Les deux délibérations sanctionnant les sociétés Free Mobile et Free, respectivement à 27 millions d’euros et 15 millions d’euros, constituent une jurisprudence de principe en matière de cybersécurité. Elles offrent une illustration particulièrement aboutie de l’appréciation des obligations de sécurité prévues à l’article 32 du RGPD, de la mise en œuvre de la responsabilité conjointe d’un traitement ainsi que des limites du principe de non bis in idem en matière de sanctions administratives. Elles confirment, en outre, l’affermissement d’une politique de sanction exigeante, fondée sur une appréciation concrète des risques et sur une mise en œuvre effective du principe d’accountability.
