CNIL | SAN-2025-014 | 11 DÉCEMBRE 2025 | AFFAIRE MOBIUS SOLUTIONS LTD |
FUITES DE DONNÉES EN “FORFAIT ILLIMITÉ” POUR DEEZER
ANALYSE CRITIQUE MANQUEMENTS FAQ CONSEILS
I.
Contexte factuel : une violation de données massive née d’une conservation illicite
La délibération SAN-2025-014 concerne la société israélienne MOBIUS SOLUTIONS LTD, dont le nom commercial est « Optimove », éditrice d’une solution SaaS de marketing personnalisé permettant à ses clients de créer et d’exécuter des campagnes marketing ciblées à destination de leurs propres clients. Entre le 1er décembre 2016 et le 1er décembre 2020, MOBIUS a fourni cette solution à la société DEEZER dans le cadre d’un contrat de sous-traitance, en recevant à cette fin des données relatives aux utilisateurs de la plateforme de streaming musical.
En novembre 2022, la CNIL est destinataire d’une notification de violation de données émanant de DEEZER, désignant MOBIUS comme source probable de la violation : des données d’utilisateurs de la plateforme avaient été mises en vente sur le darknet. Une notification complémentaire de DEEZER, reçue le 31 janvier 2023, confirme cette origine. Les investigations révèlent que des données non anonymisées relatives à plusieurs dizaines de millions d’utilisateurs avaient été copiées par trois salariés de MOBIUS en avril 2019 — en cours d’exécution du contrat — depuis un environnement de production vers un environnement de non-production appartenant à MOBIUS, dans le but déclaré d’améliorer les performances de la plateforme Optimove. Ces données, qui n’ont pas été supprimées à la résiliation du contrat le 1er décembre 2020, ont été exfiltrées depuis cet environnement de non-production en novembre 2022. MOBIUS n’a procédé à la suppression effective de cette copie que le 1er octobre 2023, sur instruction de DEEZER.
L’ampleur de la violation est considérable : MOBIUS a estimé que 46,9 millions d’utilisateurs DEEZER dans le monde étaient concernés, dont entre 12,7 et 21,6 millions au sein de l’Union européenne et 9,8 millions en France. Les données divulguées sur le darknet comprennent l’identité des personnes, leurs coordonnées électroniques, leur pays, leur langue, leur genre, leur date de naissance, ainsi qu’une multitude de paramètres comportementaux liés à leur utilisation de la plateforme DEEZER : habitudes d’écoute, playlists, artistes favoris, date du premier paiement, historique des paiements, cycle de vie et indicateurs d’étapes du cycle de vie. Ces données, si elles datent de 2019, conservent une valeur malveillante élevée en raison du caractère constant ou pérenne de certaines d’entre elles (identité, adresses électroniques), les exposant à des risques de phishing personnalisé.
II.
L’applicabilité du RGPD et la compétence de la CNIL à l’égard d’un sous-traitant non établi dans l’Union
MOBIUS SOLUTIONS LTD ne disposant d’aucun établissement sur le territoire d’un État membre de l’Union européenne, la première question que la formation restreinte doit trancher est celle de l’applicabilité territoriale du RGPD à son égard. La formation restreinte écarte l’application de l’article 3, paragraphe 1, du RGPD — inapplicable faute d’établissement dans l’Union — et examine les deux critères de l’article 3, paragraphe 2.
Elle retient l’applicabilité sur le fondement de l’article 3-2-b : le traitement mis en œuvre par MOBIUS — création de segments d’utilisateurs fondés sur des critères socio-démographiques et comportementaux à partir des données DEEZER, en vue de permettre à ce client de personnaliser ses campagnes marketing — doit être qualifié de profilage comportemental lié au comportement des personnes au sein de l’Union. La formation restreinte s’appuie sur les lignes directrices 3/2018 du CEPD, qui précisent que lorsque les activités d’un responsable de traitement sont liées au ciblage de personnes dans l’Union, tout sous-traitant effectuant ce traitement pour le compte du responsable relève du champ d’application du RGPD. Elle ajoute que la seule activité d’hébergement des données de DEEZER par MOBIUS, en vue de la réalisation du ciblage publicitaire, suffit à caractériser cette soumission territoriale.
Par voie de conséquence, le mécanisme du guichet unique prévu par l’article 56 du RGPD est inapplicable, MOBIUS ne disposant d’aucun établissement dans l’Union. La CNIL est donc directement et souverainement compétente pour contrôler la conformité des traitements mis en œuvre par la société sur le territoire français. L’argument fondé sur le principe de courtoisie internationale — tiré de ce qu’Israël bénéficie d’une décision d’adéquation de la Commission européenne du 31 janvier 2011 — est rejeté sans ambiguïté : la décision d’adéquation ne concerne que les transferts de données et ne détermine pas la compétence des autorités de contrôle dans le cadre de procédures de sanction ; quant au principe de courtoisie internationale, il constitue un ensemble d’usages non obligatoires, insusceptibles de primer sur les règles d’ordre public du RGPD.
III.
Les trois manquements retenus : un panorama des obligations propres au sous-traitant
La délibération SAN-2025-014 se singularise par la nature des manquements retenus : non pas un manquement à l’obligation de sécurité de l’article 32 du RGPD, mais trois manquements ciblant exclusivement les obligations propres au statut de sous-traitant, telles que définies aux articles 28, 29 et 30 du RGPD.
Le premier manquement, fondé sur l’article 28.3.g du RGPD, porte sur l’obligation de suppression des données à l’issue de la relation contractuelle. Le contrat prévoyait expressément cette obligation à sa résiliation, intervenue le 1er décembre 2020. MOBIUS n’y a pourtant pas satisfait : la copie des données DEEZER est restée stockée dans son environnement de non-production jusqu’au 1er octobre 2023, soit près de trois ans après la fin du contrat. La société invoque le caractère non autorisé de la copie, réalisée à son insu par ses salariés. La formation restreinte rejette cet argument : MOBIUS est responsable des actions de ses salariés placés sous sa responsabilité et ne saurait invoquer l’absence de maîtrise de ses outils ou le défaut de contrôle de ses salariés pour s’exonérer de ses obligations contractuelles et réglementaires.
Le deuxième manquement, fondé sur l’article 29 du RGPD, sanctionne le traitement des données DEEZER en dehors de toute instruction du responsable de traitement. La société a copié les données non anonymisées des utilisateurs DEEZER vers son environnement de non-production afin d’améliorer les performances de sa propre plateforme Optimove — usage qui excède manifestement les instructions reçues de DEEZER. Aucune clause contractuelle n’autorisait MOBIUS à utiliser ces données pour améliorer ses propres services, fussent-ils destinés à DEEZER ou à d’autres clients. La formation restreinte note par ailleurs que la défense de la société, qui tente de rattacher cette copie à l’exécution normale du contrat, « laisse penser que la société a pu commettre de manière délibérée » ce manquement, aggravant ainsi l’appréciation de l’intentionnalité.
Le troisième manquement, fondé sur l’article 30 du RGPD, est d’ordre formel : la société n’a pas tenu de registre des activités de traitement en sa qualité de sous-traitant, bien que le traitement effectué pour le compte de DEEZER ne fût pas occasionnel. La société a opposé l’existence d’un data processing addendum (DPA) censé contenir les informations requises, mais la formation restreinte relève que ce document contractuel ne se substitue pas à un registre formellement tenu, et qu’il manquait en outre l’information relative aux coordonnées du délégué à la protection des données du responsable de traitement.
IV.
La défense rejetée et l’appréciation de la gravité
La stratégie défensive de MOBIUS repose sur trois axes principaux : le caractère accidentel de la copie, l’absence d’intention fautive et la situation financière déficitaire de la société. La formation restreinte écarte chacun de ces arguments avec une motivation précise et documentée. S’agissant du caractère accidentel, elle rappelle que la responsabilité du sous-traitant à l’égard de ses salariés est une responsabilité directe, que la copie a été stockée pendant trois ans dans son propre intérêt et dans ses propres systèmes, et que la société a dans un premier temps contesté toute responsabilité. S’agissant de l’intention, elle relève une négligence certaine, que la position défensive ultérieure de la société risque de transformer en manquement délibéré.
L’appréciation de la gravité des manquements s’appuie sur les critères de l’article 83, paragraphe 2, du RGPD. La formation restreinte retient successivement : la nature et la gravité des violations, compte tenu du caractère massif de la violation de données ayant exposé des dizaines de millions de personnes à un risque de phishing personnalisé ; le degré de négligence, voire d’intentionnalité possible, de la société ; et le caractère tardif des mesures correctives, la suppression définitive de la copie litigieuse n’étant intervenue que onze mois après la notification de la violation et plus de deux ans après que les données avaient été mises en vente sur le darknet.
POINTS ESSENTIELS
27.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats