Fuite Free — Octobre 2024

Effacez vos données chez Free
19,2 millions d'abonnés exposés, 5,1 millions d'IBAN.

Demandez l'effacement maintenant. Il vous faut deux minutes, votre nom et votre email.

Gratuit Sans compte Sans carte bancaire Vous gardez la copie
Sources confirmées (presse + base spécialisée)
CNIL · sanction 42 M€ Bleeping Computer · amende historique L'Usine Digitale · détails CNIL JustGeek · analyse Univers Freebox · contexte télécoms

Tous les chiffres affichés ci-dessus (19,2 millions d'abonnés, 5,1 millions d'IBAN, amende CNIL de 42 M€) sont confirmés par ces 5 sources et par la décision officielle de la CNIL du printemps 2026.

⚖️ Demande RGPD — Articles 17 et 21
Supprimez vos données chez Free
Renseignez l'identité utilisée chez Free ou Free Mobile. Aucune carte bancaire, aucun compte Sheeldy nécessaire. Service entièrement gratuit.
L'adresse associée à votre Espace Abonné Free. C'est elle qui sera citée dans la demande au DPO.
Optionnel mais accélère le traitement côté Free. Vous le trouvez sur vos factures Free Mobile ou Freebox.

En cliquant « Envoyer la demande », vous autorisez Sheeldy à transmettre en votre nom à Free / Free Mobile une demande de suppression de vos données personnelles (article 17 RGPD) et d'arrêt immédiat de toute prospection commerciale (article 21 RGPD), rédigée à la première personne comme si vous l'écriviez. Vous serez mis en copie de l'email envoyé.

Free, 5,1 millions d'IBAN dans la nature : pourquoi votre risque persiste

Le 26 octobre 2024, Free et Free Mobile ont confirmé une intrusion exposant les données de 19,2 millions d'abonnés, dont 5,1 millions d'IBAN. En mai 2026, la CNIL a sanctionné Free de 42 millions d'euros — l'amende télécom la plus lourde de l'histoire française — pour défaut de sécurité au sens de l'article 32 du RGPD. La singularité de cette fuite : l'IBAN est une donnée à vie, impossible à changer comme un mot de passe, donc le risque persiste durablement. Vous pouvez exiger la suppression de vos données (article 17 RGPD) et l'arrêt immédiat de toute prospection commerciale (article 21). Sheeldy envoie cette demande à votre place, gratuitement, au DPO officiel de Free Mobile.

Section 01 — Les faits

Ce qu'on sait de la fuite Free / Free Mobile

Fin octobre 2024, Free et Free Mobile ont confirmé une intrusion dans leurs systèmes ayant exposé les données de leurs abonnés. L'origine technique est documentée par la CNIL : l'intrusion s'est faite via un VPN dont l'authentification était insuffisamment robuste, faille relevée dans la décision de sanction comme manquement caractérisé à l'article 32 du RGPD (sécurité du traitement).

En mai 2026, la CNIL a sanctionné Free et Free Mobile à hauteur de 42 millions d'euros, soit l'amende télécom la plus lourde jamais prononcée en France. La décision retient un défaut de sécurité aggravé par la centralisation des IBAN d'abonnés sans chiffrement au repos suffisant.

Abonnés exposés
~19,2 M
IBAN exposés
~5,1 M
Amende CNIL
42 M€
Cause
Sécurité VPN

Pourquoi 42 M€ ? La CNIL a considéré que la centralisation des IBAN sans chiffrement au repos constituait une aggravation déterminante du manquement à l'article 32. À l'inverse d'un mot de passe que l'on peut changer en quelques clics, un IBAN compromis reste exploitable tant que le compte bancaire est ouvert — d'où la gravité reconnue par l'autorité.

Source officielle
CNIL — Décision de sanction Free et Free Mobile (42 M€, mai 2026)
Section 02 — Le détail

Quelles données ont fuité ?

La CNIL a documenté la liste précise des champs exposés. Mauvaise nouvelle : les IBAN de 5,1 millions d'abonnés ont été emportés, en plus de toute l'identité civile et des données contractuelles. Bonne nouvelle : ni mot de passe, ni numéro de carte bancaire, ni contenu des communications.

— Exposées

Identité civile : nom, prénom, adresse postaleVecteur classique de phishing et d'usurpation
IBAN bancaire — pour 5,1 millions d'abonnésDonnée à vie, impossible à révoquer comme un mot de passe
Téléphone et adresse emailVecteurs de spear-phishing et SMS frauduleux
Données contractuellesNuméro de ligne, type d'offre Free Mobile / Freebox

— Préservées

Mots de passeAucune compromission des accès Espace Abonné
Numéros de carte bancairePas de risque de paiement frauduleux par CB
Contenu des SMS et des appelsLe secret des correspondances n'a pas été atteint
Section 03 — Vos droits

Ce que Sheeldy demande, et ce que Free doit obligatoirement faire

Sheeldy envoie à Free une demande RGPD cumulative, c'est-à-dire qu'elle invoque deux articles à la fois pour maximiser ce que vous obtenez :

Ce qui est garanti immédiatement (art. 21) : l'arrêt de toutes les communications marketing, newsletters, SMS commerciaux et utilisation de vos données pour du profilage publicitaire. Free n'a pas le droit de refuser.

