données personnelles, même avec des entreprises réputées. Vous pouvez adopter plusieurs bonnes pratiques pour limiter l'exposition de vos informations sensibles.
Première règle : lisez systématiquement les politiques de confidentialité, au moins en diagonale, avant de créer un compte ou de souscrire un service. Recherchez spécifiquement les sections mentionnant le partage de données avec des tiers, les cookies publicitaires, et les transferts hors Union européenne.
Deuxième réflexe : paramétrez strictement vos consentements. Refusez systématiquement les cookies non essentiels, décochez toutes les cases de prospection commerciale, et n'acceptez que le strict minimum nécessaire au fonctionnement du service que vous souhaitez utiliser.
Troisième protection : exercez régulièrement vos droits RGPD. Une fois par an, demandez à vos principaux fournisseurs de services (opérateur télécom, banque, réseaux sociaux, sites e-commerce) quelles données ils détiennent sur vous et à quelles fins. Cela vous permet de détecter d'éventuelles utilisations non autorisées.
Quatrième mesure : utilisez des outils de protection de la vie privée. Installez un bloqueur de traceurs publicitaires (uBlock Origin, Privacy Badger), configurez votre navigateur en mode restrictif, et envisagez l'utilisation d'un VPN pour masquer votre adresse IP lors de la navigation.
Si vous constatez une utilisation abusive de vos données, n'hésitez pas à consulter notre article sur le droit d'accès documents administratifs pour comprendre comment obtenir les informations détenues par les administrations et entreprises.
La sanction contre Free s'inscrit dans une politique de répression accrue de la CNIL depuis 2020. L'autorité de contrôle française a prononcé plusieurs amendes record ces dernières années, témoignant d'une application ferme du RGPD face aux géants du numérique et aux grandes entreprises.
En 2020, Google a été sanctionné à hauteur de 100 millions d'euros, suivi d'une amende de 90 millions pour Amazon. Ces sanctions visaient principalement des violations liées aux cookies publicitaires et au défaut de consentement valide. Le message était clair : le RGPD n'est pas une simple formalité administrative.
En 2022, Facebook (Meta) a écopé d'une amende de 60 millions d'euros pour des pratiques similaires à celles reprochées à Free : refus de cookies difficile, information insuffisante, absence de consentement libre. La CNIL a exigé que le refus des cookies soit aussi simple que leur acceptation.
Plus récemment, plusieurs entreprises françaises de télécommunication et de e-commerce ont été sanctionnées pour des montants compris entre 500 000 et 10 millions d'euros. Les motifs récurrents : prospection commerciale non consentie, conservation excessive de données, absence de sécurisation des bases de données clients.
Ces sanctions créent une jurisprudence protectrice pour les consommateurs. Elles établissent des standards de conformité de plus en plus exigeants et dissuadent les entreprises de considérer les amendes RGPD comme un simple coût d'exploitation acceptable. Pour les particuliers, c'est la garantie d'un contrôle croissant sur leurs informations personnelles.
La mise en conformité de Free après cette sanction implique une refonte complète de ses processus de gestion des données clients. L'opérateur doit d'abord cartographier exhaustivement tous les traitements de données personnelles qu'il réalise, en identifiant précisément les finalités, les catégories de données, les durées de conservation et les destinataires.
Cette cartographie doit déboucher sur la tenue d'un registre des activités de traitement, document obligatoire en vertu de l'article 30 du RGPD. Ce registre, consultable par la CNIL lors de contrôles, doit être maintenu à jour en permanence et inclure toutes les opérations de traitement, y compris celles confiées à des sous-traitants.
Free doit ensuite procéder à des analyses d'impact (AIPD) pour tous les traitements susceptibles d'engendrer un risque élevé pour les droits et libertés des personnes. Le partage de données avec des réseaux sociaux entre clairement dans cette catégorie. L'AIPD permet d'identifier les risques et de définir les mesures pour les atténuer.
Sur le plan technique, l'opérateur doit implémenter le principe de privacy by design : la protection des données doit être intégrée dès la conception de tout nouveau service ou fonctionnalité. Par défaut, seules les données strictement nécessaires doivent être collectées et traitées (privacy by default).
Enfin, Free doit former l'ensemble de ses collaborateurs aux exigences du RGPD, en particulier ceux qui manipulent des données clients. La conformité ne peut reposer uniquement sur le service juridique ou le DPO : elle doit imprégner toute la culture d'entreprise.
Si vous estimez que votre opérateur télécom ou tout autre responsable de traitement ne respecte pas vos droits en matière de protection des données, vous disposez de plusieurs voies de recours distinctes et complémentaires.
Premier recours : la plainte auprès de la CNIL. Vous pouvez déposer une réclamation en ligne sur cnil.fr, par courrier postal, ou via le téléservice dédié. Décrivez précisément les faits, joignez tous les justificatifs (captures d'écran, courriels, contrats), et expliquez en quoi vous estimez que vos droits RGPD ont été violés. La CNIL dispose de pouvoirs d'enquête étendus et peut prononcer des sanctions.
Deuxième option : l'action devant le tribunal judiciaire. Vous pouvez saisir le tribunal de votre domicile d'une action en responsabilité civile contre l'entreprise fautive, en vue d'obtenir des dommages-intérêts pour le préjudice subi. Cette action peut être engagée parallèlement à la plainte CNIL et ne dépend pas de l'issue de celle-ci.
Troisième possibilité : mandater une association de défense des consommateurs agréée pour vous représenter. Certaines associations comme l'UFC-Que Choisir ou la CLCV peuvent engager des actions de groupe (class action) qui permettent à de nombreux consommateurs de faire valoir collectivement leurs droits.
Quatrième recours : la médiation de la consommation. Avant toute action judiciaire, vous pouvez saisir le médiateur des communications électroniques, service gratuit et indépendant qui tente de trouver une solution amiable entre vous et votre opérateur. Cette étape est souvent un préalable obligatoire avant de pouvoir saisir un tribunal.
Pour les litiges touchant à d'autres domaines du droit, consultez également nos guides sur la facture impayée professionnels ou l'injonction de payer.
Oui, si vous êtes ou avez été client Free Mobile ou Free entre 2020 et 2026, vos données ont potentiellement été partagées illégalement avec des réseaux sociaux. Exercez votre droit d'accès pour le vérifier.
Non, la sanction CNIL est administrative et revient au Trésor public. Pour obtenir une indemnisation personnelle, vous devez engager une action civile distincte devant le tribunal judiciaire.
Connectez-vous à votre espace client Free, accédez aux paramètres de confidentialité, et décochez toutes les options de partage de données et de prospection commerciale. Confirmez par courrier recommandé si nécessaire.
Non, cette sanction ne crée pas de droit de résiliation anticipée sans frais. Vous restez tenu par votre contrat. Toutefois, vous pouvez invoquer un manquement contractuel si Free ne respecte pas ses obligations de protection des données.
Le délai varie de quelques mois à plus d'un an selon la complexité du dossier. La CNIL accuse réception sous quelques semaines, puis mène son enquête. Vous êtes informé de l'avancement et de la décision finale.
