CNIL | SAN-2025-014 | 11 DÉCEMBRE 2025 | AFFAIRE MOBIUS SOLUTIONS LTD |
FUITES DE DONNÉES EN “FORFAIT ILLIMITÉ” POUR DEEZER
46 MILLIONS DE COMPTES D’UTILISATEURS DEEZER EXPOSÉS SUR LE DARKNET PAR LA FAUTE DE MOBIUS, SON SOUS-TRAITANT NON ÉTABLI DANS L’UNION EUROPÉENNE.
ANALYSE CRITIQUE MANQUEMENTS FAQ CONSEILS
A. FAIRE DE LA SÉLECTION ET DU PILOTAGE DES SOUS-TRAITANTS UN IMPÉRATIF DE GOUVERNANCE, NON UNE FORMALITÉ CONTRACTUELLE
La délibération SAN-2025-014 impose une leçon fondamentale aux responsables de traitement : choisir un sous-traitant conforme au RGPD et s’assurer de cette conformité dans la durée constitue une obligation juridique, non une simple mesure de prudence commerciale. L’article 28, § 1 du RGPD dispose que « lorsqu’un traitement doit être effectué pour le compte d’un responsable du traitement, celui-ci fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées ». La délibération illustre, par son contexte même, que le recours à un sous-traitant défaillant — même sans faute apparente du responsable de traitement dans le choix initial — peut se traduire par une violation de données d’une ampleur considérable, exposant les utilisateurs et engageant, potentiellement, la propre responsabilité du responsable de traitement pour défaut de vérification des garanties offertes.
En pratique, le responsable de traitement doit mettre en place une procédure formalisée de sélection et d’audit des sous-traitants impliquant le traitement de données à caractère personnel. Cette procédure doit comprendre, au minimum : la vérification de l’existence d’une politique interne de protection des données chez le sous-traitant ; l’obtention d’éléments probants sur les mesures de sécurité mises en œuvre (certifications ISO 27001, rapports d’audit techniques, déclarations de conformité) ; la vérification que le sous-traitant dispose d’un mécanisme opérationnel de gestion des violations de données et de notification ; et l’évaluation des pratiques du sous-traitant en matière de gestion des accès internes à ses propres salariés. La délibération SAN-2025-014 rappelle que l’insuffisance de contrôle interne chez le sous-traitant — trois salariés ayant pu copier les données de 46 millions d’utilisateurs sans que la direction en ait été informée — révèle une défaillance organisationnelle dont le responsable de traitement aurait dû vérifier l’absence préalablement à la confiance accordée au sous-traitant.
Ce processus de vérification ne doit pas se limiter à la phase précontractuelle. Le responsable de traitement est tenu d’assurer une surveillance continue du sous-traitant, en particulier pour les prestations impliquant un traitement de données sensibles ou de grande volumétrie. Des audits périodiques, la demande de rapports de conformité, ou encore l’insertion de clauses contractuelles permettant des vérifications inopinées constituent des instruments juridiques et opérationnels indispensables que tout responsable de traitement ayant recours à des prestataires intervenant sur des données personnelles doit systématiser.
B. STRUCTURER RIGOUREUSEMENT LES CONTRATS DE SOUS-TRAITANCE POUR DÉLIMITER PRÉCISÉMENT LE PÉRIMÈTRE DE TRAITEMENT AUTORISÉ
L’un des manquements centraux retenus par la formation restreinte dans la délibération SAN-2025-014 porte sur l’utilisation, par MOBIUS SOLUTIONS LTD, des données de DEEZER à des fins propres, dans une perspective d’amélioration de ses propres services, en dehors de tout cadre contractuel l’y autorisant. Ce manquement à l’article 29 du RGPD met en lumière une lacune récurrente dans la pratique contractuelle : les contrats de sous-traitance sont souvent rédigés en termes généraux, sans délimitation précise des finalités pour lesquelles les données peuvent être utilisées par le sous-traitant.
Le responsable de traitement doit veiller à ce que le contrat de sous-traitance, tel qu’exigé par l’article 28, § 3 du RGPD, précise avec la plus grande granularité possible : l’objet exact du traitement confié au sous-traitant ; les finalités limitativement énumérées pour lesquelles les données peuvent être utilisées ; l’interdiction expresse d’utiliser les données à des fins propres du sous-traitant, y compris à des fins d’amélioration, d’entraînement d’algorithmes ou d’optimisation de services ; les catégories de données accessibles au sous-traitant ; la liste des opérations de traitement autorisées ; et les modalités et délais de suppression des données en fin de contrat, avec obligation de certification de cette suppression. La rédaction de ces clauses doit être conduite avec le même soin que celui apporté aux clauses essentielles d’un contrat commercial — leur imprécision ou leur généralité exposant le responsable de traitement à ne pouvoir établir, en cas d’incident, que le comportement du sous-traitant excédait les instructions reçues.
Le responsable de traitement doit également s’assurer que ces clauses sont assorties de mécanismes de contrôle effectifs : droit d’audit, obligation de communication de tout incident de sécurité interne, obligation de notification immédiate de toute demande d’accès aux données émanant d’une autorité publique d’un État tiers, et obligation de tenir et de communiquer, à première demande, le registre des traitements effectués pour le compte du responsable.
C. GÉRER RIGOUREUSEMENT LES FINS DE RELATIONS CONTRACTUELLES : LA SUPPRESSION DES DONNÉES COMME OBLIGATION POSITIVE
La délibération SAN-2025-014 consacre une obligation positive de suppression des données en fin de relation contractuelle directement sanctionnable sur le fondement de l’article 28, § 3, g) du RGPD. Cette disposition prévoit que le sous-traitant s’engage, « au choix du responsable du traitement, [à] supprime[r] toutes les données à caractère personnel ou les renvoie[r] au responsable du traitement au terme de la prestation de services relative au traitement, et détruire les copies existantes ». La délibération révèle que MOBIUS SOLUTIONS LTD avait conservé une copie des données de 46 millions d’utilisateurs après la fin du contrat — une conservation dont la société ne pouvait même pas s’expliquer complètement, puisqu’elle l’avait imputée à l’action non autorisée de trois salariés.
Pour le responsable de traitement, cet enseignement impose un protocole de fin de contrat systématique et documenté. Au terme de toute relation contractuelle impliquant le traitement de données personnelles, le responsable doit adresser au sous-traitant, dans un délai raisonnable avant l’expiration du contrat, une instruction formelle précisant les modalités de restitution ou de suppression des données. Cette instruction doit être suivie d’une certification écrite de la suppression par le sous-traitant, accompagnée le cas échéant d’un rapport d’audit technique attestant la destruction effective des données sur l’ensemble des environnements du sous-traitant — environnements de production, de non-production, de test, sauvegardes, copies de travail. Il est impératif d’anticiper que les sous-traitants gèrent souvent leurs données dans des environnements multiples et que la suppression dans l’environnement principal ne garantit pas la suppression dans les environnements secondaires.
Le responsable de traitement est également conseillé d’insérer, dans le contrat initial, un calendrier de fin de contrat précisant les étapes et délais de suppression des données, les formats de certification attendus et les modalités de vérification par le responsable de traitement. Une clause pénale assortie à l’obligation de suppression peut constituer un levier contractuel efficace pour s’assurer que le sous-traitant prend cette obligation au sérieux et la met en œuvre dans les délais convenus.
D. PRÉVENIR ET GÉRER LES RISQUES LIÉS À LA LOCALISATION EXTRATERRITORIALE DU SOUS-TRAITANT
La délibération SAN-2025-014 soulève une problématique spécifique et croissante dans l’écosystème numérique contemporain : le recours à des sous-traitants établis hors de l’Union européenne, dont les pratiques de protection des données peuvent différer significativement des standards imposés par le RGPD. La compétence de la CNIL a été fondée sur le critère du suivi comportemental prévu à l’article 3 du RGPD — mais la question des voies d’exécution d’une amende prononcée contre un opérateur extraterritorial reste entière et illustre les limites pratiques de la régulation dans ce domaine.
