Début octobre 2024, Free informait ses clients qu'une "consultation de leurs données personnelles pouvant mener à une perte de confidentialités de certaines de leurs données" avait été constatée. Quelques jours plus tard, l'inquiétude est montée d'un cran devant l'ampleur de la fuite de données ayant concerné 19 millions d'abonnés (anciens et actuels) incluant des données personnelles (noms, prénoms, adresses, numéros de téléphone...). Plus grave : plus de 5 millions d'IBAN ont également fait partie du leak survenu après une cyberattaque ciblant un outil de gestion interne de l'opérateur.  En janvier, un mineur de 17 ans accusé d'être à l'origine du piratage avait été mis en examen.

Suite à cette affaire, de nombreuses plaintes ont été déposées auprès de la Cnil, qui a répondu le 12 mars aux personnes concernées. "Nous vous rappelons que sur la base des plaintes reçues dont la vôtre, la commission a ouvert une procédure de contrôle afin d'examiner les circonstances dans lesquelles il a pu être porté atteinte à la sécurité des données à caractère personnel des clients de ces sociétés [Free et Free Mobile, ndlr]", a écrit la Cnil. Et cette dernière de poursuivre : "Les éléments recueillis ont fait l'objet d'une analyse approfondie à l'issue de laquelle la présidente de la Cnil a décidé d'engager une des procédures de sanction prévue par la loi du 6 janvier 1978 modifiée (article 22)".

Auprès de notre confrère France Info, la Cnil a confirme l'existence de cette procédure et précisé qu'un rapporteur a été désigné en vue de présenter l'affaire devant la formation restreinte de la Cnil qui devra décider s'il y a eu ou non des manquements au règlement général sur la protection des données.