CNIL | SAN-2025-014 | 11 décembre 2025 | Affaire MOBIUS SOLUTIONS LTD | MANQUEMENTS | FYTT

CNIL | SAN-2025-014 | 11 DÉCEMBRE 2025 | AFFAIRE MOBIUS SOLUTIONS LTD |

FUITES DE DONNÉES EN “FORFAIT ILLIMITÉ” POUR DEEZER
46 MILLIONS DE COMPTES D’UTILISATEURS DEEZER EXPOSÉS SUR LE DARKNET PAR LA FAUTE DE MOBIUS, SON SOUS-TRAITANT NON ÉTABLI DANS L’UNION EUROPÉENNE.

ANALYSE CRITIQUE MANQUEMENTS FAQ CONSEILS

LE CADRE NORMATIF ET JURISPRUDENTIEL DE RÉFÉRENCE

A. L’ARCHITECTURE DES TROIS DISPOSITIONS EN CAUSE

L’article 28, § 3, g) du RGPD institue une obligation de résultat à la charge du sous-traitant : il lui impose de « supprime[r] toutes les données à caractère personnel ou les renvoie[r] au responsable du traitement au terme de la prestation de services relative au traitement, et détruire les copies existantes, à moins que le droit de l’Union ou le droit d’un État membre n’exige la conservation des données à caractère personnel ». Cette obligation, qui constitue l’une des clauses minimales impérativement exigées par l’article 28 du RGPD dans tout contrat de sous-traitance, traduit le principe fondamental selon lequel le sous-traitant n’a pas vocation à détenir les données du responsable de traitement au-delà de la durée nécessaire à l’exécution de la prestation. La possession des données par le sous-traitant est une possession instrumentale et temporaire, dont la légitimité s’éteint avec la relation contractuelle qui la fonde.

L’article 29 du RGPD pose le principe de l’exécution sur instruction du sous-traitant. Il dispose que « le sous-traitant et toute personne agissant sous l’autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne peut pas traiter ces données, excepté sur instruction du responsable du traitement ». Cette disposition fonde le cadre d’action délimité du sous-traitant : il est un exécutant des instructions documentées du responsable, et tout traitement excédant ces instructions — même réalisé dans l’intérêt présumé du responsable ou dans une perspective d’amélioration des services — est constitutif d’une violation directe du RGPD.

L’article 30 du RGPD impose au sous-traitant de tenir un registre de toutes les catégories d’activités de traitement effectuées pour le compte du responsable, comportant les mentions prévues à son §2. Ce registre, instrument central du principe d’accountability consacré par l’article 5, § 2 du RGPD, est le support documentaire qui permet au sous-traitant de démontrer sa conformité à tout moment, de connaître et de maîtriser le périmètre de ses traitements, et de répondre aux exigences de transparence vis-à-vis du responsable de traitement et des autorités de contrôle.

B. LA PORTÉE EXTRATERRITORIALE DU RGPD

L’une des questions préjudicielles majeures posées par la délibération SAN-2025-014 est celle de la compétence de la CNIL à l’égard d’un opérateur non établi sur le territoire de l’Union européenne. La formation restreinte a tranché cette question par l’application de l’article 3, § 2 du RGPD, qui étend le champ d’application territorial du règlement aux organismes non établis dans l’Union dès lors que leurs activités de traitement portent sur « le suivi du comportement de ces personnes, dans la mesure où il s’agit de leur comportement au sein de l’Union ».

En l’espèce, les activités de traitement de MOBIUS SOLUTIONS LTD — analyse, segmentation et hébergement des données d’utilisateurs de DEEZER à des fins de ciblage publicitaire comportemental — ont été qualifiées par la formation restreinte de suivi du comportement des personnes concernées, résidant sur le territoire de l’Union. La CNIL était ainsi directement compétente pour contrôler et sanctionner MOBIUS SOLUTIONS LTD, sans qu’aucun mécanisme de coopération ou de guichet unique ne soit applicable, la société ne disposant d’aucun établissement dans un État membre.

LE PREMIER MANQUEMENT : L’OBLIGATION DE SUPPRESSION DES DONNÉES EN FIN DE RELATION CONTRACTUELLE (ARTICLE 28, § 3, G) DU RGPD)

La formation restreinte a établi que MOBIUS SOLUTIONS LTD avait conservé, après la fin de sa relation contractuelle avec la société DEEZER, une copie des données de plus de 46 millions d’utilisateurs, en violation directe de son obligation de suppression prévue à l’article 28, § 3, g) du RGPD. La copie litigieuse n’avait pas été réalisée dans les conditions d’une transmission autorisée au responsable de traitement ou d’une conservation légalement imposée par le droit de l’Union ou le droit national : elle avait été réalisée par trois salariés de MOBIUS SOLUTIONS LTD, sans que la direction de la société en ait été informée, sur un environnement de non-production de la société, dans lequel se trouvaient également des données d’autres clients.

La formation restreinte a constaté que la violation de données notifiée par DEEZER à la CNIL en novembre 2022 — qui avait conduit à la mise en ligne de données sur le darknet — était directement liée à cette conservation illicite post-contractuelle. L’exposition des données sur le darknet n’aurait pas pu se produire si MOBIUS SOLUTIONS LTD avait rempli son obligation contractuelle et légale de suppression au terme de la relation commerciale. La conservation illicite a ainsi constitué à la fois le manquement et le vecteur causal de la violation de données.

MOBIUS SOLUTIONS LTD a soutenu que la copie des données avait été réalisée par trois salariés à son insu, cherchant ainsi à se décharger de la responsabilité attachée à la conservation et à l’exposition des données. Cet argument, qui repose sur une conception erronée de la responsabilité du sous-traitant en matière de RGPD, a été écarté sans ambiguïté par la formation restreinte.

La formation restreinte a retenu que la société demeurait responsable des actions de ses salariés, dès lors que les données litigieuses étaient stockées sur un environnement interne de la société — environnement de non-production — sous son contrôle. Ce raisonnement est juridiquement cohérent avec la lettre de l’article 29 du RGPD, qui impose au sous-traitant de s’assurer que toute personne agissant sous son autorité qui a accès aux données ne peut les traiter qu’en cas d’instruction du responsable. Il en résulte que le sous-traitant doit mettre en place des mesures organisationnelles et techniques pour prévenir tout accès ou utilisation non autorisée par ses propres agents — l’absence de telles mesures, révélée par la copie illicite opérée par trois salariés sans contrôle ni détection, caractérisant en elle-même le manquement.

La société avait également soutenu que la conservation des données dans un environnement de non-production pouvait s’inscrire dans le cadre de l’exécution du contrat, dans une perspective d’amélioration générale des services fournis à DEEZER. La formation restreinte a rejeté cet argument en constatant qu’aucune clause contractuelle n’autorisait MOBIUS SOLUTIONS LTD à conserver une copie des données de DEEZER dans un environnement de non-production après la fin du contrat, et que l’amélioration des propres services du sous-traitant ne constituait pas une finalité autorisée par le responsable de traitement.

Ce premier manquement illustre avec une clarté particulière l’une des vulnérabilités les plus fréquentes et les plus mal maîtrisées dans la gestion des relations de sous-traitance impliquant des données personnelles : la gestion défaillante des données en fin de contrat. La fin d’une relation contractuelle de sous-traitance crée une obligation positive de suppression ou de restitution des données, dont l’inexécution est directement sanctionnable au titre du RGPD, indépendamment de toute violation de données avérée. En l’espèce, la conservation illicite a directement causé la violation de données — mais le manquement à l’article 28, § 3, g) aurait existé même en l’absence de toute exposition sur le darknet, par le simple fait de la rétention irrégulière des données.

LE DEUXIÈME MANQUEMENT : L’UTILISATION DES DONNÉES EN DEHORS DES INSTRUCTIONS DU RESPONSABLE DE TRAITEMENT (ARTICLE 29 DU RGPD)

La formation restreinte a établi que MOBIUS SOLUTIONS LTD avait copié et utilisé les données de la société DEEZER en dehors de toute instruction du responsable de traitement, à des fins propres consistant à améliorer les performances de ses propres services fournis à travers sa plateforme de campagnes publicitaires personnalisées. Ce traitement des données à des fins étrangères aux instructions du responsable constitue une violation directe de l’article 29 du RGPD, qui fonde le cadre délimité dans lequel le sous-traitant peut agir.

La gravité de ce manquement tient à son caractère délibéré — ou du moins systémique : l’utilisation des données à des fins d’amélioration des services propres du sous-traitant ne résulte pas d’une erreur opérationnelle ponctuelle, mais d’une pratique inscrite dans le fonctionnement même de l’activité de MOBIUS SOLUTIONS LTD. Il ne s’agit pas d’un collaborateur ayant fait un usage impropre d’un accès légitime, mais de la société elle-même — à travers l’action de ses salariés — ayant exploité les données confiées par DEEZER pour ses propres besoins internes de développement et d’optimisation.

MOBIUS SOLUTIONS LTD avait soutenu que la copie et l’utilisation des données « pouvaient entrer dans le cadre de l’exécution du contrat », dans une perspective d’amélioration générale des services fournis à DEEZER. Cet argument repose sur une confusion conceptuelle fondamentale entre l’amélioration du service au bénéfice du responsable de traitement et l’amélioration des propres capacités et performances du sous-traitant grâce aux données confiées par le responsable.

La formation restreinte a répondu à cet argument par une analyse contractuelle rigoureuse : aucune clause contractuelle n’autorisait MOBIUS SOLUTIONS LTD à utiliser les données de DEEZER pour améliorer ses propres services, sans instruction préalable et documentée du responsable de traitement. L’argument de l’amélioration du service était donc inopérant, faute de base contractuelle ou d’instruction du responsable l’autorisant.

Cette position de la formation restreinte consacre un principe de délimitation contractuelle stricte des finalités du sous-traitant : le sous-traitant ne peut traiter les données qui lui sont confiées qu’aux seules fins expressément autorisées par le responsable de traitement dans les instructions documentées ou dans le contrat de sous-traitance. Toute utilisation des données à des fins étrangères à ces instructions — fût-elle réalisée dans un objectif bénin d’amélioration technique — est directement constitutive d’un manquement à l’article 29 du RGPD. Cette solution, d’une rigueur bienvenue, met fin à une pratique répandue dans l’écosystème de la publicité numérique consistant à valoriser les données confiées par des clients pour améliorer des algorithmes propriétaires, pratique que le RGPD prohibe sans ambiguïté.

Ce deuxième manquement, peut-être le plus riche en termes de portée doctrinale, soulève la question fondamentale du statut des données dans la relation de sous-traitance. Les données confiées au sous-traitant demeurent en permanence la propriété informationnelle du responsable de traitement — le sous-traitant n’en est que le mandataire pour un usage précisément délimité. Toute valorisation de ces données à des fins propres — qu’il s’agisse d’entraînement d’algorithmes, d’amélioration de services, d’analyse concurrentielle ou de revente à des tiers — constitue une appropriation illicite de données appartenant au responsable de traitement et une violation directe des droits des personnes concernées, dont les données ont été traitées à des fins qu’elles n’ont ni anticipées ni acceptées.

La délibération SAN-2025-014 s’inscrit ainsi dans une tendance jurisprudentielle qui tend à responsabiliser les sous-traitants numériques — en particulier ceux évoluant dans l’écosystème publicitaire — pour les usages secondaires non autorisés des données qui leur sont confiées. Elle fait écho à la décision n° SAN-2024-009 relative à la société CEGEDIM SANTÉ, dans laquelle la CNIL avait sanctionné un sous-traitant pour l’utilisation de données de santé à des fins étrangères aux instructions du responsable de traitement.

LE TROISIÈME MANQUEMENT : L’ABSENCE DE REGISTRE DES ACTIVITÉS DE TRAITEMENT (ARTICLE 30 DU RGPD)

La formation restreinte a constaté que MOBIUS SOLUTIONS LTD ne tenait pas de registre de ses activités de traitement en qualité de sous-traitant, en violation directe de l’article 30, § 2 du RGPD. Cet article impose au sous-traitant de tenir, par écrit, un registre comprenant le nom et les coordonnées du ou des sous-traitants et de chaque responsable de traitement pour le compte duquel le sous-traitant agit, les catégories de traitements effectués pour le compte de chaque responsable, les transferts de données vers des pays tiers ou des organisations internationales, et une description générale des mesures de sécurité techniques et organisationnelles mises en œuvre.

L’absence de ce registre ne constitue pas un simple défaut formel de documentation. Elle révèle une défaillance dans la gouvernance globale de la conformité de MOBIUS SOLUTIONS LTD : une société qui n’a pas cartographié les traitements qu’elle réalise pour le compte de ses clients ne dispose pas de la visibilité nécessaire pour gérer efficacement ses obligations en matière de protection des données, pour informer les responsables de traitement des opérations réalisées pour leur compte, et pour répondre de manière documentée aux demandes des autorités de contrôle.

MOBIUS SOLUTIONS LTD n’a pas avancé d’arguments spécifiques pour justifier l’absence de registre, l’absence de toute documentation de conformité étant elle-même révélatrice d’un déficit structurel de gouvernance. La formation restreinte a retenu ce troisième manquement comme un grief autonome, s’ajoutant aux deux premiers pour caractériser l’insuffisance globale du dispositif de conformité de la société.

La portée de ce troisième manquement dépasse celle d’un simple grief formel. L’absence de registre prive le sous-traitant de l’instrument central de son accountability : sans cartographie documentée de ses activités de traitement, MOBIUS SOLUTIONS LTD était dans l’incapacité de démontrer, à tout moment, la conformité de ses opérations aux instructions des responsables de traitement, de gérer les suppressions de données en fin de contrat, d’identifier les transferts de données potentiellement irréguliers, et d’assurer la cohérence entre ses engagements contractuels et ses pratiques opérationnelles. Le registre n’est pas seulement un outil de conformité formelle — il est l’instrument concret de la maîtrise par le sous-traitant de son propre périmètre de traitement.

LA DÉTERMINATION DE LA SANCTION

La formation restreinte a prononcé une amende administrative d’un million d’euros, en application de l’article 83 du RGPD, qui dispose que « chaque autorité de contrôle veille à ce que les amendes administratives imposées en vertu du présent article pour des violations du présent règlement […] soient, dans chaque cas, effectives, proportionnées et dissuasives ». La Cour de justice de l’Union européenne a rappelé, dans son arrêt Deutsche Wohnen du 5 décembre 2023 (C-807/21), que « seule une amende administrative dont le montant est déterminé en fonction de la capacité économique réelle ou matérielle de son destinataire est susceptible de réunir les trois conditions nommées à l’article 83, §1, du RGPD ».

La formation restreinte a pris en compte, dans la détermination du montant, la gravité des manquements retenus — en particulier la conservation illicite post-contractuelle de données de 46 millions de personnes et leur exposition sur le darknet — le nombre de personnes concernées par la violation de données, et le chiffre d’affaires de la société MOBIUS SOLUTIONS LTD.

La formation restreinte a pris note des circonstances atténuantes avancées par la société MOBIUS SOLUTIONS LTD : la nature interne et non autorisée de la copie illicite des données, réalisée par trois salariés sans l’aval de la direction, et la coopération de la société avec les services de la CNIL lors des contrôles. Ces éléments ont été pris en considération dans la détermination du montant de l’amende — un million d’euros pour une violation touchant 46 millions de personnes apparaissant, à l’aune de la jurisprudence récente de la CNIL, comme une sanction modérée au regard de l’ampleur de l’incident.

C. LE DISPOSITIF

Par délibération n° SAN-2025-014 du 11 décembre 2025, la formation restreinte de la Commission nationale de l’informatique et des libertés a prononcé à l’encontre de la société MOBIUS SOLUTIONS LTD :

Une amende administrative d’un million d’euros (1 000 000 €) pour les manquements constitués aux articles 28, § 3, g), 29 et 30 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016.

La décision est rendue publique par la formation restreinte, sur le fondement de l’article 22, alinéa 2 de la loi Informatique et Libertés.

CONTEXTUALISATION

La délibération SAN-2025-014 s’inscrit dans un mouvement jurisprudentiel progressif qui, depuis l’entrée en application du RGPD en mai 2018, a conduit la CNIL à affirmer avec une vigueur croissante les obligations propres du sous-traitant, indépendamment de celles du responsable de traitement.

Le manquement à l’obligation de suppression des données en fin de relation contractuelle avait déjà été appréhendé par la formation restreinte dans des affaires antérieures portant sur la conservation excessive de données, fondées sur l’article 5, § 1, e) du RGPD. Les délibérations relatives aux sociétés COSMOSPACE et TELEMAQUE (SAN-2024-014 et SAN-2024-015 du 26 septembre 2024) avaient notamment sanctionné des durées de conservation excessives dans un contexte de services personnalisés, établissant que la conservation de données au-delà des durées légitimement justifiées constitue une violation sanctionnable indépendamment de tout préjudice concret pour les personnes concernées. La délibération SAN-2025-014 étend cet enseignement au contexte spécifique de la sous-traitance, en consacrant que la fin du contrat constitue une limite temporelle impérative au droit du sous-traitant de conserver les données qui lui ont été confiées.

L’utilisation de données personnelles en dehors des instructions du responsable de traitement avait quant à elle été sanctionnée dans la délibération n° SAN-2024-009 relative à la société CEGEDIM SANTÉ, où la CNIL avait retenu que la société avait traité des données de santé à des fins étrangères aux instructions du responsable de traitement. La délibération SAN-2025-014 prolonge et précise ce précédent en l’appliquant au contexte de l’écosystème publicitaire numérique, où la tentation d’exploiter les données confiées à des fins d’amélioration algorithmique est structurelle.

La délibération SAN-2025-014 forme, avec la délibération n° SAN-2025-015 du 22 décembre 2025 relative à la société NEXPUBLICA FRANCE — prononcée quelques jours plus tard — un diptyque jurisprudentiel emblématique de la politique de sanction de la CNIL à l’égard des sous-traitants en fin d’année 2025. Ces deux décisions partagent une orientation commune : elles sanctionnent directement des sous-traitants sur le fondement de leurs obligations propres issues du chapitre IV du RGPD, sans passer par l’intermédiaire d’une sanction préalable du responsable de traitement.

La délibération SAN-2025-015 relative à NEXPUBLICA FRANCE retient, dans un contexte différent — défaillances de sécurité dans un logiciel de gestion de prestations pour personnes en situation de handicap —, que « le caractère évident des failles relev[é]es, portant sur des vulnérabilités pourtant documentées par la doctrine et de l’état de l’art, ainsi que leur persistance, […] caractérisent que la société NEXPUBLICA FRANCE n’a pas respecté son obligation de moyens d’assurer la sécurité des données traitées ». Ces deux délibérations forment le socle d’une doctrine émergente qui commande une révision profonde de l’approche contractuelle et opérationnelle de la sous-traitance : le sous-traitant est un acteur responsable à part entière du respect du RGPD, porteur d’obligations propres dont la méconnaissance est directement sanctionnable, sans que la qualité de mandataire du responsable de traitement ne puisse lui servir d’alibi ou de bouclier.

POINTS ESSENTIELS

La délibération n° SAN-2025-014 du 11 décembre 2025 sanctionne la société MOBIUS SOLUTIONS LTD, sous-traitant de la plateforme de streaming musical DEEZER, d’une amende administrative d’un million d’euros pour trois manquements distincts aux articles 28, § 3, g), 29 et 30 du Règlement général sur la protection des données — décision qui marque une étape jurisprudentielle significative dans l’affirmation des obligations propres du sous-traitant, indépendantes de celles du responsable de traitement. La violation de données dont procède la procédure de sanction avait été notifiée à la CNIL par DEEZER en novembre 2022 : elle avait conduit à l’exposition sur le darknet des données personnelles de plus de 46 millions d’utilisateurs de la plateforme, données confiées à MOBIUS SOLUTIONS LTD dans le cadre d’une prestation de services de ciblage publicitaire personnalisé ; cette exposition était directement imputable à la conservation, par trois salariés du sous-traitant et sans autorisation de sa direction, d’une copie illicite des données sur un environnement de non-production de la société, postérieurement à la fin de la relation contractuelle avec DEEZER — conservation que la formation restreinte a retenue comme premier manquement, au titre de l’article 28, § 3, g), du RGPD, en écartant fermement l’argument de MOBIUS SOLUTIONS LTD selon lequel la copie illicite aurait été réalisée à son insu par ses propres collaborateurs, puisque le sous-traitant demeure pleinement responsable des actes des personnes agissant sous son autorité au regard des données qui lui ont été confiées. Le deuxième manquement — fondé sur l’article 29 du RGPD — est d’une portée doctrinale peut-être plus large encore : la formation restreinte a établi que MOBIUS SOLUTIONS LTD avait utilisé les données de DEEZER à des fins propres, dans une perspective d’amélioration de ses propres services, en dehors de toute instruction du responsable de traitement et de tout fondement contractuel, consacrant ainsi le principe selon lequel les données confiées au sous-traitant ne peuvent jamais servir à alimenter les algorithmes, modèles ou services propres de ce dernier — une pratique pourtant répandue dans l’écosystème de la publicité numérique, que le RGPD prohibe sans ambiguïté et que la CNIL sanctionne désormais directement. Le troisième manquement — l’absence de registre des activités de traitement en qualité de sous-traitant, en violation de l’article 30, § 2, du RGPD — révèle quant à lui l’insuffisance structurelle du dispositif de gouvernance de la conformité de MOBIUS SOLUTIONS LTD, une société qui ne cartographie pas ses traitements ne pouvant démontrer ni la licéité de ses opérations ni le respect de ses obligations à l’égard des responsables de traitement. La délibération SAN-2025-014 est également remarquable en ce qu’elle établit la compétence de la CNIL sur un opérateur non établi dans l’Union européenne, sur le fondement du critère du suivi comportemental posé à l’article 3, § 2, du RGPD — consacrant ainsi la portée pleinement extraterritoriale du règlement à l’égard des acteurs de l’écosystème publicitaire numérique traitant des données de résidents européens depuis des pays tiers — et s’inscrit dans le prolongement direct d’une jurisprudence antérieure dont les jalons avaient été posés par les délibérations SAN-2024-009 (CEGEDIM SANTÉ, usage non autorisé de données de santé par un sous-traitant) et SAN-2024-014/015 (COSMOSPACE / TELEMAQUE, conservation excessive), tout en formant avec la délibération SAN-2025-015 (NEXPUBLICA FRANCE, 1,7 M€, 22 décembre 2025) un diptyque jurisprudentiel de fin d’année 2025 consacrant l’autonomisation définitive de la responsabilité du sous-traitant dans la doctrine de sanction de la CNIL.

24.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats

FUITES DE DONNÉES EN “FORFAIT ILLIMITÉ” POUR DEEZER 46 MILLIONS DE COMPTES D’UTILISATEURS DEEZER EXPOSÉS SUR LE DARKNET PAR LA FAUTE DE MOBIUS, SON SOUS-TRAITANT NON ÉTABLI DANS L’UNION EUROPÉENNE.