Pour le responsable de traitement, le recours à un sous-traitant établi hors de l’Union suppose de vérifier, en premier lieu, l’existence d’une décision d’adéquation de la Commission européenne couvrant le pays d’établissement du sous-traitant, ou à défaut, la mise en place de garanties appropriées au sens de l’article 46 du RGPD — clauses contractuelles types adoptées par la Commission, codes de conduite approuvés, certifications. Cette vérification ne doit pas être une simple formalité documentaire : elle doit conduire à une évaluation réelle des risques que le cadre juridique du pays tiers fait peser sur les données transférées, en intégrant notamment les risques liés aux demandes d’accès potentielles d’autorités publiques étrangères et les capacités réelles du sous-traitant à résister à de telles demandes.
En second lieu, le responsable de traitement doit s’assurer que les clauses contractuelles types insérées dans le contrat de sous-traitance ne sont pas des instruments purement formels mais correspondent à des engagements effectivement respectés. Une analyse d’impact sur les transferts (Transfer Impact Assessment — TIA) doit être conduite pour chaque transfert significatif, et ses conclusions doivent être documentées et actualisées régulièrement.
E. ASSURER LA CONFORMITÉ AU REGISTRE DES TRAITEMENTS DANS LA RELATION DE SOUS-TRAITANCE
Le troisième manquement retenu à l’encontre de MOBIUS SOLUTIONS LTD — l’absence de registre des activités de traitement en qualité de sous-traitant — peut sembler, à première vue, d’une gravité moindre que les deux premiers. Il révèle pourtant une défaillance structurelle dans la gouvernance de la conformité du sous-traitant : une société qui ne tient pas de registre de ses activités de sous-traitance ne dispose pas d’une vision exhaustive des traitements qu’elle réalise pour le compte de ses clients, ce qui rend impossible toute gestion sérieuse des risques et des obligations associées.
Pour le responsable de traitement, la vérification que le sous-traitant tient un registre conforme à l’article 30 du RGPD doit faire partie des diligences précontractuelles et de la surveillance continue. Le contrat de sous-traitance doit prévoir l’obligation pour le sous-traitant de mentionner dans son registre les activités réalisées pour le compte du responsable de traitement, et de permettre à ce dernier d’en prendre connaissance sur demande. Cette transparence est l’un des piliers de l’accountability imposée par le RGPD et conditionne la capacité du responsable de traitement à démontrer, en cas de contrôle, que ses propres obligations de supervision ont été correctement exercées.
CONSEILS AUX PERSONNES CONCERNÉES
A. COMPRENDRE L’AMPLEUR ET LES CONSÉQUENCES D’UNE VIOLATION DE DONNÉES À GRANDE ÉCHELLE
La violation de données dont MOBIUS SOLUTIONS LTD est à l’origine a exposé les données personnelles de plus de 46 millions d’utilisateurs de DEEZER. Parmi les données compromises figuraient, selon les éléments révélés lors de la procédure de contrôle et de sanction, des informations permettant d’identifier et de localiser les personnes concernées. La mise en ligne de ces données sur le darknet signifie concrètement qu’elles ont été rendues accessibles à des acteurs malveillants susceptibles de les exploiter à des fins de fraude, d’hameçonnage personnalisé, d’usurpation d’identité ou de phishing ciblé.
Il importe que les personnes potentiellement concernées comprennent que les risques liés à une telle violation ne se matérialisent pas nécessairement immédiatement. Les données exposées sur le darknet circulent, sont revendues, recoupées avec d’autres jeux de données issus d’autres violations, et peuvent être exploitées plusieurs mois ou années après l’incident initial. Une vigilance durable est donc de mise : toute sollicitation inhabituelle émanant de services prétendant être DEEZER ou tout tiers connaissant vos informations personnelles avec une précision suspecte doit être traitée avec la plus grande prudence, sans jamais utiliser les coordonnées figurant dans le message reçu pour vérifier son authenticité.
B. EXERCER SES DROITS AUPRÈS DE DEEZER EN QUALITÉ DE RESPONSABLE DE TRAITEMENT
Bien que la sanction prononcée dans la délibération SAN-2025-014 soit dirigée contre MOBIUS SOLUTIONS LTD en qualité de sous-traitant, les droits reconnus par le RGPD aux personnes concernées s’exercent en principe auprès du responsable de traitement — en l’occurrence la société DEEZER, qui était le responsable du traitement des données des utilisateurs dans le cadre de la relation de sous-traitance. Les personnes concernées peuvent exercer auprès de DEEZER un droit d’accès (article 15 du RGPD) pour obtenir confirmation de l’existence d’un traitement de leurs données, des catégories de données traitées, des éventuels destinataires auxquels ces données ont été ou sont communiquées, et des durées de conservation.
Elles peuvent également solliciter le droit à l’effacement (article 17 du RGPD) lorsqu’il n’existe plus de base légale justifiant la conservation de leurs données, notamment si leur compte DEEZER a été clôturé depuis la survenance de la violation. En l’absence de réponse dans le délai légal d’un mois, ou en cas de réponse manifestement insuffisante, toute personne concernée peut saisir la CNIL d’une plainte en application de l’article 77 du RGPD. Il est recommandé que cette saisine soit accompagnée d’éléments précis : copie de la demande adressée au responsable de traitement, preuve de l’envoi, réponse reçue ou absence de réponse, et tout élément permettant d’identifier un préjudice subi ou un risque particulier résultant de la violation.
C. DOCUMENTER TOUT PRÉJUDICE EN VUE D’UNE ACTION INDEMNITAIRE FONDÉE SUR L’ARTICLE 82 DU RGPD
L’article 82 du RGPD reconnaît à « toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement » le droit « d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi ». Les personnes dont les données ont été compromises dans le cadre de la violation impliquant MOBIUS SOLUTIONS LTD peuvent se prévaloir de ce fondement pour demander réparation — soit auprès de DEEZER en qualité de responsable de traitement, soit auprès de MOBIUS SOLUTIONS LTD en qualité de sous-traitant fautif, l’article 82, § 4 du RGPD prévoyant que le responsable de traitement et le sous-traitant peuvent tous deux voir leur responsabilité engagée.
La réussite d’une telle démarche dépend largement de la capacité à documenter un préjudice réel, matériel ou moral. Le préjudice moral lié à la seule anxiété résultant de la compromission de données est de plus en plus reconnu par les juridictions nationales et européennes, mais il doit être étayé par des éléments concrets : notification reçue de la violation, nature des données compromises, démarches engagées en réponse, atteintes à la vie privée constatées, communications suspectes reçues postérieurement à la violation. Ce qui n’est pas conservé sera difficile à prouver a posteriori : toute personne ayant reçu une communication relative à la violation de données chez DEEZER est invitée à conserver soigneusement cette communication ainsi que tout élément ultérieur susceptible d’établir un lien avec l’exploitation de ses données compromises.
D. RENFORCER SON HYGIÈNE NUMÉRIQUE DANS LES SUITES DE LA VIOLATION
Au-delà des démarches juridiques, une violation de données de l’ampleur de celle impliquant MOBIUS SOLUTIONS LTD doit conduire les personnes concernées à renforcer durablement leur hygiène numérique. Il est recommandé de modifier, dans les meilleurs délais, les mots de passe associés au compte DEEZER concerné ainsi que tout autre compte utilisant le même identifiant ou le même mot de passe — la réutilisation des mots de passe sur plusieurs services constituant l’un des vecteurs les plus fréquents de compromission en cascade. La mise en place d’une authentification à double facteur sur les comptes essentiels — messagerie électronique, services bancaires en ligne, plateformes de streaming — constitue une protection efficace contre l’exploitation des données d’authentification compromises.
Il est également prudent de surveiller ses relevés bancaires et ses notifications de crédit dans les mois suivant la violation, les données exposées sur le darknet pouvant être exploitées à des fins de fraude financière. Toute tentative de connexion non reconnue sur un compte, toute sollicitation suspecte faisant référence à des informations personnelles ou à des habitudes de consommation que vous n’avez pas communiquées à l’interlocuteur apparent, doit être signalée sans délai à l’organisme concerné et, si nécessaire, à la plateforme PHAROS ou aux autorités compétentes.
POINTS ESSENTIELS
La délibération n° SAN-2025-014 du 11 décembre 2025 sanctionne la société MOBIUS SOLUTIONS LTD, sous-traitant de la plateforme de streaming musical DEEZER, d’une amende administrative d’un million d’euros pour trois manquements distincts aux articles 28, § 3, g), 29 et 30 du Règlement général sur la protection des données — décision qui marque une étape jurisprudentielle significative dans l’affirmation des obligations propres du sous-traitant, indépendantes de celles du responsable de traitement. La violation de données dont procède la procédure de sanction avait été notifiée à la CNIL par DEEZER en novembre 2022 : elle avait conduit à l’exposition sur le darknet des données personnelles de plus de 46 millions d’utilisateurs de la plateforme, données confiées à MOBIUS SOLUTIONS LTD dans le cadre d’une prestation de services de ciblage publicitaire personnalisé ; cette exposition était directement imputable à la conservation, par trois salariés du sous-traitant et sans autorisation de sa direction, d’une copie illicite des données sur un environnement de non-production de la société, postérieurement à la fin de la relation contractuelle avec DEEZER — conservation que la formation restreinte a retenue comme premier manquement, au titre de l’article 28, § 3, g), du RGPD, en écartant fermement l’argument de MOBIUS SOLUTIONS LTD selon lequel la copie illicite aurait été réalisée à son insu par ses propres collaborateurs, puisque le sous-traitant demeure pleinement responsable des actes des personnes agissant sous son autorité au regard des données qui lui ont été confiées. Le deuxième manquement — fondé sur l’article 29 du RGPD — est d’une portée doctrinale peut-être plus large encore : la formation restreinte a établi que MOBIUS SOLUTIONS LTD avait utilisé les données de DEEZER à des fins propres, dans une perspective d’amélioration de ses propres services, en dehors de toute instruction du responsable de traitement et de tout fondement contractuel, consacrant ainsi le principe selon lequel les données confiées au sous-traitant ne peuvent jamais servir à alimenter les algorithmes, modèles ou services propres de ce dernier — une pratique pourtant répandue dans l’écosystème de la publicité numérique, que le RGPD prohibe sans ambiguïté et que la CNIL sanctionne désormais directement. Le troisième manquement — l’absence de registre des activités de traitement en qualité de sous-traitant, en violation de l’article 30, § 2, du RGPD — révèle quant à lui l’insuffisance structurelle du dispositif de gouvernance de la conformité de MOBIUS SOLUTIONS LTD, une société qui ne cartographie pas ses traitements ne pouvant démontrer ni la licéité de ses opérations ni le respect de ses obligations à l’égard des responsables de traitement. La délibération SAN-2025-014 est également remarquable en ce qu’elle établit la compétence de la CNIL sur un opérateur non établi dans l’Union européenne, sur le fondement du critère du suivi comportemental posé à l’article 3, § 2, du RGPD — consacrant ainsi la portée pleinement extraterritoriale du règlement à l’égard des acteurs de l’écosystème publicitaire numérique traitant des données de résidents européens depuis des pays tiers — et s’inscrit dans le prolongement direct d’une jurisprudence antérieure dont les jalons avaient été posés par les délibérations SAN-2024-009 (CEGEDIM SANTÉ, usage non autorisé de données de santé par un sous-traitant) et SAN-2024-014/015 (COSMOSPACE / TELEMAQUE, conservation excessive), tout en formant avec la délibération SAN-2025-015 (NEXPUBLICA FRANCE, 1,7 M€, 22 décembre 2025) un diptyque jurisprudentiel de fin d’année 2025 consacrant l’autonomisation définitive de la responsabilité du sous-traitant dans la doctrine de sanction de la CNIL.
24.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats