Commission Nationale de l’Informatique et des Libertés (CNIL) har utfärdat sanktionsavgifter om totalt 42 miljoner euro mot Free Mobile och Free för överträdelser av dataskyddsförordningen (GDPR).
Av besluten framgår att de franska telekombolagen Free Mobile och Free i oktober 2024 utsattes för ett omfattande dataintrång, där en extern angripare lyckades infiltrera bolagens informationssystem. Intrånget resulterade i obehörig åtkomst till personuppgifter kopplade till cirka 24 miljoner abonnentkontrakt. De komprometterade uppgifterna omfattade bland annat identitetsuppgifter och bankuppgifter i form av IBAN, särskilt i de fall där individer varit kunder hos båda bolagen. Händelsen gav upphov till klagomål från mer än 2 500 berörda registrerade, vilket föranledde CNIL att inleda tillsynsåtgärder. Varje bolag bedömdes som personuppgiftsansvarigt för behandlingen av sina respektive abonnenters personuppgifter i enlighet med GDPR.
Efter genomförda granskningar konstaterade CNIL att både Free Mobile och Free hade åsidosatt flera centrala skyldigheter enligt GDPR. Myndigheten konstaterade för det första att bolagen inte hade vidtagit lämpliga tekniska och organisatoriska säkerhetsåtgärder för att skydda personuppgifterna, i strid med artikel 32 GDPR. Bland annat bedömdes autentiseringsförfarandet för åtkomst till bolagens VPN-lösningar, som används för distansarbete, som otillräckligt robust, samtidigt som systemen för att upptäcka avvikande och misstänkt aktivitet i it-miljön var ineffektiva. Mot bakgrund av uppgifternas känslighet och omfattning ansågs säkerhetsnivån inte stå i proportion till de risker som behandlingen medförde, särskilt med hänsyn till risken för ekonomisk skada och bedrägerier kopplade till exponeringen av IBAN-uppgifter.
CNIL konstaterade vidare att bolagen brustit i sin informationsskyldighet gentemot de registrerade efter personuppgiftsincidenten. Även om Free Mobile och Free hade vidtagit åtgärder för att informera de berörda genom e-post samt genom ett särskilt telefonnummer och interna rutiner för hantering av förfrågningar, uppfyllde informationen inte kraven i artikel 34.2 GDPR. Enligt myndigheten saknade meddelandena nödvändiga upplysningar om intrångets sannolika konsekvenser samt om vilka åtgärder de registrerade kunde vidta för att skydda sig, vilket försvårade deras möjligheter att bedöma och hantera riskerna.
Därutöver konstaterade CNIL att Free Mobile hade brutit mot principen om lagringsminimering enligt artikel 5.1 (e) GDPR. Bolaget hade inte infört tillräckliga rutiner för att gallra personuppgifter om tidigare abonnenter och behöll därmed stora mängder uppgifter under en längre tid än vad som var nödvändigt för de ändamål för vilka de behandlades. Miljontals uppgifter hade sparats utan rättslig grund eller saklig motivering, trots att endast vissa uppgifter behövde bevaras för att uppfylla bokföringsrättsliga skyldigheter. Under tillsynsprocessen påbörjade bolaget dock åtgärder för att sortera och radera uppgifter i enlighet med gällande lagringskrav.
Mot denna bakgrund beslutade CNIL den 13 januari 2026 att ålägga Free Mobile en sanktionsavgift på 27 miljoner euro och Free en sanktionsavgift på 15 miljoner euro. Vid fastställandet av sanktionsnivåerna beaktade myndigheten bland annat bolagens ekonomiska kapacitet, graden av oaktsamhet i förhållande till grundläggande säkerhetsprinciper, antalet berörda registrerade samt de betydande risker som personuppgiftsincidenten medförde. CNIL förelade även bolagen att inom viss tid slutföra pågående säkerhetsförbättringar och, i Free Mobiles fall, att fullfölja gallring och radering av personuppgifter i enlighet med GDPR:s krav.