Ce qui dépend des obligations comptables et télécom (art. 17) : la suppression complète de votre compte et de votre historique. Free peut conserver certaines données pour répondre à ses obligations comptables, fiscales et télécom (article 17.3.b RGPD ; obligations de conservation des données de trafic au titre du Code des postes et communications électroniques). En pratique, l'essentiel des données identifiantes et commerciales doit être supprimé, mais les traces nécessaires aux obligations légales peuvent rester archivées.

Le cas particulier de l'IBAN — pourquoi ce n'est pas un mot de passe. Un mot de passe compromis se change en une minute. Un IBAN, lui, est lié à votre compte bancaire pendant toute sa durée de vie : en changer revient à fermer le compte, refaire tous vos prélèvements, prévenir votre employeur et tous vos créanciers. C'est pour cette raison que la CNIL a sanctionné aussi lourdement Free, et c'est pour la même raison qu'obtenir l'effacement chez Free, même tardivement, reste pertinent : tant que vos données dorment dans des sauvegardes, le risque persiste.

Free dispose d'un mois pour répondre formellement (article 12.3 RGPD), prolongeable à trois mois sur motivation. Sans réponse à J+30, vous pouvez saisir la CNIL.

Remonter au formulaire

Questions fréquentes — Fuite Free / Free Mobile

Mon prélèvement automatique Free peut-il être détourné après la fuite de mon IBAN ?
En théorie oui, en pratique c'est rare. Avec votre IBAN seul, un fraudeur ne peut pas vider votre compte directement. En revanche, il peut tenter d'émettre des prélèvements SEPA frauduleux (faux abonnements). Bonne nouvelle : la directive SEPA vous donne 8 semaines pour contester n'importe quel prélèvement non autorisé, et votre banque doit rembourser sans question dans ce délai. Activez les alertes SMS sur tout prélèvement entrant via votre app bancaire.
Free m'a-t-il prévenu individuellement et que faire si je n'ai jamais reçu d'email ?
Free a envoyé une notification par email à fin octobre 2024 à tous les clients concernés. Si vous n'avez rien reçu, deux possibilités : soit votre email a changé (notification rejetée), soit votre dossier n'était pas dans la base exfiltrée. Pour vérifier, connectez-vous à votre Espace Abonné et vérifiez les notifications. Vous pouvez aussi écrire au DPO Free à dpo@freemobile.fr pour demande explicite.
Puis-je m'associer à l'action de groupe contre Free Mobile post-sanction CNIL ?
Plusieurs associations de consommateurs (UFC-Que Choisir, CLCV) ont annoncé étudier des actions de groupe post-sanction CNIL. Renseignez-vous auprès d'elles directement via leurs sites. À titre individuel, vous pouvez aussi déposer une plainte directe auprès de la CNIL via son téléservice. Sheeldy se concentre sur l'effacement de vos données — ce qui ne vous empêche pas de réclamer en parallèle une indemnisation.
Mon abonnement Free est-il toujours actif si je demande l'effacement ?
Oui. Une demande d'effacement RGPD article 17 ne résilie pas votre contrat. Pour résilier, suivez la procédure habituelle Free (loi Chatel + courrier RAR). Si vous voulez à la fois résilier ET obtenir l'effacement de vos données passées, faites les deux démarches séparément. Sheeldy ne traite que l'effacement.
Free Mobile et Free fixe sont-ils touchés de la même manière ?
Oui, les deux périmètres de Free sont concernés par cette même fuite (l'intrusion a touché un système central commun). Que vous soyez abonné Free Mobile (forfait à 2€, série free, mobile), Freebox (Pop, Delta, Révolution, Crystal), ou les deux, vos données sont dans la base potentiellement exfiltrée.
Est-ce que cette fuite Free 2024 est différente de celle revendiquée par le hacker en mai 2024 ?
C'est le même incident, révélé en deux temps. Le hacker a d'abord mis aux enchères les données fin octobre 2024 (révélation publique le 26 octobre), puis a publié l'intégralité en accès libre fin 2024 quand personne n'a payé. La sanction CNIL de mai 2026 (42 M€) porte sur cet incident unique.
Mentions RGPD applicables à ce formulaire

Responsable de traitement : Sheeldy (sheeldy.com). Finalité : transmettre en votre nom au DPO de Free / Free Mobile une demande d'effacement et d'opposition à la prospection (articles 17 et 21 RGPD), rédigée à la première personne. Base légale : votre demande explicite via le formulaire (art. 6.1.a RGPD). Destinataires : Free Mobile (DPO, dpo@freemobile.fr) et, le cas échéant, la CNIL en cas de recours. Durée de conservation : 3 ans pour la trace de la demande. Vos droits sur vos données chez Sheeldy : accès, rectification, effacement, opposition — à exercer auprès de privacy@sheeldy.com. Politique complète : conditions d'utilisation.