42 est toujours la réponse

La CNIL vient de prononcer deux amendes de 27 et 15 millions d’euros contre Free Mobile et Free pour ne pas avoir mis en place des mesures de sécurité adaptées pour assurer la confidentialité des données de ses abonnés. Ces décisions ont été prononcées dans le cadre de l’analyse de la fuite de données survenue en octobre 2024 concernant 24 millions de contrats d’abonnés dont certains IBAN faisaient partie.

Rapidement après la fuite de données de clients Free survenue en octobre 2024, la CNIL a réalisé un contrôle chez l’opérateur dès le 8 novembre 2024 et a établi que l’opérateur était coupable de manquements de plusieurs obligations prévues par le RGPD.

• Free confirme la fuite des « IBAN de certains abonnés »
• Fuite chez Free : la folle histoire des données vendues… ou pas

Notamment, au vu du « nombre particulièrement élevé de données et de personnes concernées par la violation de données (les données concernant 24 633 469 contrats) » et de manquements en cause, l’autorité de protection des données a prononcé deux amendes de 27 et 15 millions d’euros contre respectivement Free Mobile et Free.

De fait, la CNIL inflige deux amendes aux deux filiales d’Iliad dans deux délibérations différentes datées toutes deux du 8 janvier 2026 (délibération concernant Free Mobile, délibération concernant Free) car c’est bien la connexion de certains systèmes informatiques entre les deux entreprises qui est en cause.

Mais l’autorité se base à chaque fois sur le fait que les deux entreprises sont détenues à 100 % par Iliad pour fixer le montant des amendes en prenant en compte le chiffre d’affaires du groupe et non celui de la filiale.

Une utilisation du VPN interne pas assez sécurisée

L’entreprise néerlandaise Eurail B.V., qui gère les pass Interrail et Eurail, est en train d’informer ses clients qu’elle avait été victime d’un incident de sécurité impliquant leurs données personnelles. La société affiche également un bandeau dès la page d’accueil de son site, renvoyant vers cet article.

Si elle affirme avoir « immédiatement pris des mesures pour sécuriser nos systèmes et lancé une enquête avec le soutien de spécialistes externes en cybersécurité », l’entreprise confirme qu’une « personne non autorisée a eu accès à une partie de [sa] base de données clients ».

Ainsi, sa « première analyse indique que [les données personnelles de ses clients] ont été consultées, et peuvent inclure :

• Informations d’identité : prénom, nom, date de naissance, sexe ;
• Coordonnées : adresse e-mail, adresse postale, numéro de téléphone, le cas échéant;
• Informations sur le passeport: numéro de passeport, pays d’émission et date d’expiration ».

Eurail précise par contre qu’elle ne conserve « pas de copie visuelle du passeport ».

Eurail affirme continuer son enquête et avoir informé « les autorités compétentes, conformément à la législation en vigueur » et elle renvoie vers les consignes de l’autorité néerlandaise en de pareille situation. L’entreprise ajoute que, pour le moment, « il n’existe aucune preuve que ces données aient été mal utilisées ou rendues publiques ».

• Quels sont les risques liés aux multiples fuites de vos données personnelles ?

L’entreprise néerlandaise Eurail B.V., qui gère les pass Interrail et Eurail, est en train d’informer ses clients qu’elle avait été victime d’un incident de sécurité impliquant leurs données personnelles. La société affiche également un bandeau dès la page d’accueil de son site, renvoyant vers cet article.

Si elle affirme avoir « immédiatement pris des mesures pour sécuriser nos systèmes et lancé une enquête avec le soutien de spécialistes externes en cybersécurité », l’entreprise confirme qu’une « personne non autorisée a eu accès à une partie de [sa] base de données clients ».

Ainsi, sa « première analyse indique que [les données personnelles de ses clients] ont été consultées, et peuvent inclure :

• Informations d’identité : prénom, nom, date de naissance, sexe ;
• Coordonnées : adresse e-mail, adresse postale, numéro de téléphone, le cas échéant;
• Informations sur le passeport: numéro de passeport, pays d’émission et date d’expiration ».

Eurail précise par contre qu’elle ne conserve « pas de copie visuelle du passeport ».

Eurail affirme continuer son enquête et avoir informé « les autorités compétentes, conformément à la législation en vigueur » et elle renvoie vers les consignes de l’autorité néerlandaise en de pareille situation. L’entreprise ajoute que, pour le moment, « il n’existe aucune preuve que ces données aient été mal utilisées ou rendues publiques ».

• Quels sont les risques liés aux multiples fuites de vos données personnelles ?

Sous le titre « Apparences Trompeuses », le LINC (Laboratoire d’Innovation Numérique de la CNIL) propose un petit test pour passer en revue les différents mécanismes utilisés par les dark pattterns.

Ces designs poussent les utilisateurs de sites web à faire un choix qu’ils ne feraient pas forcément s’ils étaient correctement informés par le site en question.

« Sauriez-vous reconnaitre un détournement d’attention ? Débusquer un réglage intrusif par défaut en créant un compte ? Résister à un parcours labyrinthique dans un centre de confidentialité, ou à un pilotage émotionnel en supprimant vos données ? » demande le laboratoire dans son texte de présentation du questionnaire.

Et en effet, certains concepteurs de sites web rivalisent d’idées pour vous guider vers un choix qui les arrange. En octobre encore, Meta a encore été pointée du doigt par la Commission européenne qui l’accuse d’utiliser des « dark patterns » et des designs « d’interface trompeuses » dans ses mécanismes de « notification et d’action ».

• Poursuivi pour ses dark patterns, Amazon passe un accord à 2,5 milliards de dollars
• TikTok et Meta ont enfreint le DSA, selon la Commission européenne

Sous le titre « Apparences Trompeuses », le LINC (Laboratoire d’Innovation Numérique de la CNIL) propose un petit test pour passer en revue les différents mécanismes utilisés par les dark pattterns.

Ces designs poussent les utilisateurs de sites web à faire un choix qu’ils ne feraient pas forcément s’ils étaient correctement informés par le site en question.

« Sauriez-vous reconnaitre un détournement d’attention ? Débusquer un réglage intrusif par défaut en créant un compte ? Résister à un parcours labyrinthique dans un centre de confidentialité, ou à un pilotage émotionnel en supprimant vos données ? » demande le laboratoire dans son texte de présentation du questionnaire.

Et en effet, certains concepteurs de sites web rivalisent d’idées pour vous guider vers un choix qui les arrange. En octobre encore, Meta a encore été pointée du doigt par la Commission européenne qui l’accuse d’utiliser des « dark patterns » et des designs « d’interface trompeuses » dans ses mécanismes de « notification et d’action ».

• Poursuivi pour ses dark patterns, Amazon passe un accord à 2,5 milliards de dollars
• TikTok et Meta ont enfreint le DSA, selon la Commission européenne