Violation de données : La CNIL impose une sanction de 42 millions d’euros à l’encontre des sociétés Free Mobile et Free (13 janvier 2026)
En octobre 2024, une attaque a compromis le système d’information des sociétés Free Mobile et Free, exposant les données à caractère personnel de 24 millions d’abonnés, dont des IBAN pour les clients communs. Suite à plus de 2 500 plaintes, la CNIL a constaté des manquements au RGPD, imputables à chacune des sociétés pour le traitement des données à caractère personnel de leurs abonnés.
Tout d’abord, la CNIL a relevé que Free Mobile et Free n’avaient pas mis en place des mesures de sécurité suffisantes conformément à l’article 32 du RGPD, notamment pour l’authentification VPN et la détection d’activités anormales, exposant les données des abonnés. Les sociétés ont été enjointes à finaliser leurs renforcements de sécurité sous trois mois.
La CNIL a également relevé que Free Mobile et Free avaient informé les abonnés par la violation par courriel et via un numéro vert / dispositif interne, mais que le courriel ne contenait pas toutes les informations requises par l’article 34 RGPD, ne permettant pas aux personnes concernées de comprendre pleinement les conséquences de la violation, ni les mesures de protection à prendre.
Enfin, la CNIL a constaté que Free Mobile conservait des millions de données à caractère personnel d’anciens abonnés sans justification, au-delà de la durée nécessaire à des fins comptables. La société a commencé à trier et supprimer les données excédentaires et a été enjointe de finaliser cette opération sous six mois.
Le rapport « Influence et réseaux sociaux » a été remis au gouvernement (13 janvier 2026)
Deux ans et demi après la promulgation de la loi n°2023-451 du 9 juin 2023 encadrant l’influence commerciale, un rapport parlementaire présenté le 13 janvier 2026 dresse un bilan globalement positif du dispositif existant. La loi a produit un effet pédagogique réel, renforçant la transparence des communications commerciales et la confiance dans l’économie numérique, tout en luttant plus efficacement contre les pratiques trompeuses.
Le rapport souligne toutefois la persistance de nouvelles dérives, liées à l’évolution rapide des usages et des technologies. Les lives monétisés, en particulier sur certaines plateformes comme TikTok, sont identifiés comme un point de vigilance majeur, notamment en raison des mécanismes financiers intégrés, des risques de pratiques commerciales agressives et de l’exposition accrue des mineurs.
Pour y répondre, les parlementaires formulent 78 recommandations, dont plusieurs mesures clés :
-
-
- la création d’un enregistrement obligatoire des agents d’influenceurs, afin de professionnaliser le secteur, ce qui impliquera la vérification des antécédents judiciaires ;
- le renforcement de l’encadrement des formations en ligne promues par des influenceurs, avec l’instauration d’un régime d’autorisation préalable ;
- un renforcement des obligations pesant sur les plateformes, notamment en matière de protection des utilisateurs, de transparence des flux financiers et de limitation de l’accès des mineurs à certains contenus ;
- un encadrement accru des promotions sensibles (alcool, santé, jeux, contenus pour adultes), y compris lorsque celles-ci reposent sur des outils reposant sur de l’IA générative.
Le rapport souligne l’insuffisance des moyens opérationnels des autorités de contrôle, notamment la DGCCRF, l’ARCOM et l’AMF, confrontées à la masse considérable de contenus diffusés quotidiennement sur les plateformes. Il préconise un renforcement des capacités de veille et de détection automatisée, une meilleure coordination et mutualisation des informations entre acteurs publics, ainsi que la création d’un portail-guichet unique de signalement des « désordres numériques », rattaché aux services du Premier ministre, afin de structurer et centraliser la réponse publique.
Ces travaux devraient nourrir le dépôt prochain d’un projet de « loi influenceurs 2 », destiné à adapter le cadre juridique aux évolutions technologiques et aux nouveaux modèles économiques de l’influence.
Airbnb n’a pas la qualité d’hébergeur et peut être jugée responsable des annonces illicites (7 janvier 2026)
Par deux arrêts rendus le 7 janvier 2026, la Cour de cassation s’est prononcée sur la responsabilité de la plateforme Airbnb en cas de sous-locations réalisées sans l’autorisation du bailleur.
Dans la première affaire, une locataire d’un logement social avait sous-loué son appartement, situé dans une zone touristique, sans l’accord de son bailleur. Dans la seconde, une locataire d’un logement parisien avait également procédé à des sous-locations de courte durée, sans autorisation écrite de la propriétaire, en violation de l’article 8 de la loi du 6 juillet 1989. Dans les deux cas, les bailleurs ont sollicité la restitution des loyers perçus et recherché la responsabilité d’Airbnb.
Les juridictions du fond ont adopté des analyses divergentes. Dans une première affaire, la Cour d’appel a reconnu à Airbnb la qualité d’hébergeur au sens de la loi pour la confiance dans l’économie numérique (LCEN), excluant ainsi toute responsabilité de la plateforme. Dans la seconde, la Cour d’appel a, au contraire, considéré qu’Airbnb jouait un rôle dépassant celui d’un simple intermédiaire technique et pouvait, à ce titre, être condamnée.
La Cour de cassation rappelle que le bénéfice du régime d’exonération de responsabilité prévu par la LCEN est strictement réservé aux opérateurs adoptant un rôle neutre, purement technique et passif dans le stockage et la mise à disposition des contenus fournis par les utilisateurs. Un tel statut suppose l’absence de connaissance et de contrôle sur les offres diffusées.
Or, la Cour de cassation relève qu’Airbnb organise et encadre de manière active le fonctionnement de sa plateforme. En effet, elle impose des règles aux utilisateurs, intervient dans le processus de publication et de transaction, et met en avant certaines offres ou certains hôtes. Ces éléments traduisent une immixtion dans la relation entre les hôtes et les voyageurs et confèrent à la plateforme une capacité d’influence incompatible avec la neutralité requise d’un hébergeur.
En conséquence, la Cour de cassation exclut la qualification d’hébergeur pour Airbnb et juge que la plateforme ne peut donc pas bénéficier de l’exonération de responsabilité prévue à ce titre. Airbnb peut donc voir sa responsabilité engagée en cas de sous-location illicite.
La Commission européenne prépare le Digital Fairness Act
La Commission européenne prépare le Digital Fairness Act (DFA), une future initiative législative destinée à compléter le Digital Services Act (DSA) et le Digital Markets Act (DMA) en renforçant la protection des consommateurs dans l’environnement numérique.
Le DFA s’inscrit dans le prolongement du « Fitness Check » lancé en 2022 et publié en octobre 2024, qui a évalué l’efficacité de trois directives clés (UCPD, CRD et UCTD). Cette analyse conclut que, bien que ces textes restent pertinents, ils ne permettent que partiellement d’atteindre leurs objectifs face aux pratiques numériques contemporaines. Les consommateurs sont en effet aujourd’hui exposés à des interfaces trompeuses ou addictives, à des formes de personnalisation exploitant leurs vulnérabilités, à des difficultés de résiliation d’abonnements numériques, ainsi qu’à des clauses contractuelles déséquilibrées. Le préjudice financier annuel est estimé à au moins 7,9 milliards d’euros pour les consommateurs de l’Union Européenne, sans tenir compte des atteintes psychologiques (lien).
Dans ce contexte, le DFA visera à lutter contre les dark patterns, la conception addictive des produits numériques, le marketing trompeur des influenceurs, le profilage en ligne abusif et certaines pratiques liées aux abonnements. Une attention particulière sera accordée à la protection des mineurs et des consommateurs vulnérables. Le texte cherchera également à renforcer la sécurité juridique et à limiter les risques de fragmentation réglementaire, alors que plusieurs États membres envisagent des initiatives nationales.
Le texte fera l’objet d’une proposition officielle au Parlement et au Conseil au troisième trimestre 2026, après laquelle sa forme juridique (règlement autonome ou directive ciblée) sera précisée.
