La nouvelle a fait grand bruit en ce début d'année 2026 : l'opérateur Free et sa filiale Free Mobile ont été condamnés par la CNIL à une amende cumulée de 42 millions d'euros. Cette sanction, d'une sévérité que Free qualifie d'« inédite », fait suite à une cyberattaque survenue en 2024 qui a conduit à une fuite de données massive. Si la décision du régulateur vise à envoyer un signal fort sur l'importance de la sécurité des données, elle soulève une question essentielle : la sanction pécuniaire est-elle toujours l'outil le plus pertinent pour renforcer notre cybersécurité collective ?
Comprendre une sanction d'une ampleur exceptionnelle
Avant toute chose, il est important de ne pas se méprendre sur les intentions de la CNIL. La décision n'est pas arbitraire. Elle se fonde sur une série de manquements graves et documentés au Règlement général sur la protection des données (RGPD).
Les faits reprochés sont significatifs. La CNIL pointe notamment :
- Une conservation excessive des données : des informations d'anciens clients étaient conservées bien au-delà des durées légales, augmentant inutilement la surface d'attaque.
- Des mesures de sécurité jugées insuffisantes : l'authentification aux systèmes internes et les mécanismes de détection d'intrusion n'ont pas permis d'empêcher ou de stopper à temps l'attaquant, qui a pu opérer pendant près d'un mois.
- L'ampleur de la fuite : avec plus de 24 millions de contrats concernés, il s'agit de l'une des plus importantes violations de données de ces dernières années en France, générant un « nombre sans précédent de plaintes » auprès de l'autorité.
Dans ce contexte, la sanction s'inscrit dans une logique de proportionnalité par rapport à la gravité des manquements et à la taille de l'entreprise. Elle se veut dissuasive et vise à responsabiliser les acteurs économiques face à leurs obligations.
La sanction : une double peine ?
Cependant, une réflexion s'impose. Une entreprise victime d'une cyberattaque d'envergure subit déjà une première peine considérable : crise réputationnelle, perte de confiance des clients, coûts techniques de remédiation, mobilisation des équipes…
L'ajout d'une amende colossale, bien que légitime sur le plan réglementaire, vient ponctionner des ressources financières qui pourraient être précisément allouées à la cause première du problème : la consolidation de l'architecture de sécurité. C'est ce que l'on pourrait appeler le paradoxe de la « double peine » : sanctionner financièrement une organisation pour une défaillance technique, affaiblissant ainsi sa capacité à corriger cette même défaillance.
L'analogie du vélo crevé
Imaginez un enfant qui se fait crever les roues de son vélo par malveillance. Il est déjà affecté par cet acte de vandalisme et l'impossibilité d'utiliser son vélo. Faudrait-il, en plus, le priver d'argent de poche parce qu'il n'avait pas suffisamment protégé son bien, ou serait-il plus constructif de l'aider à acheter de nouvelles roues et à trouver un endroit plus sûr pour le garer ? La logique voudrait que l'on privilégie la réparation et l'apprentissage plutôt que la double peine.
Suggérer une nouvelle approche : l'investissement correctif encadré
Sans remettre en cause le rôle du régulateur ni le bien-fondé de la sanction, on pourrait imaginer une voie complémentaire, qui transformerait la sanction en un levier de progrès tangible. Cette approche pourrait s'articuler autour de l'idée d'un « investissement correctif encadré ».
Le principe serait le suivant :
- Une amende de principe est maintenue, car elle est nécessaire pour acter le manquement et conserver le caractère dissuasif de la réglementation.
- La majeure partie de la sanction financière est convertie en une obligation d'investissement. L'entreprise serait contrainte de dédier cette somme à un plan de renforcement de sa cybersécurité, défini sur des objectifs précis et mesurables.
- Ce plan serait validé et contrôlé par des tiers de confiance, sous l'égide de la CNIL et avec l'appui technique de l'ANSSI. L'entreprise devrait alors prouver, échéancier à l'appui, la bonne application des fonds à la modernisation de ses infrastructures, à la formation de ses équipes ou à l'acquisition d'outils de pointe.
- L'amende pécuniaire resterait une épée de Damoclès. Si l'entreprise ne respectait pas ses engagements dans les délais impartis, le montant serait alors converti en une amende classique.
Vers un cercle vertueux pour la sécurité de tous
Une telle approche, qui reste à débattre, déplacerait le curseur de la punition vers la reconstruction. Elle permettrait d'assurer que chaque euro de la sanction contribue directement à l'objectif final du RGPD : une protection plus robuste des données des citoyens. L'entreprise se renforcerait, la confiance des usagers serait restaurée sur des bases concrètes, et le régulateur remplirait pleinement sa mission de gardien de notre sécurité numérique.
Ce qu'il faut retenir
La décision concernant Free est un marqueur fort de notre époque. Elle nous invite à réfléchir collectivement : comment faire de ces incidents malheureux de véritables catalyseurs pour élever notre niveau de maturité global en matière de cybersécurité ?
Et vous, quelle approche vous semble la plus pertinente pour construire une cybersécurité plus robuste ?