Le professionnel victime d’une fraude informatique est-il pleinement responsable de la violation de données subie par ses clients ? Oui, selon deux délibérations de la Cnil condamnant des opérateurs téléphoniques à de très importantes sanctions.
Est-il possible qu’un professionnel puisse être totalement responsable, ici sur le plan administratif, du comportement frauduleux d’un hacker dont il est lui-même victime ? La question peut sembler incongrue, voire provocatrice. Pourtant, par deux décisions du 8 janvier 2026, la Cnil va en partie s’appuyer sur le caractère inadapté des mesures de protection mises en place et sur l’insuffisance de l’information des victimes, après la violation de leurs données, pour justifier de l’ampleur des sanctions prises à l’égard de deux opérateurs téléphoniques du même groupe. Elle condamne lourdement ces derniers (Cnil, délib. n°SAN-2026-001 et SAN-2026-002, 8 janv. 2026) à respectivement 27 M€ et 15 M€ d’amende administrative, soit 42 M€ en tout, assortie d’une injonction sous astreinte de mise en conformité et d’une publication non anonymisée pendant deux ans au Journal officiel.
Le prix d’une protection défaillante
Les faits de l’espèce sont éclairants pour expliciter la sévérité de la sanction. Le 21 octobre 2024, un hacker informe le groupe Iliad, maison mère des sociétés Free et Free Mobile, d’une attaque massive, en cours depuis le 26 septembre 2024, et de la compromission des données de 24 millions des clients de ces deux sociétés. Réagissant, comme la loi les y oblige, les deux sociétés informent de cet événement la Cnil, le 23 octobre 2024 ; toujours dans le respect des obligations légales, elles lancent, entre le 24 et le 29 octobre 2024, une campagne d’information auprès des clients concernés, par courriel pour ne pas saturer les serveurs de messagerie.
