CNIL | SAN-2025-014 | 11 DÉCEMBRE 2025 | AFFAIRE MOBIUS SOLUTIONS LTD |
FUITES DE DONNÉES EN “FORFAIT ILLIMITÉ” POUR DEEZER
46 MILLIONS DE COMPTES D’UTILISATEURS DEEZER EXPOSÉS SUR LE DARKNET PAR LA FAUTE DE MOBIUS, SON SOUS-TRAITANT NON ÉTABLI DANS L’UNION EUROPÉENNE.
ANALYSE CRITIQUE MANQUEMENTS FAQ CONSEILS
LES FAITS ET LA PROCÉDURE
A. LE CONTEXTE DE LA RELATION CONTRACTUELLE DEEZER / MOBIUS SOLUTIONS LTD
La société DEEZER, plateforme française de streaming musical dont l’activité implique le traitement de données à caractère personnel d’un volume considérable, avait recours aux services de la société MOBIUS SOLUTIONS LTD en qualité de sous-traitant. MOBIUS SOLUTIONS LTD est une société établie en dehors du territoire de l’Union européenne qui exploite une plateforme permettant de réaliser des campagnes publicitaires personnalisées. À ce titre, elle traitait, pour le compte de la société DEEZER et sur instructions de cette dernière, les données des utilisateurs de la plateforme de streaming à des fins de segmentation, d’analyse comportementale et d’hébergement de données, dans la perspective de cibler des campagnes publicitaires en faveur des services de DEEZER.
La relation contractuelle entre DEEZER et MOBIUS SOLUTIONS LTD avait ainsi pour objet précis de permettre à DEEZER de tirer parti de ses données utilisateurs pour optimiser ses investissements publicitaires — une finalité dont la légitimité commerciale n’est pas en cause, mais dont la mise en œuvre soulève des exigences strictes quant au régime applicable au sous-traitant qui en assure la réalisation technique.
B. LA DÉCOUVERTE DE LA VIOLATION DE DONNÉES ET LA NOTIFICATION À LA CNIL
En novembre 2022, la CNIL s’est vue notifier une violation de données par la société DEEZER. Cette notification mentionnait la mise en ligne, sur le darknet, de données relatives aux utilisateurs de la plateforme et l’implication de l’ancien sous-traitant de DEEZER, la société MOBIUS SOLUTIONS LTD, dont DEEZER avait utilisé les services pour réaliser ses campagnes publicitaires personnalisées.
La violation résulte directement d’un comportement interne à MOBIUS SOLUTIONS LTD : trois salariés de la société avaient copié, sans en informer leur employeur, les données des utilisateurs de DEEZER. Cette copie illicite avait été réalisée sur un environnement de non-production de MOBIUS SOLUTIONS LTD, dans lequel se trouvaient également les données d’autres clients de la société. La présence des données dans cet environnement a constitué le vecteur direct de la violation, en rendant ces données accessibles à des fins non autorisées et en créant les conditions de leur exposition sur le darknet.
Les données ainsi copiées, puis exposées, concernaient plus de 46 millions d’utilisateurs de la société DEEZER — un volume qui, à lui seul, illustre l’ampleur des enjeux de protection des droits et libertés des personnes physiques attachés à la sous-traitance de données à grande échelle.
C. LA PROCÉDURE DE CONTRÔLE ET D’INSTRUCTION
À la suite de la notification de violation reçue en novembre 2022, la CNIL a diligenté des contrôles sur pièces auprès de la société MOBIUS SOLUTIONS LTD en 2023 et 2024. Sur la base des éléments recueillis lors de ces contrôles, le rapporteur, organe chargé d’instruire les dossiers et de proposer les mesures correctives à la formation restreinte, a estimé que la société avait manqué, en sa qualité de sous-traitant, à plusieurs obligations prévues par le RGPD.
La procédure contradictoire a permis à MOBIUS SOLUTIONS LTD de faire valoir ses observations. La formation restreinte a finalement prononcé, le 11 décembre 2025, une amende administrative d’un million d’euros et décidé de rendre sa décision publique. Le montant a été déterminé au regard de la gravité des manquements retenus, du nombre de personnes concernées par la violation de données et du chiffre d’affaires de la société MOBIUS SOLUTIONS LTD.
D. LES MANQUEMENTS RELEVÉS
Le rapporteur avait identifié et soumis à la formation restreinte trois manquements distincts, tous retenus dans la délibération :
1. Manquement à l’obligation pour le sous-traitant de supprimer les données à l’issue de la relation contractuelle (article 28, § 3, g) du RGPD).
La société MOBIUS SOLUTIONS LTD avait conservé une copie des données de plus de 46 millions d’utilisateurs de DEEZER après la fin de leur relation contractuelle, malgré son obligation expresse de supprimer l’ensemble de ces données à l’issue du contrat. La société avait indiqué que ces données avaient été copiées par trois de ses salariés, sans en avoir été informée. La formation restreinte a cependant retenu que la société demeurait responsable des actions de ses salariés, les données ayant été stockées sur un environnement de non-production de la société, avec des données d’autres clients. Cette conservation illicite avait induit un risque pour la sécurité des données des personnes concernées.
2. Manquement à l’obligation pour le sous-traitant de respecter les instructions du responsable de traitement (article 29 du RGPD).
La société MOBIUS SOLUTIONS LTD avait copié et utilisé les données de DEEZER en dehors de toute instruction du responsable de traitement, afin d’améliorer les performances de ses propres services fournis à travers sa plateforme de campagnes publicitaires personnalisées. La société avait soutenu que la copie des données utilisateurs pouvait entrer dans le cadre de l’exécution du contrat, dans une perspective d’amélioration générale des services fournis à DEEZER. La formation restreinte a considéré, au contraire, qu’aucune clause contractuelle n’autorisait MOBIUS SOLUTIONS LTD à utiliser les données de DEEZER pour une telle finalité, sans instruction préalable du responsable de traitement.
3. Manquement à l’obligation de tenir un registre des activités de traitement (article 30 du RGPD).
La société MOBIUS SOLUTIONS LTD n’avait pas tenu de registre de ses activités de traitement en sa qualité de sous-traitant. L’article 30 du RGPD impose, à quelques exceptions près, la tenue d’un tel registre à tous les organismes traitant des données à caractère personnel pour le compte de responsables de traitement.
JURISPRUDENCE — TABLEAU RÉCAPITULATIF
| Référence | Nature | Contenu pertinent | Paragraphe(s) correspondant(s) dans la délibération |
|---|---|---|---|
| Article 3 du RGPD | Disposition réglementaire | Champ d’application territorial du règlement — fondement de la compétence de la CNIL à l’égard de MOBIUS SOLUTIONS LTD, non établie sur le territoire de l’UE | Développements sur l’applicabilité du RGPD et la compétence |
| Article 28, § 3, g) du RGPD | Disposition réglementaire | Obligation pour le sous-traitant de supprimer toutes les données à caractère personnel après la fin de la prestation de services relative au traitement — fondement du premier manquement | Manquement n° 1 |
| Article 29 du RGPD | Disposition réglementaire | Obligation pour le sous-traitant de ne traiter les données qu’en vertu des instructions documentées du responsable de traitement — fondement du deuxième manquement | Manquement n° 2 |
| Article 30 du RGPD | Disposition réglementaire | Obligation de tenir un registre des activités de traitement en qualité de sous-traitant — fondement du troisième manquement | Manquement n° 3 |
| Article 83 du RGPD | Disposition réglementaire | Conditions et critères de détermination du montant des amendes administratives — effectivité, proportionnalité, caractère dissuasif | Mesures correctrices — détermination du montant de l’amende |
LA PORTÉE DE LA DÉCISION
A. SUR LA QUESTION DE L’APPLICABILITÉ DU RGPD À UN OPÉRATEUR NON ÉTABLI DANS L’UNION EUROPÉENNE
L’une des questions les plus significatives posées par la délibération SAN-2025-014 est celle de la compétence territoriale de la CNIL à l’égard de MOBIUS SOLUTIONS LTD, société non établie sur le territoire d’un État membre de l’Union européenne.
Pour asseoir cette compétence, la formation restreinte a retenu que les traitements mis en œuvre par MOBIUS SOLUTIONS LTD, consistant en l’analyse, la segmentation et l’hébergement des données d’utilisateurs de DEEZER, devaient être qualifiés de suivi du comportement des personnes au sens de l’article 3 du RGPD. Ce rattachement au critère du suivi comportemental est d’une importance théorique majeure : il atteste que le règlement étend son champ d’application aux opérateurs établis dans des États tiers dès lors que leurs activités de traitement portent sur le comportement de personnes se trouvant sur le territoire de l’Union européenne — une extension qui touche directement les acteurs de l’écosystème publicitaire numérique, massivement établis hors de l’Union.
La formation restreinte a également précisé que le mécanisme de coopération dit de « guichet unique » prévu par le RGPD, qui permet à l’autorité chef de file de l’État membre d’établissement principal du responsable de traitement ou du sous-traitant de superviser la procédure, n’avait pas vocation à s’appliquer dans cette affaire, dans la mesure où la société n’avait pas d’établissement sur le territoire d’un État membre. La CNIL était donc directement compétente pour contrôler et sanctionner MOBIUS SOLUTIONS LTD pour les traitements mis en œuvre sur le territoire français.
Cette solution, rigoureusement fondée sur l’article 3 du RGPD, illustre la volonté du législateur européen d’éviter que l’absence d’établissement dans l’Union constitue un bouclier contre les obligations du règlement — toute autre solution aurait conduit à créer une asymétrie concurrentielle manifeste au détriment des sous-traitants établis dans l’Union.
B. SUR LE RÉGIME DE RESPONSABILITÉ DU SOUS-TRAITANT : UNE AUTONOMISATION CROISSANTE DES OBLIGATIONS
La délibération SAN-2025-014 s’inscrit dans un mouvement jurisprudentiel et doctrinal qui tend à autonomiser progressivement les obligations du sous-traitant par rapport à celles du responsable de traitement. Pendant longtemps, la lecture dominante du RGPD tendait à présenter le sous-traitant comme un acteur essentiellement dérivé, dont la responsabilité était subordonnée à l’existence d’une instruction claire du responsable de traitement. La délibération renverse cette hiérarchie sur un point fondamental : l’utilisation par le sous-traitant des données du responsable à des fins propres, en dehors du cadre contractuel défini, ne constitue pas seulement un manquement contractuel — elle est directement constitutive d’une violation du RGPD.
L’article 29 du RGPD dispose que « le sous-traitant et toute personne agissant sous l’autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne peut pas traiter ces données, excepté sur instruction du responsable du traitement ». La formation restreinte a retenu que l’utilisation des données de DEEZER pour améliorer les services de MOBIUS SOLUTIONS LTD — en dehors de tout mandat contractuel — constituait précisément un traitement sans instruction du responsable de traitement, directement contraire à cette disposition.
Ce faisant, la délibération confirme que le sous-traitant ne saurait invoquer une relation de service globale avec le responsable de traitement pour justifier toute utilisation des données qui lui sont confiées. Chaque opération de traitement doit être fondée sur une instruction documentée du responsable — le principe de délimitation contractuelle stricte des finalités du sous-traitant étant ainsi érigé en norme impérative dont la méconnaissance est directement sanctionnable.
C. SUR L’IMPUTATION AU SOUS-TRAITANT DU COMPORTEMENT FAUTIF DE SES SALARIÉS
Le deuxième apport doctrinal de la décision concerne la question de l’imputation au sous-traitant des agissements de ses propres salariés. MOBIUS SOLUTIONS LTD avait soutenu que la copie illicite des données avait été réalisée par trois salariés sans qu’elle en ait été informée, cherchant ainsi à se décharger de la responsabilité attachée à la conservation et à l’exposition des données.
La formation restreinte a écarté cet argument sans ambiguïté : la société demeurait responsable des actions de ses salariés, les données étant stockées sur un environnement de non-production de la société, avec des données d’autres clients. Cette solution est juridiquement cohérente avec la lettre de l’article 29 du RGPD : le sous-traitant est tenu d’assurer que toute personne agissant sous son autorité n’accède aux données qu’en cas d’instruction du responsable. Il en découle que le sous-traitant doit mettre en place des mesures organisationnelles et techniques pour prévenir tout accès ou utilisation non autorisée par ses propres agents — l’absence de telles mesures, révélée par la copie illicite réalisée par trois salariés, caractérisant en elle-même le manquement.
Cette solution converge avec la jurisprudence de la CJUE relative à la responsabilité de l’employeur pour les agissements de ses salariés dans l’exécution de leurs fonctions, et avec la doctrine de l’accountability imposée par l’article 5, § 2 du RGPD, qui fait peser sur le responsable de traitement — et, par renvoi, sur le sous-traitant dans son domaine propre — une obligation de démonstration continue de la conformité.
D.
La délibération SAN-2025-014 s’inscrit dans le prolongement d’une jurisprudence constante de la formation restreinte relative au manquement à l’obligation de sécurité des données, qui constitue l’un des axes les plus fréquemment sanctionnés. Le manquement à l’obligation de suppression des données en fin de relation contractuelle avait déjà été appréhendé par la CNIL dans des délibérations antérieures, notamment dans le cadre des manquements à l’obligation de durée de conservation limitée, fondés sur l’article 5, § 1, e) du RGPD.
La particularité de la délibération SAN-2025-014 est de porter spécifiquement sur l’obligation de suppression en fin de relation de sous-traitance, relevant de l’article 28, § 3, g) du RGPD, qui impose au sous-traitant de « supprimer toutes les données à caractère personnel ou les renvoie[r] au responsable du traitement » au terme de la prestation. Cette obligation, souvent perçue comme secondaire dans la pratique contractuelle, est ici directement érigée en source d’une sanction autonome d’un million d’euros — ce qui devrait conduire à reconsidérer la priorité accordée à la gestion de la fin des contrats de sous-traitance impliquant des données personnelles.
En termes de jurisprudence parallèle, la délibération n° SAN-2025-015 du 22 décembre 2025 relative à la société NEXPUBLICA FRANCE, prononcée quelques jours après la délibération MOBIUS, illustre la même tendance : la CNIL y sanctionne un sous-traitant spécialisé en développement informatique pour des défaillances graves de sécurité dans un logiciel de gestion de prestations pour des personnes en situation de handicap, relevant de l’article 32 du RGPD. Ces deux décisions de décembre 2025 forment ainsi un diptyque jurisprudentiel qui consacre le sous-traitant comme acteur pleinement responsable de la protection des données à caractère personnel, sans que la qualité de mandataire du responsable de traitement ne puisse servir d’alibi à la méconnaissance des obligations propres au sous-traitant.
DISPOSITIF DE LA DÉLIBÉRATION
La formation restreinte a ainsi prononcé à l’encontre de la société MOBIUS SOLUTIONS LTD :
Une amende administrative d’un montant d’un million d’euros (1 000 000 €) pour les manquements constitués aux articles 28, § 3, g), 29 et 30 du RGPD.
La décision a été rendue publique par la formation restreinte.
Le montant de l’amende a été arrêté au regard de la gravité des manquements retenus, du nombre de personnes concernées par la violation de données (plus de 46 millions d’utilisateurs de DEEZER) et du chiffre d’affaires de la société MOBIUS SOLUTIONS LTD. Conformément à l’article 83 du RGPD, la formation restreinte a veillé à ce que l’amende soit effective, proportionnée et dissuasive.
CONTEXTUALISATION
La délibération SAN-2025-014 doit être lue à la lumière du corpus jurisprudentiel progressivement constitué par la CNIL en matière de responsabilité des sous-traitants. Plusieurs décisions antérieures avaient déjà anticipé les axes développés dans cette délibération.
La délibération n° SAN-2024-009 du 25 avril 2024, relative à la société CEGEDIM SANTÉ, avait déjà sanctionné un prestataire de services numériques pour des manquements à ses obligations de sous-traitant, notamment l’utilisation de données de santé à des fins étrangères aux instructions du responsable de traitement. Elle établissait ainsi un précédent direct au fondement de l’article 29 du RGPD, que la délibération SAN-2025-014 consolide et précise.
Plus récemment, la délibération n° SAN-2025-015 du 22 décembre 2025 relative à NEXPUBLICA FRANCE, évoquée supra, démontre que la tendance à responsabiliser les sous-traitants s’inscrit dans une orientation doctrinale durable. La CNIL ne se contente plus d’un contrôle indirect des sous-traitants via les manquements du responsable de traitement — elle engage désormais directement la procédure de sanction à leur encontre, sur le fondement de leurs obligations propres issues du chapitre IV du RGPD.
Cette évolution jurisprudentielle, dont la délibération SAN-2025-014 constitue l’une des manifestations les plus nettes, commande une révision profonde de l’approche contractuelle et opérationnelle de la sous-traitance dans tous les secteurs d’activité. Elle exige que les sous-traitants cessent de percevoir leurs obligations RGPD comme de simples clauses contractuelles à insérer dans un accord de traitement de données pour satisfaire le responsable de traitement, pour les appréhender comme des obligations légales directes, dont la méconnaissance est susceptible d’engager leur responsabilité propre devant l’autorité de contrôle compétente.
POINTS ESSENTIELS
La délibération n° SAN-2025-014 du 11 décembre 2025 sanctionne la société MOBIUS SOLUTIONS LTD, sous-traitant de la plateforme de streaming musical DEEZER, d’une amende administrative d’un million d’euros pour trois manquements distincts aux articles 28, § 3, g), 29 et 30 du Règlement général sur la protection des données — décision qui marque une étape jurisprudentielle significative dans l’affirmation des obligations propres du sous-traitant, indépendantes de celles du responsable de traitement. La violation de données dont procède la procédure de sanction avait été notifiée à la CNIL par DEEZER en novembre 2022 : elle avait conduit à l’exposition sur le darknet des données personnelles de plus de 46 millions d’utilisateurs de la plateforme, données confiées à MOBIUS SOLUTIONS LTD dans le cadre d’une prestation de services de ciblage publicitaire personnalisé ; cette exposition était directement imputable à la conservation, par trois salariés du sous-traitant et sans autorisation de sa direction, d’une copie illicite des données sur un environnement de non-production de la société, postérieurement à la fin de la relation contractuelle avec DEEZER — conservation que la formation restreinte a retenue comme premier manquement, au titre de l’article 28, § 3, g), du RGPD, en écartant fermement l’argument de MOBIUS SOLUTIONS LTD selon lequel la copie illicite aurait été réalisée à son insu par ses propres collaborateurs, puisque le sous-traitant demeure pleinement responsable des actes des personnes agissant sous son autorité au regard des données qui lui ont été confiées. Le deuxième manquement — fondé sur l’article 29 du RGPD — est d’une portée doctrinale peut-être plus large encore : la formation restreinte a établi que MOBIUS SOLUTIONS LTD avait utilisé les données de DEEZER à des fins propres, dans une perspective d’amélioration de ses propres services, en dehors de toute instruction du responsable de traitement et de tout fondement contractuel, consacrant ainsi le principe selon lequel les données confiées au sous-traitant ne peuvent jamais servir à alimenter les algorithmes, modèles ou services propres de ce dernier — une pratique pourtant répandue dans l’écosystème de la publicité numérique, que le RGPD prohibe sans ambiguïté et que la CNIL sanctionne désormais directement. Le troisième manquement — l’absence de registre des activités de traitement en qualité de sous-traitant, en violation de l’article 30, § 2, du RGPD — révèle quant à lui l’insuffisance structurelle du dispositif de gouvernance de la conformité de MOBIUS SOLUTIONS LTD, une société qui ne cartographie pas ses traitements ne pouvant démontrer ni la licéité de ses opérations ni le respect de ses obligations à l’égard des responsables de traitement. La délibération SAN-2025-014 est également remarquable en ce qu’elle établit la compétence de la CNIL sur un opérateur non établi dans l’Union européenne, sur le fondement du critère du suivi comportemental posé à l’article 3, § 2, du RGPD — consacrant ainsi la portée pleinement extraterritoriale du règlement à l’égard des acteurs de l’écosystème publicitaire numérique traitant des données de résidents européens depuis des pays tiers — et s’inscrit dans le prolongement direct d’une jurisprudence antérieure dont les jalons avaient été posés par les délibérations SAN-2024-009 (CEGEDIM SANTÉ, usage non autorisé de données de santé par un sous-traitant) et SAN-2024-014/015 (COSMOSPACE / TELEMAQUE, conservation excessive), tout en formant avec la délibération SAN-2025-015 (NEXPUBLICA FRANCE, 1,7 M€, 22 décembre 2025) un diptyque jurisprudentiel de fin d’année 2025 consacrant l’autonomisation définitive de la responsabilité du sous-traitant dans la doctrine de sanction de la CNIL.
24.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats