CNIL | SAN-2025-014 | 11 DÉCEMBRE 2025 | AFFAIRE MOBIUS SOLUTIONS LTD |
FUITES DE DONNÉES EN “FORFAIT ILLIMITÉ” POUR DEEZER
46 MILLIONS DE COMPTES D’UTILISATEURS DEEZER EXPOSÉS SUR LE DARKNET PAR LA FAUTE DE MOBIUS, SON SOUS-TRAITANT NON ÉTABLI DANS L’UNION EUROPÉENNE.
ANALYSE CRITIQUE MANQUEMENTS FAQ CONSEILS
PARTIE 1 — OBLIGATIONS DU SOUS-TRAITANT ET GOUVERNANCE DE LA SOUS-TRAITANCE
Q1. LA CNIL PEUT-ELLE SANCTIONNER DIRECTEMENT UN SOUS-TRAITANT QUI N’EST PAS ÉTABLI DANS L’UNION EUROPÉENNE ?
Oui. La délibération SAN-2025-014 en fournit une illustration directe. La CNIL a fondé sa compétence sur l’article 3, § 2 du RGPD, qui étend le champ d’application territorial du règlement à tout organisme non établi dans l’Union dès lors que ses activités de traitement portent sur « le suivi du comportement de personnes se trouvant sur le territoire de l’Union ». En l’espèce, les activités de MOBIUS SOLUTIONS LTD — analyse, segmentation et hébergement des données d’utilisateurs de DEEZER à des fins de ciblage publicitaire comportemental — ont été qualifiées de suivi comportemental, ce qui a fondé la compétence de la CNIL.
Il convient de relever que le mécanisme de guichet unique prévu par le RGPD, qui attribue la supervision à l’autorité chef de file de l’État membre d’établissement principal, n’était pas applicable en l’absence de tout établissement de MOBIUS SOLUTIONS LTD sur le territoire de l’Union. La CNIL était donc directement et exclusivement compétente. Cette solution renforce considérablement la portée pratique du RGPD à l’égard des acteurs de l’écosystème publicitaire numérique, massivement établis hors de l’Union : l’absence d’établissement dans l’Union ne constitue pas un bouclier contre les obligations du règlement.
Q2. QUELLES SONT LES OBLIGATIONS MINIMALES QUE JE DOIS IMPOSER À MON SOUS-TRAITANT DANS LE CONTRAT DE SOUS-TRAITANCE ?
L’article 28, § 3 du RGPD fixe un contenu minimal impératif pour tout contrat de sous-traitance impliquant le traitement de données à caractère personnel. La délibération SAN-2025-014 met en lumière deux clauses dont l’absence ou l’insuffisance est directement constitutive de manquements sanctionnables : l’obligation de suppression des données en fin de contrat (article 28, § 3, g) et l’obligation de ne traiter les données que sur instruction documentée (article 29).
Le contrat de sous-traitance doit a minima prévoir : l’objet et la durée du traitement ; la nature et la finalité du traitement ; le type de données à caractère personnel et les catégories de personnes concernées ; les obligations et les droits du responsable de traitement ; l’interdiction expresse pour le sous-traitant d’utiliser les données à des fins propres, y compris à des fins d’amélioration, d’entraînement d’algorithmes ou d’optimisation de ses propres services ; les modalités de restitution ou de suppression certifiée des données en fin de contrat avec délai et format de certification ; l’obligation du sous-traitant de tenir un registre des activités de traitement mentionnant les traitements effectués pour le compte du responsable ; et les modalités d’audit et de contrôle par le responsable de traitement.
La rédaction de ces clauses doit être aussi précise que possible. Toute ambiguïté ou généralité dans la délimitation des finalités autorisées sera interprétée, en cas d’incident, au détriment du sous-traitant — mais ne protégera pas non plus le responsable de traitement, qui ne saurait prétendre avoir fourni des « instructions » suffisamment claires si le contrat ne délimite pas précisément le périmètre du traitement autorisé.
Q3. MON SOUS-TRAITANT A UTILISÉ LES DONNÉES QUE JE LUI AVAIS CONFIÉES POUR AMÉLIORER SES PROPRES SERVICES. EST-CE UNE VIOLATION DU RGPD ?
Oui, sans aucune ambiguïté. La délibération SAN-2025-014 le confirme sur le fondement de l’article 29 du RGPD : « aucune clause contractuelle n’autorisait la société MOBIUS SOLUTIONS LTD à utiliser les données de la société DEEZER pour une telle finalité, sans instruction préalable du responsable de traitement ». L’utilisation par le sous-traitant des données confiées par le responsable à des fins propres — amélioration d’algorithmes, optimisation de services, entraînement de modèles, analyse concurrentielle — constitue un traitement sans instruction du responsable, directement contraire à l’article 29.
Cette violation engage la responsabilité propre du sous-traitant vis-à-vis de l’autorité de contrôle, mais elle peut également engager la responsabilité du responsable de traitement s’il n’a pas pris les dispositions contractuelles et organisationnelles suffisantes pour prévenir cet usage non autorisé. En tant que responsable de traitement, vous devez : insérer dans le contrat une interdiction expresse et sans équivoque de tout usage secondaire des données ; vérifier régulièrement que les pratiques opérationnelles du sous-traitant correspondent à ses engagements contractuels ; et, en cas d’incident, notifier la violation à la CNIL et aux personnes concernées conformément aux articles 33 et 34 du RGPD.
Q4. QUE DOIT CONTENIR LE REGISTRE DES ACTIVITÉS DE TRAITEMENT TENU PAR MON SOUS-TRAITANT ?
L’article 30, § 2 du RGPD impose au sous-traitant de tenir un registre comprenant : le nom et les coordonnées du ou des sous-traitants et de chaque responsable de traitement pour le compte duquel le sous-traitant agit ; les catégories de traitements effectués pour le compte de chaque responsable de traitement ; le cas échéant, les transferts de données vers des pays tiers ou des organisations internationales ; et une description générale des mesures de sécurité techniques et organisationnelles visées à l’article 32, § 1 du RGPD.
En pratique, vous devez exiger de votre sous-traitant qu’il vous confirme l’existence et la mise à jour régulière de ce registre, et prévoir contractuellement son droit d’en prendre connaissance sur demande. L’absence de registre chez le sous-traitant — comme constatée dans l’affaire MOBIUS SOLUTIONS LTD — révèle une défaillance structurelle dans la gouvernance de la conformité du prestataire, et constitue un signal d’alarme sérieux sur la fiabilité globale de son dispositif de protection des données. Un sous-traitant qui ne sait pas ce qu’il traite ne peut pas garantir que ce traitement est conforme aux instructions du responsable.
Q5. QUELLES DILIGENCES DOIS-JE EFFECTUER POUR M’ASSURER QUE MON SOUS-TRAITANT PRÉSENTE DES GARANTIES SUFFISANTES AU SENS DE L’ARTICLE 28, § 1 DU RGPD ?
L’article 28, § 1 du RGPD impose au responsable de traitement de ne faire appel qu’à des sous-traitants « présentant des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées ». La délibération SAN-2025-014 illustre les conséquences d’une vérification insuffisante de ces garanties : une violation de données touchant 46 millions de personnes, avec exposition sur le darknet.
Les diligences minimales comprennent, en phase précontractuelle : la demande et l’examen d’une politique de protection des données du sous-traitant ; la vérification de l’existence d’un registre des activités de traitement ; la demande de certifications de conformité (ISO 27001, SOC 2, ou équivalent) si disponibles ; et la conduite d’un questionnaire de sécurité et de conformité portant sur les mesures techniques et organisationnelles mises en œuvre. En phase d’exécution, il convient de prévoir des audits périodiques — annuels au minimum pour les sous-traitants traitant des données sensibles ou volumétriques — et d’imposer l’obligation de notifier immédiatement tout incident de sécurité interne susceptible d’affecter les données traitées pour votre compte. En fin de contrat, il est indispensable de formaliser la suppression des données et d’en obtenir une certification écrite accompagnée, idéalement, d’un rapport d’audit attestant la destruction effective sur l’ensemble des environnements du sous-traitant.
Q6. MON CONTRAT DE SOUS-TRAITANCE PRÉVOIT L’OBLIGATION DE SUPPRESSION DES DONNÉES EN FIN DE CONTRAT. SUFFIT-IL DE L’AVOIR PRÉVU DANS LE CONTRAT ?
Non. La délibération SAN-2025-014 illustre précisément l’écart entre la stipulation contractuelle et son exécution effective. L’obligation de suppression prévue à l’article 28, § 3, g) du RGPD est une obligation de résultat : elle n’est pas satisfaite par la seule insertion d’une clause dans le contrat — elle exige la suppression effective et vérifiable des données à l’issue de la relation contractuelle.
Il vous appartient donc de mettre en place un protocole de fin de contrat formalisé : notification au sous-traitant, dans un délai raisonnable avant l’expiration du contrat, des modalités de restitution ou de suppression des données ; délai maximal de suppression ; certification écrite de la suppression par le sous-traitant, précisant l’ensemble des environnements concernés — production, non-production, sauvegardes, copies de travail — et les procédures employées ; droit de contrôle du responsable de traitement sur l’exécution de cette suppression. En l’absence de tels mécanismes de vérification, vous ne pouvez pas démontrer que votre sous-traitant a effectivement exécuté son obligation — et vous exposez à voir votre propre responsabilité engagée en cas de violation de données postérieure à la fin du contrat.
PARTIE 2 — SÉCURITÉ DES DONNÉES ET GESTION DES VIOLATIONS EN CONTEXTE DE SOUS-TRAITANCE
Q7. MON SOUS-TRAITANT A SUBI UNE VIOLATION DE DONNÉES PORTANT SUR DES DONNÉES QUE JE LUI AVAIS CONFIÉES. QUELLES SONT MES OBLIGATIONS EN TANT QUE RESPONSABLE DE TRAITEMENT ?
La violation de données survenue dans le système du sous-traitant constitue, pour le responsable de traitement, une violation de données dont il doit assumer les obligations de notification et de communication. L’article 33 du RGPD impose au responsable de traitement de notifier la violation à l’autorité de contrôle compétente (la CNIL, pour les traitements relevant de la compétence française) dans les 72 heures suivant le moment où il en a eu connaissance, sauf si la violation n’est pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques.
L’article 28, § 3, f) du RGPD impose au sous-traitant d’informer le responsable de traitement dans les meilleurs délais après avoir pris connaissance d’une violation de données. Cette information constitue le point de départ du délai de 72 heures pesant sur le responsable. Il est donc indispensable que le contrat de sous-traitance précise les modalités et délais de cette notification interne, en fixant un délai maximal de notification par le sous-traitant au responsable nettement inférieur à 72 heures — en pratique, 24 heures est le délai recommandé pour permettre au responsable d’évaluer la situation et de préparer sa notification à la CNIL dans les délais impartis. Si la violation est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes, l’article 34 du RGPD impose également une communication directe aux personnes concernées, décrivant de manière claire les conséquences probables et les mesures recommandées.
Q8. PUIS-JE ME DÉFAUSSER DE MA RESPONSABILITÉ SUR MON SOUS-TRAITANT EN CAS DE VIOLATION DE DONNÉES RÉSULTANT D’UNE DÉFAILLANCE DE CE DERNIER ?
Non. La délibération SAN-2025-014 illustre que la responsabilité du sous-traitant et celle du responsable de traitement sont cumulatives et non exclusives. L’article 82, § 2 du RGPD dispose que le responsable de traitement est tenu pour responsable du dommage causé par le traitement, sauf s’il démontre que « le fait qui a provoqué le dommage ne lui est nullement imputable ». En pratique, la défaillance du sous-traitant ne décharge le responsable de traitement que s’il démontre avoir effectué toutes les diligences requises par l’article 28 du RGPD : sélection d’un sous-traitant présentant des garanties suffisantes, contrat conforme, supervision régulière, protocole de fin de contrat.
L’absence de ces diligences — et en particulier l’absence de vérification que le sous-traitant disposait d’un dispositif de contrôle interne empêchant ses propres salariés d’accéder illicitement aux données — peut conduire la CNIL à engager également la procédure de sanction à l’encontre du responsable de traitement, parallèlement à celle dirigée contre le sous-traitant. La délibération SAN-2025-014, qui sanctionne directement MOBIUS SOLUTIONS LTD, n’exclut pas que des investigations parallèles aient pu être menées ou soient en cours concernant DEEZER en qualité de responsable de traitement.
Q9. COMMENT DOIS-JE GÉRER LA SOUS-TRAITANCE ULTÉRIEURE (SOUS-SOUS-TRAITANCE) POUR RESTER CONFORME AU RGPD ?
L’article 28, § 2 du RGPD impose que le sous-traitant ne fasse appel à un autre sous-traitant qu’« avec l’autorisation préalable spécifique ou générale du responsable du traitement », et qu’il lui impose, par contrat, « les mêmes obligations en matière de protection des données que celles fixées dans le contrat [avec le responsable de traitement] ». En pratique, cette règle de transmission de la chaîne d’obligations à chaque maillon de la sous-traitance est souvent mal appliquée, les sous-traitants concluant avec leurs propres prestataires des contrats dont le niveau d’exigence en matière de protection des données est nettement inférieur à celui du contrat principal.
Vous devez donc : insérer dans le contrat principal une liste des sous-traitants ultérieurs autorisés (autorisation spécifique) ou un mécanisme d’approbation préalable de tout nouveau sous-traitant ultérieur ; exiger que les contrats de sous-sous-traitance reflètent le même niveau d’exigence que le contrat principal ; et prévoir une obligation de notification par le sous-traitant de tout changement envisagé dans la chaîne de sous-traitance, avec droit d’opposition du responsable de traitement. La délibération SAN-2025-014 rappelle que la défaillance dans la gestion des données confiées peut survenir à n’importe quel maillon de la chaîne — et que le responsable de traitement reste exposé aux conséquences de chacune de ces défaillances.
PARTIE 3 — DROITS ET RECOURS DES PERSONNES CONCERNÉES
Q10. JE SUIS UTILISATEUR DE DEEZER. MES DONNÉES ONT-ELLES PU ÊTRE COMPROMISES ? QUE PUIS-JE FAIRE ?
La violation de données notifiée par DEEZER à la CNIL en novembre 2022 a concerné les données de plus de 46 millions d’utilisateurs de la plateforme. Ces données ont été exposées sur le darknet, ce qui signifie qu’elles ont pu être diffusées et exploitées par des acteurs malveillants. Si vous étiez utilisateur de DEEZER avant la fin de la relation contractuelle entre DEEZER et MOBIUS SOLUTIONS LTD, vous pouvez être concerné par cette violation.
Vous pouvez exercer un droit d’accès (article 15 du RGPD) auprès de DEEZER pour obtenir confirmation de l’existence d’un traitement de vos données, des catégories de données traitées et des éventuelles violations vous concernant. Vous pouvez également exercer un droit à l’effacement (article 17 du RGPD) si vous estimez que votre compte est clôturé et qu’il n’existe plus de base légale justifiant la conservation de vos données. En l’absence de réponse satisfaisante dans le délai d’un mois, vous pouvez saisir la CNIL d’une plainte en application de l’article 77 du RGPD.
Q11. PUIS-JE DEMANDER UNE INDEMNISATION POUR LE PRÉJUDICE SUBI DU FAIT DE LA VIOLATION DE DONNÉES ?
Oui. L’article 82 du RGPD reconnaît à « toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement » le droit « d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi ». Les paragraphes 3 et 4 de cet article précisent que le responsable de traitement et le sous-traitant peuvent tous deux voir leur responsabilité engagée — il est donc possible d’agir tant contre DEEZER en qualité de responsable de traitement que contre MOBIUS SOLUTIONS LTD en qualité de sous-traitant fautif.
Le dommage matériel peut consister en des frais engagés pour se prémunir contre la fraude (abonnement à un service de surveillance bancaire, coûts liés à une usurpation d’identité), des pertes financières directes résultant d’une fraude bancaire ou d’une arnaque permise par l’exploitation des données compromises. Le dommage moral peut consister en l’anxiété et la perte de contrôle résultant de la compromission de données personnelles — les juridictions européennes et nationales reconnaissent de plus en plus ce type de préjudice, qui doit toutefois être étayé par des éléments concrets permettant d’établir une atteinte réelle à la vie privée ou une perturbation effective du quotidien.
La réussite de la démarche dépend largement de la conservation des preuves : message de notification de violation reçu de DEEZER, relevés bancaires montrant des opérations suspectes, captures d’écran de tentatives de hameçonnage faisant référence à des informations issues de vos données DEEZER, échanges avec votre banque. Ce qui n’est pas conservé est difficile à prouver a posteriori.
Q12. COMMENT PUIS-JE ME PROTÉGER DURABLEMENT CONTRE LES RISQUES LIÉS À LA VIOLATION DE DONNÉES DEEZER / MOBIUS ?
La violation de données impliquant MOBIUS SOLUTIONS LTD a conduit à l’exposition sur le darknet d’un volume considérable de données personnelles d’utilisateurs de DEEZER. Ces données circulent et peuvent être exploitées de manière différée, parfois plusieurs années après la violation initiale. Une vigilance durable est donc indispensable.
Les mesures pratiques recommandées sont les suivantes : modifier immédiatement le mot de passe de votre compte DEEZER ainsi que tout mot de passe identique utilisé sur d’autres services ; activer l’authentification à deux facteurs sur votre messagerie électronique et vos services bancaires en ligne, qui constituent les points d’entrée les plus critiques ; surveiller régulièrement vos relevés bancaires et activer les alertes de mouvements sur votre compte ; traiter avec la plus grande méfiance toute sollicitation — courriel, SMS, appel téléphonique — faisant référence à vos données personnelles avec une précision suspecte, notamment vos habitudes d’écoute musicale ou vos informations de compte DEEZER ; et signaler à la CNIL et aux autorités compétentes (plateforme PHAROS, gendarmerie ou police) toute tentative d’escroquerie semblant exploiter vos données personnelles compromises.
Il convient également de vérifier régulièrement si vos adresses électroniques ont été exposées dans d’autres violations de données, en utilisant des services spécialisés de surveillance comme HaveIBeenPwned.com. Si votre adresse électronique apparaît dans plusieurs violations, il est recommandé d’envisager la création d’une nouvelle adresse de messagerie et de procéder à une mise à jour systématique de vos identifiants sur les services concernés.
POINTS ESSENTIELS
La délibération n° SAN-2025-014 du 11 décembre 2025 sanctionne la société MOBIUS SOLUTIONS LTD, sous-traitant de la plateforme de streaming musical DEEZER, d’une amende administrative d’un million d’euros pour trois manquements distincts aux articles 28, § 3, g), 29 et 30 du Règlement général sur la protection des données — décision qui marque une étape jurisprudentielle significative dans l’affirmation des obligations propres du sous-traitant, indépendantes de celles du responsable de traitement. La violation de données dont procède la procédure de sanction avait été notifiée à la CNIL par DEEZER en novembre 2022 : elle avait conduit à l’exposition sur le darknet des données personnelles de plus de 46 millions d’utilisateurs de la plateforme, données confiées à MOBIUS SOLUTIONS LTD dans le cadre d’une prestation de services de ciblage publicitaire personnalisé ; cette exposition était directement imputable à la conservation, par trois salariés du sous-traitant et sans autorisation de sa direction, d’une copie illicite des données sur un environnement de non-production de la société, postérieurement à la fin de la relation contractuelle avec DEEZER — conservation que la formation restreinte a retenue comme premier manquement, au titre de l’article 28, § 3, g), du RGPD, en écartant fermement l’argument de MOBIUS SOLUTIONS LTD selon lequel la copie illicite aurait été réalisée à son insu par ses propres collaborateurs, puisque le sous-traitant demeure pleinement responsable des actes des personnes agissant sous son autorité au regard des données qui lui ont été confiées. Le deuxième manquement — fondé sur l’article 29 du RGPD — est d’une portée doctrinale peut-être plus large encore : la formation restreinte a établi que MOBIUS SOLUTIONS LTD avait utilisé les données de DEEZER à des fins propres, dans une perspective d’amélioration de ses propres services, en dehors de toute instruction du responsable de traitement et de tout fondement contractuel, consacrant ainsi le principe selon lequel les données confiées au sous-traitant ne peuvent jamais servir à alimenter les algorithmes, modèles ou services propres de ce dernier — une pratique pourtant répandue dans l’écosystème de la publicité numérique, que le RGPD prohibe sans ambiguïté et que la CNIL sanctionne désormais directement. Le troisième manquement — l’absence de registre des activités de traitement en qualité de sous-traitant, en violation de l’article 30, § 2, du RGPD — révèle quant à lui l’insuffisance structurelle du dispositif de gouvernance de la conformité de MOBIUS SOLUTIONS LTD, une société qui ne cartographie pas ses traitements ne pouvant démontrer ni la licéité de ses opérations ni le respect de ses obligations à l’égard des responsables de traitement. La délibération SAN-2025-014 est également remarquable en ce qu’elle établit la compétence de la CNIL sur un opérateur non établi dans l’Union européenne, sur le fondement du critère du suivi comportemental posé à l’article 3, § 2, du RGPD — consacrant ainsi la portée pleinement extraterritoriale du règlement à l’égard des acteurs de l’écosystème publicitaire numérique traitant des données de résidents européens depuis des pays tiers — et s’inscrit dans le prolongement direct d’une jurisprudence antérieure dont les jalons avaient été posés par les délibérations SAN-2024-009 (CEGEDIM SANTÉ, usage non autorisé de données de santé par un sous-traitant) et SAN-2024-014/015 (COSMOSPACE / TELEMAQUE, conservation excessive), tout en formant avec la délibération SAN-2025-015 (NEXPUBLICA FRANCE, 1,7 M€, 22 décembre 2025) un diptyque jurisprudentiel de fin d’année 2025 consacrant l’autonomisation définitive de la responsabilité du sous-traitant dans la doctrine de sanction de la CNIL.
24.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats