Matthieu Mélin interrogé par Lexology sur l’amende record infligée par la CNIL à Free et Free Mobile

La CNIL a récemment infligé 42 M€ d’amendes à Free et Free Mobile à la suite d’une cyberattaque en 2024 ayant exposé les données personnelles de 24 millions d’abonnés.

Pour Lexology, média britannique, Matthieu Mélin analyse les enseignements de cette décision : si la survenue d’une fuite de données ne constitue pas en soi une violation du RGPD, la CNIL a relevé des lacunes sérieuses en matière de sécurité – protections VPN insuffisantes et absence de dispositifs de détection d’activités suspectes – alors même que ces mesures étaient recommandées par la CNIL et l’ANSSI.

Selon Matthieu Mélin :

« Bien que ces recommandations ne soient pas obligatoires en droit, le Conseil d’État a confirmé en 2024 que la CNIL pouvait s’y référer pour évaluer une violation. Les responsables de traitement doivent désormais considérer que ces recommandations s’apparentent à des obligations strictes, ou être prêts à expliquer pourquoi ils choisissent de s’en écarter. »

Une affaire qui illustre l’importance croissante de l’alignement sur les bonnes pratiques de sécurité comme élément clé de la gouvernance des données.

Matthieu Mélin interrogé par Lexology sur l’amende record infligée par la CNIL à Free et Free Mobile

Associé(s) en charge

Matthieu Mélin

Région(s) concernée(s)

France et UE