CNIL | SAN-2025-014 | 11 DÉCEMBRE 2025 | AFFAIRE MOBIUS SOLUTIONS LTD |
FUITES DE DONNÉES EN “FORFAIT ILLIMITÉ” POUR DEEZER
ANALYSE CRITIQUE MANQUEMENTS FAQ CONSEILS
I.
La question de l’applicabilité territoriale du RGPD à un sous-traitant établi hors de l’Union européenne
L’un des enjeux doctrinaux centraux de cette délibération réside dans la détermination du champ d’application territorial du RGPD à l’égard d’une entité non établie dans l’Union européenne agissant exclusivement en qualité de sous-traitant. La société MOBIUS SOLUTIONS LTD est une société israélienne, domiciliée à Tel Aviv, qui ne dispose d’aucun établissement sur le territoire d’un État membre de l’Union. Elle n’est donc pas directement visée par l’article 3, paragraphe 1, du RGPD, qui soumet au règlement les traitements effectués dans le cadre des activités d’un établissement implanté dans l’Union.
La formation restreinte est conduite à examiner l’applicabilité des deux critères alternatifs posés par l’article 3, paragraphe 2, du RGPD : d’une part, l’offre de biens ou de services à des personnes se trouvant dans l’Union (point a), d’autre part, le suivi du comportement de ces personnes dans la mesure où il s’agit d’un comportement au sein de l’Union (point b). La société conteste l’applicabilité de chacun de ces deux critères en sa qualité de sous-traitant, soutenant notamment que l’article 3-2-a ne serait applicable qu’aux responsables de traitement et non aux sous-traitants, et qu’elle ne réaliserait pas de profilage comportemental au sens de l’article 3-2-b.
La formation restreinte, après un examen minutieux des lignes directrices 3/2018 du Comité européen de la protection des données (CEPD) relatives au champ d’application territorial du RGPD dans leur version du 12 novembre 2019, retient que les traitements mis en œuvre par MOBIUS SOLUTIONS LTD sont indiscutablement liés au suivi du comportement des personnes concernées au sens de l’article 3-2-b du RGPD. Cette conclusion repose sur une qualification précise des opérations réalisées par la société : la création de segments d’utilisateurs basés sur des critères socio-démographiques et des critères d’utilisation du service DEEZER (habitudes d’écoute, nombre de playlists, artistes favoris, cycle de vie, date du premier paiement, etc.) constitue un profilage comportemental lié au comportement des personnes au sein de l’Union.
La formation restreinte souligne à cet égard que les lignes directrices du CEPD précisent expressément que lorsque les activités de traitement d’un responsable de traitement sont liées au suivi du comportement des personnes dans l’Union, tout sous-traitant chargé d’effectuer cette activité de traitement pour le compte du responsable du traitement relève du champ d’application du RGPD en vertu de l’article 3, paragraphe 2. Elle ajoute que la seule activité d’hébergement des données de la société DEEZER par MOBIUS, en vue de la réalisation de l’activité de ciblage publicitaire, suffit à caractériser une activité de sous-traitance en lien avec le suivi du comportement des personnes, conformément aux exemples n° 19 et n° 20 des lignes directrices du CEPD.
Ce raisonnement est d’une portée considérable : il établit que le sous-traitant d’un responsable de traitement européen, même entièrement établi en dehors de l’Union et n’y disposant d’aucune présence physique, est directement soumis au RGPD dès lors que son activité de traitement s’inscrit dans une opération de ciblage comportemental visant des personnes situées dans l’Union. La décision de cibler des personnes dans l’Union étant nécessairement prise par le responsable de traitement, le sous-traitant qui exécute cette décision se trouve ipso facto entraîné dans le champ territorial du règlement.
II.
La compétence exclusive de la CNIL et l’exclusion du mécanisme du guichet unique
Un deuxième débat procédural de première importance porte sur la compétence de la CNIL et l’inapplicabilité du mécanisme de guichet unique prévu par l’article 56 du RGPD. MOBIUS SOLUTIONS LTD ne disposant d’aucun établissement dans l’Union européenne, le mécanisme de guichet unique — qui confie la compétence de contrôle à l’autorité de contrôle de l’État membre où se situe l’établissement principal du responsable de traitement ou du sous-traitant — ne peut trouver application. La formation restreinte confirme que, dans cette hypothèse, chaque autorité de contrôle nationale est compétente pour contrôler le respect du RGPD par l’entité concernée sur le territoire de l’État membre dont elle relève.
La société tente d’opposer un argument original fondé sur le principe de courtoisie internationale : étant établie en Israël, pays bénéficiant d’une décision d’adéquation de la Commission européenne du 31 janvier 2011, elle soutient que la CNIL devrait renoncer à sa compétence par égard pour les autorités israéliennes de protection des données. La formation restreinte rejette sans ambiguïté cet argument. Elle rappelle, d’une part, que la décision d’adéquation invoquée ne concerne que les transferts de données de l’Union vers Israël et n’a pas pour objet de déterminer la compétence des autorités de contrôle dans le cadre de procédures de sanction. Elle souligne, d’autre part, que le principe de courtoisie internationale consiste en un ensemble d’usages non obligatoires, relevant essentiellement des relations diplomatiques entre États, et que ses attributions, conférées par le RGPD dont les règles sont d’ordre public, ne lui permettent pas d’en faire application pour écarter sa propre compétence.
Cette position est conforme à la lettre et à l’esprit du RGPD, qui a précisément institué un régime de compétence territoriale autonome pour les entités non établies dans l’Union, indépendamment de toute considération de réciprocité diplomatique ou de reconnaissance mutuelle entre systèmes juridiques.
III.
La qualification de sous-traitant et le régime de responsabilité applicable
La formation restreinte procède à une qualification précise de la relation contractuelle entre MOBIUS SOLUTIONS LTD et la société DEEZER. Il ressort de l’instruction que les deux sociétés ont été liées par un contrat exécuté du 1er décembre 2016 au 1er décembre 2020, aux termes duquel MOBIUS mettait à la disposition de DEEZER sa plateforme SaaS dénommée « Optimove », permettant de personnaliser et d’optimiser des campagnes marketing à destination des utilisateurs de la plateforme de streaming. Avant d’accorder l’accès à cette plateforme, MOBIUS devait recevoir des informations concernant les utilisateurs de DEEZER afin d’analyser ces données.
La formation restreinte en déduit que MOBIUS agissait pour le compte de DEEZER, qui définissait seule les finalités et les moyens du traitement, caractérisant ainsi la qualité de sous-traitant au sens de l’article 4, point 8, du RGPD. Cette qualification est fondamentale, car elle détermine le régime d’obligations applicable : en tant que sous-traitant, MOBIUS est soumise aux obligations spécifiques prévues aux articles 28, 29 et 30 du RGPD, qui constituent le socle du droit de la sous-traitance en matière de données personnelles.
Il est important de noter que la délibération SAN-2025-014 ne retient pas de manquement à l’article 32 du RGPD (obligation de sécurité), mais uniquement des manquements aux articles 28, 29 et 30 du règlement. Cette délimitation du périmètre des manquements retenus est significative : elle concentre la réprobation de la formation restreinte sur les défaillances dans le respect des obligations propres au statut de sous-traitant, et non sur des insuffisances techniques de sécurisation des systèmes d’information.
IV.
Le manquement à l’article 28.3.g du RGPD : l’obligation de suppression des données à l’issue de la relation contractuelle
Le premier manquement retenu par la formation restreinte est constitué par la violation de l’article 28.3.g du RGPD, qui impose au sous-traitant de supprimer toutes les données à caractère personnel ou de les renvoyer au responsable de traitement au terme de la prestation de services, et de détruire les copies existantes. Cette obligation, qui découle également du principe de limitation de la conservation posé par l’article 5.1.e du RGPD, est d’application directe et ne souffre aucune exception hormis l’existence d’une obligation légale de conservation.
Les faits sont établis avec précision : le contrat liant DEEZER et MOBIUS prévoyait expressément, en son article 6.1.5, que toutes les données des clients devaient être supprimées des serveurs de MOBIUS à la résiliation du contrat, intervenue le 1er décembre 2020. Or, en novembre 2022 — soit près de deux ans après la fin de la relation contractuelle — une violation de données affectant 46 millions d’utilisateurs de DEEZER dans le monde (dont plus de 9 millions en France) s’est produite depuis un environnement de non-production appartenant à MOBIUS SOLUTIONS LTD. La société n’a finalement procédé à la suppression de la copie des données DEEZER que le 1er octobre 2023, sur instruction de cette dernière, soit près de trois ans après la résiliation du contrat.
La société tente de se dégager de sa responsabilité en invoquant le caractère non autorisé de la copie litigieuse, qui aurait été réalisée par trois de ses salariés à son insu dans le but d’améliorer les performances des services offerts à DEEZER. La formation restreinte écarte résolument cet argument. Elle relève que les données ont été copiées en 2019, dans le cadre du contrat, et stockées jusqu’au 1er octobre 2023 sur un environnement appartenant à MOBIUS, dans le cadre de ses propres activités et dans son propre intérêt. Plus fondamentalement, elle rappelle que la circonstance que la copie ait été réalisée par des salariés à l’insu de la direction de MOBIUS « n’a aucune incidence sur ses obligations en tant que sous-traitant dès lors qu’il lui incombait de vérifier les opérations réalisées par les salariés placés sous sa responsabilité ». La société « ne saurait invoquer l’absence de maîtrise de ses outils ou l’absence de contrôle et de direction de l’activité de ses salariés pour éluder sa responsabilité ».
Ce raisonnement, particulièrement vigoureux, traduit une conception stricte de la responsabilité du sous-traitant à l’égard des actes de ses salariés. Il s’inscrit dans la logique du principe général de responsabilité du commettant du fait de ses préposés, transposé dans le contexte du droit de la protection des données : le sous-traitant répond des actions de ses salariés relativement aux traitements qu’il met en œuvre, sans pouvoir s’exonérer en invoquant le caractère occulte ou non autorisé de ces actions.
V.
Le manquement à l’article 29 du RGPD : le traitement hors instruction du responsable de traitement
Le deuxième manquement retenu porte sur la violation de l’article 29 du RGPD, qui dispose que le sous-traitant ne peut traiter des données à caractère personnel qu’« except sur instruction du responsable du traitement ». Ce principe est le corollaire naturel du statut de sous-traitant : dès lors qu’il agit pour le compte d’autrui, il ne lui appartient pas de décider souverainement des finalités et des modalités du traitement.
Les faits sont les suivants : la société MOBIUS a, en avril 2019, copié des données à caractère personnel non anonymisées des utilisateurs de DEEZER d’un environnement de production vers un environnement de non-production lui appartenant, afin de développer et tester des améliorations possibles de son système Optimove. La formation restreinte examine minutieusement le contrat pour déterminer si une telle opération pouvait être couverte par les instructions de DEEZER. Elle constate que si le contrat mentionne, de façon incidente, une coopération de DEEZER pour assurer la réparation ou la mise à jour de la plateforme Optimove, il ne prévoit nullement que MOBIUS puisse faire usage des données des utilisateurs de DEEZER en vue d’améliorer la performance des services proposés à DEEZER ni, a fortiori, pour améliorer de manière générale la performance de ses propres services à destination d’autres clients.
La société tente une défense de bon aloi en soutenant que la copie des données pouvait entrer dans le cadre de l’exécution normale du contrat, dans une perspective d’amélioration générale des services fournis à DEEZER. La formation restreinte rejette cette interprétation : le contrat ne contient aucune clause autorisant MOBIUS à utiliser les données de DEEZER pour développer ses propres services, et l’amélioration générale de la plateforme Optimove au bénéfice de l’ensemble des clients de MOBIUS excède manifestement les instructions reçues de DEEZER. La formation restreinte ajoute, avec une pertinence certaine, que la position défensive développée par la société dans ses observations — selon laquelle la copie pourrait relever de l’exécution normale du contrat — « laisse penser que la société a pu commettre de manière délibérée le manquement à l’article 29 du RGPD ». Ce glissement de la négligence vers la potentialité d’un comportement délibéré a naturellement pesé dans l’appréciation de la gravité des manquements.
VI.
Le manquement à l’article 30 du RGPD : l’absence de registre des activités de traitement en qualité de sous-traitant
Le troisième manquement retenu est d’ordre formel mais non anodin : la violation de l’article 30.2 du RGPD, qui impose à chaque sous-traitant de tenir un registre de toutes les catégories d’activités de traitement effectuées pour le compte du responsable de traitement. Ce registre doit notamment mentionner le nom et les coordonnées des sous-traitants et de chaque responsable de traitement, les catégories de traitements effectués pour le compte de chaque responsable, les éventuels transferts vers des pays tiers et une description générale des mesures de sécurité techniques et organisationnelles.
L’exception à cette obligation prévue par l’article 30.5 du RGPD — qui dispense les entreprises de moins de 250 salariés dans certains cas — ne trouve pas application ici, dès lors que le traitement des données effectué par MOBIUS pour le compte de DEEZER n’était pas occasionnel et présentait des risques pour les droits et libertés des personnes.
La société tente de soutenir que le data processing addendum (DPA) conclu avec DEEZER contenait l’ensemble des informations requises au titre de l’article 30 du RGPD. La formation restreinte écarte cet argument : si les documents contractuels présentés contiennent effectivement certaines informations requises, il n’en reste pas moins que la société n’a pas tenu de registre d’activités de traitement en tant que sous-traitant — ce qu’elle ne conteste d’ailleurs pas —, et que l’information relative au nom et aux coordonnées du délégué à la protection des données du responsable de traitement faisait en outre défaut. Le manquement formel à l’article 30 du RGPD est ainsi caractérisé.
Ce troisième manquement, bien que d’une gravité moindre que les deux précédents, illustre un défaut de structuration interne des obligations documentaires du sous-traitant. L’absence de registre dédié à la sous-traitance prive l’organisation de la vision consolidée de ses activités de traitement pour le compte de tiers, rendant plus difficile toute vérification de conformité et toute gestion des incidents.
VII.
La défense de la société et son rejet par la formation restreinte
La stratégie défensive de MOBIUS SOLUTIONS LTD repose principalement sur quatre arguments : le caractère accidentel et isolé de la copie non autorisée des données, l’absence d’intention de violer le RGPD, la contestation de la compétence de la CNIL et, enfin, la situation financière déficitaire de la société. Aucun de ces arguments n’emporte la conviction de la formation restreinte.
S’agissant du caractère accidentel de la copie, la formation restreinte observe que les données ont été stockées pendant plus de trois ans sur un environnement de non-production appartenant à MOBIUS, dans son propre intérêt, et que la société est responsable des actions de ses salariés. Elle souligne de surcroît que dans un premier temps, la société a contesté toute responsabilité avant de reconnaître être à l’origine de la copie non autorisée des données, « ne facilitant pas la notification de violation de données par la société DEEZER ». Cette attitude contradictoire n’a pas manqué d’être relevée défavorablement.
S’agissant de l’absence d’intention, la formation restreinte constate au contraire que la société a fait preuve d’une « négligence certaine » en copiant des données non anonymisées de millions d’utilisateurs en dehors du cadre contractuel et en ne les supprimant pas à l’issue de la relation contractuelle. Elle relève en outre la tension entre la défense d’absence d’intention et la position défensive adoptée dans les observations écrites, qui pourrait au contraire suggérer que le manquement à l’article 29 du RGPD a été commis de manière délibérée.
S’agissant de la situation financière, la formation restreinte prend note des pertes nettes déclarées par la société mais relève que son chiffre d’affaires est en constante progression, ce qui relativise l’argument de l’incapacité financière.
VIII.
L’appréciation de la gravité des manquements et les critères de l’article 83 du RGPD
La formation restreinte procède à une analyse systématique des critères de l’article 83, paragraphe 2, du RGPD pour évaluer la gravité des manquements et fonder le prononcé d’une amende administrative.
En premier lieu, elle retient la nature, la gravité et la durée de la violation, en soulignant l’ampleur considérable de la violation de données : selon la déclaration adressée à la CNIL, plus de 200 millions de personnes dans le monde auraient pu être concernées. La société MOBIUS elle-même a estimé que 46,9 millions d’utilisateurs DEEZER étaient concernés dans le monde, entre 12,7 et 21,6 millions au sein de l’Union européenne et 9,8 millions en France. Ces données — comprenant identité, coordonnées, habitudes d’écoute détaillées — ont été mises en vente sur le darknet, exposant les personnes concernées à des risques de phishing personnalisé d’autant plus redoutables que certaines données présentent un caractère constant ou pérenne (identité, adresses électroniques).
En deuxième lieu, la formation restreinte retient l’intentionnalité ou la négligence caractérisée des manquements, soulignant que MOBIUS a fait preuve d’une négligence certaine en copiant des données en dehors du cadre contractuel, en ne les supprimant pas à l’issue de la relation contractuelle et en tardant à réagir après la notification de la violation de données.
En troisième lieu, elle tient compte des mesures prises pour atténuer le dommage : la suppression de la copie n’est intervenue que le 1er octobre 2023, tardivement, après que DEEZER eut notifié la violation à la CNIL le 10 novembre 2022, sans avoir permis d’éviter la mise en vente des données sur le darknet.
Ces éléments cumulés justifient, aux yeux de la formation restreinte, le prononcé d’une amende administrative au titre des manquements aux articles 28, 29 et 30 du RGPD.
IX.
La portée doctrinale : responsabilité du sous-traitant extra-européen et obligations documentaires
Cette délibération s’inscrit dans une ligne jurisprudentielle cohérente, confirmée par la décision précédente SAN-2022-009 déjà citée par la formation restreinte, relative aux obligations de suppression des données à la fin de la relation contractuelle. Elle apporte plusieurs clarifications doctrinales majeures.
Premièrement, elle confirme et précise l’étendue de l’application territoriale extraterritoriale du RGPD aux sous-traitants non établis dans l’Union, en établissant que dès lors que l’activité de sous-traitance s’inscrit dans une opération de ciblage comportemental visant des personnes dans l’Union, le sous-traitant est directement soumis au RGPD, quelle que soit la nature de sa propre activité.
Deuxièmement, elle consacre une conception ferme de la responsabilité du sous-traitant à l’égard des actes de ses salariés : l’argument de la copie « non autorisée » réalisée à l’insu de la direction ne constitue pas une cause d’exonération, dès lors que la société est responsable de l’action de ses salariés placés sous sa responsabilité.
Troisièmement, elle rappelle avec netteté que les obligations documentaires de l’article 30 du RGPD s’imposent aux sous-traitants de manière autonome, indépendamment des clauses contractuelles conclues avec le responsable de traitement, et ne peuvent être satisfaites par la production d’un data processing addendum, aussi détaillé soit-il.
Quatrièmement, et peut-être surtout, elle illustre les risques systémiques liés à la conservation prolongée de données personnelles en dehors des environnements de production, dans des espaces de non-production souvent moins surveillés et moins sécurisés, et au-delà des durées contractuellement et légalement autorisées. C’est précisément dans ces interstices organisationnels que la violation de données de DEEZER a pu prendre naissance et se développer pendant plusieurs semaines avant d’être détectée.
POINTS ESSENTIELS
27.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats