ב-14 בינואר 2026, הודיעה הרשות הצרפתית להגנת הפרטיות (CNIL) על החלטתה להטיל קנסות בסך כולל של 42 מיליון אירו על חברות התקשורת Free ו-Free Mobile. ההחלטה התקבלה בעקבות מתקפת סייבר שהתרחשה באוקטובר 2024, במסגרתה הצליח תוקף לחדור למערכות המידע של החברות ולגשת לנתונים אישיים הנוגעים ל-24 מיליון חוזי מנויים, כולל פרטי חשבונות בנק (IBANs).
חקירת ה-CNIL נפתחה לאחר שהתקבלו למעלה מ-2,500 תלונות מצד אנשים שנפגעו מדליפת המידע. הקנסות חולקו כך ש-Free Mobile נקנסה ב-27 מיליון אירו ו-Free ב-15 מיליון אירו, זאת לאור מספר הנפגעים הגבוה, האופי "האישי במידה רבה" של המידע שדלף, וכן בשל חוסר בקיאות של החברות בעקרונות אבטחה חיוניים, תוך התחשבות גם ביכולותיהן הפיננסיות של החברות.
במוקד ההחלטה עומדות הפרות חמורות של תקנות ה-GDPR. הרשות קבעה כי החברות כשלו ביישום אמצעי אבטחה בסיסיים כנדרש לפי סעיף 32 ל-GDPR, אמצעי אבטחה שאם היו מיושמים כראוי, היו יכולים להקשות על התקיפה. בין היתר, נמצא כי הליך האימות לחיבור ל-VPN המשמש את עובדי החברה לעבודה מרחוק לא היה חזק דיו, והאמצעים לזיהוי התנהגות חריגה במערכות המידע היו לא יעילים.
נוסף על כך, נמצאו הפרות הנוגעות לחובת הדיווח ושמירת המידע. החברות הפרו את סעיף 34 ל-GDPR, בכך שההודעה היזומה שנשלחה לנפגעים בדוא״ל לא כללה את מלוא המידע הנדרש בדין, ולא אפשרה להם להבין באופן ישיר וברור את השלכות הדליפה או את הצעדים שעליהם לנקוט כדי להגן על עצמם. זאת, אף שבמקביל הועמדו לרשות הנפגעים ערוצי סיוע נוספים, ובהם מוקד טלפוני חינמי ומנגנון פנימי לניהול פניות לממונה הגנת הפרטיות (DPO). הרשות הבהירה כי קיומם של ערוצי תמיכה משלימים אינו פוטר מחובת מסירת מידע מלא, ברור ומעשי כבר במסגרת ההודעה הראשונית עצמה. כמו כן, נמצא כי Free Mobile הפרה את סעיף e-1-5 ל-GDPR, העוסק בהגבלת תקופת שמירת המידע, כאשר החזיקה ללא הצדקה במיליוני רשומות של מנויים לשעבר למשך תקופה מופרזת, מבלי למיין או למחוק אותן כנדרש.
לצד הקנסות הכספיים, הרשות ציינה כי אף שלא ניתן למנוע את כל הסיכונים, אמצעי האבטחה שנקטו החברות לא היו מספקים כדי להבטיח את סודיות המידע בהתחשב בכמותו ורגישותו. בעקבות ההליכים, החלו החברות בחיזוק מערך האבטחה ובמיון הנתונים, והרשות הורתה להן להשלים את הטמעת אמצעי האבטחה החדשים בתוך שלושה חודשים ואת הליך מחיקת המידע המיותר בתוך חצי שנה. ההחלטה משקפת תפיסה רגולטורית לפיה האחריות לאבטחת המידע אינה נמדדת רק בתגובה לאירוע, אלא גם ברמת המוכנות, הממשל התאגידי וההתנהלות הארגונית עוד קודם להתרחשותו.
