CNIL | SAN-2025-014 | 11 décembre 2025 | Affaire MOBIUS SOLUTIONS LTD | SAN-2025-014-ESSENTIELS

1. L’extension extraterritoriale du RGPD aux sous-traitants non établis dans l’Union

La délibération SAN-2025-014 apporte une clarification jurisprudentielle majeure sur le champ d’application territorial du RGPD à l’égard des sous-traitants établis hors de l’Union européenne. MOBIUS SOLUTIONS LTD, société israélienne sans aucun établissement dans l’Union, est néanmoins soumise au RGPD dès lors que les activités de traitement qu’elle réalise pour le compte de la société DEEZER — segmentation comportementale des utilisateurs, profilage à des fins de personnalisation marketing, hébergement des données — s’inscrivent dans une opération de suivi du comportement de personnes situées au sein de l’Union, au sens de l’article 3-2-b du RGPD. La formation restreinte confirme, en s’appuyant sur les lignes directrices 3/2018 du CEPD, que le sous-traitant non établi dans l’Union est entraîné dans le champ territorial du règlement dès lors que le responsable de traitement pour lequel il agit cible des personnes dans l’Union, sans qu’il soit nécessaire que le sous-traitant lui-même ait pris la décision de ciblage. Cette solution, d’une portée pratique considérable, signifie que tout prestataire technologique extra-européen — qu’il s’agisse d’une société israélienne, américaine, asiatique ou autre — qui traite des données pour le compte d’un responsable de traitement européen dans le cadre d’une opération de ciblage ou de personnalisation marketing est directement soumis au RGPD et peut faire l’objet de contrôles et de sanctions par les autorités de protection des données européennes.

2. La responsabilité du sous-traitant pour les actes de ses salariés : une responsabilité sans échappatoire

La formation restreinte consacre une conception ferme et sans concession de la responsabilité du sous-traitant à l’égard des agissements de ses propres salariés dans le cadre des traitements qu’il met en œuvre. MOBIUS SOLUTIONS LTD avait tenté de s’exonérer en invoquant le caractère non autorisé de la copie des données DEEZER, opérée à son insu par trois salariés agissant hors de toute instruction de la direction. La formation restreinte rejette résolument cet argument : la société était responsable des actions de ses salariés placés sous sa responsabilité, et ne pouvait s’abriter derrière l’absence prétendue de connaissance interne pour méconnaître ses obligations de sous-traitant. Cette position s’applique d’autant plus rigoureusement que les données en cause — 46,9 millions d’utilisateurs dans le monde — avaient été copiées dans les systèmes propres de MOBIUS, stockées pendant près de trois ans dans un environnement de non-production appartenant à la société et exploitées dans son propre intérêt commercial, aux fins d’améliorer les performances de sa plateforme Optimove. La délibération établit ainsi que le sous-traitant ne peut se prévaloir ni de l’ignorance des actes de ses salariés, ni du défaut de maîtrise de ses propres systèmes d’information, pour échapper à l’obligation de suppression des données à l’issue de la relation contractuelle imposée par l’article 28.3.g du RGPD.

3. Le traitement hors instruction : une frontière stricte entre exécution du contrat et usage propre du sous-traitant

L’article 29 du RGPD pose un principe cardinal du droit de la sous-traitance : le sous-traitant ne peut traiter les données à caractère personnel qui lui sont confiées qu’« except sur instruction du responsable du traitement ». La délibération SAN-2025-014 en illustre l’application concrète avec une grande précision analytique. La formation restreinte procède à un examen attentif du contrat liant MOBIUS à DEEZER et constate que si ce contrat autorise la société à recevoir et analyser les données des utilisateurs DEEZER dans le cadre de la fourniture de la plateforme Optimove, aucune clause ne l’autorisait à copier ces données vers un environnement externe en vue d’améliorer les performances générales de ses propres services, fussent-ils destinés à DEEZER ou à d’autres clients. En d’autres termes, la finalité déclarée par les salariés — améliorer les performances de la plateforme Optimove — n’était pas couverte par les instructions de DEEZER et excédait substantiellement le périmètre contractuellement défini. La formation restreinte relève de surcroît que la tentative de la société, dans ses observations en défense, de rationaliser rétrospectivement cette copie comme relevant de l’exécution normale du contrat, tend à transformer la négligence initiale en manquement potentiellement délibéré à l’article 29 du RGPD, aggravant ainsi l’appréciation de l’intentionnalité.

4. Les obligations documentaires du sous-traitant : le registre de l’article 30 ne peut être remplacé par un DPA contractuel

La délibération apporte un éclaircissement utile sur la portée de l’obligation documentaire de l’article 30 du RGPD applicable aux sous-traitants, en rejetant une confusion fréquente dans la pratique entre les clauses contractuelles de protection des données et la tenue d’un registre des activités de traitement. MOBIUS avait soutenu que le data processing addendum (DPA) conclu avec DEEZER contenait l’ensemble des informations requises au titre du registre prévu par l’article 30.2 du RGPD. La formation restreinte rejette cet argument en soulignant que, si le DPA peut effectivement contenir certaines des informations requises, il ne se substitue pas à un registre d’activités de traitement formellement tenu en qualité de sous-traitant. Le registre de sous-traitance est un document autonome, distinct des instruments contractuels, qui vise à assurer une traçabilité structurée et exhaustive de l’ensemble des activités de traitement effectuées pour le compte de tiers. Son absence — que la société ne conteste d’ailleurs pas — constitue un manquement formel à l’article 30 du RGPD, d’autant plus caractérisé en l’espèce que l’information relative aux coordonnées du délégué à la protection des données du responsable de traitement faisait également défaut. Cette précision jurisprudentielle intéresse directement tous les sous-traitants qui, à tort, considèrent que la signature d’un DPA suffit à satisfaire à leurs obligations documentaires autonomes au titre du RGPD.

5. La violation de données comme révélateur d’une défaillance structurelle de gouvernance de la sous-traitance

Au-delà des manquements formels sanctionnés, la délibération SAN-2025-014 met en lumière un phénomène récurrent dans les grandes violations de données impliquant des chaînes de sous-traitance : la conservation de données personnelles dans des environnements secondaires — environnements de test, de non-production, de développement — qui échappent aux processus de contrôle et de purge appliqués aux environnements de production. La copie des données DEEZER vers l’environnement de non-production de MOBIUS, réalisée en 2019 et stockée jusqu’en 2023, illustre parfaitement ce risque : des données volumineuses et sensibles, confiées à un sous-traitant dans un cadre contractuel précis, migrent vers des espaces interstitiels de l’infrastructure du sous-traitant, moins surveillés, moins sécurisés, et souvent oubliés lors des procédures de fin de contrat. La violation de données qui s’ensuit, deux ans après la résiliation du contrat, expose des dizaines de millions de personnes à des risques de phishing personnalisé et de fraude. Cette délibération rappelle ainsi que la fin de la relation contractuelle doit s’accompagner d’un processus rigoureux de vérification et de purge exhaustive de l’ensemble des données traitées par le sous-traitant — y compris dans les environnements de non-production et de développement — et que la responsabilité du sous-traitant dans la mise en œuvre effective de ce processus est pleine et entière, sans possibilité d’invoquer l’action autonome de salariés pour s’en exonérer.

POINTS ESSENTIELS