Responsabilité du sous-traitant : la CNIL sanctionne Mobius Solutions Ltd, ancien fournisseur de solutions Saas pour Deezer, à hauteur de 1 000 000 €
.webp)
Le 11 décembre 2025, la CNIL a prononcé une amende de 1 000 000 € à l’encontre de Mobius Solutions Ltd, ancien sous-traitant de Deezer, pour plusieurs manquements graves au RGPD, notamment en matière de conservation des données et de respect des instructions contractuelles.
La décision a été rendue publique, marquant la volonté de l’autorité de renforcer l’effet dissuasif de sa doctrine de contrôle.
- Une violation de données personnelles notifiée par Deezer à l’origine de la procédure
La procédure trouve son origine dans la notification par Deezer d’une violation de données survenue en novembre 2022, portant sur des informations relatives à plusieurs dizaines de millions d’utilisateurs.
Au cours des investigations, la CNIL a établi que Mobius Solutions Ltd, fournisseur Saas de la solution Optimove permettant à ses clients de créer et d’exécuter des campagnes marketing personnalisées, avait conservé une copie des données traitées pour le compte de Deezer au-delà de la fin du contrat (datée du 1er décembre 2020), et que ces données avaient été stockées dans son propre environnement technique sans instruction explicite du responsable de traitement.
- Les manquements retenus à l’encontre du sous-traitant de Deezer – une application stricte des obligations de l’article 28 RGPD
La CNIL a constaté plusieurs manquements imputables au sous-traitant :
- Conservation des données après expiration du contrat / Art. 28(3)(g) / Obligation de supprimer ou restituer les données à l’issue de la prestation.
- Traitement hors instruction / Art. 29 / Interdiction pour le sous-traitant d’utiliser les données à ses propres fins (développement interne, tests, etc.).
- Absence de registre de traitements conforme / Art. 30(2) / Obligation applicable même aux sous-traitants opérant hors UE dès lors qu’ils traitent des données de résidents européens.
- Les arguments soulevés par Mobius Solutions Ltd – et rejetés par la CNIL
Tout d’abord, la société Mobius Solutions Ltd conteste la compétence de la CNIL et considère n’être qu’indirectement soumise à certaines obligations de l’article 28, paragraphe 3 du RGPD, imposées par la société Deezer. Sur ce point, la CNIL relève que la société Mobius Solutions Ltd traite pour le compte de Deezer des données à caractère personnel des utilisateurs des services Deezer, situés au sein de l’Union européenne et notamment en France (le nombre d’utilisateurs en Europe, impactés par la violation de données, s’élevant à 21 574 775, dont 9 849 354 en France). Le RGPD est donc pleinement applicable aux activités de traitement de Mobius Solutions Ltd.
Ensuite, la société soutient que les données qui ont fait l’objet de la violation de données sont issues d’une copie non autorisée de données non anonymisées des utilisateurs de la société Deezer, réalisée par trois de ses salariés. La CNIL rejette fermement cet argument en rappelant que cela n’a aucune incidence sur ses obligations en tant que sous-traitant « dès lors qu’il lui incombait de vérifier les opérations réalisées par les salariés placés sous sa responsabilité. La société ne saurait invoquer l’absence de maîtrise de ses outils ou l’absence de contrôle et de direction de l’activité de ses salariés pour éluder sa responsabilité, alors qu’il lui revenait de s’assurer des conditions du traitement qu’elle mettait en œuvre. »
- Les critères retenus pour fixer l’amende à 1 000 000 €
La CNIL inflige à la société Mobius Solutions Ltd une amende conséquente en précisant, de manière pédagogique, chaque élément pris en compte pour la fixation de cette amende, à savoir :
- l’ampleur de la violation (« plus de 200 millions de personnes dans le monde auraient été concernées, ces données concernant des utilisateurs de DEEZER et des données d'autres clients de MOBIUS »);
- le risque avéré d’exposition (« la copie irrégulière des données par la société a eu un caractère dommageable pour les personnes concernées, dans la mesure où de nombreuses données ont été divulguées sur le darknet concernant non seulement leur identité (nom, prénom, âge), leurs coordonnées (adresse électronique) mais aussi leurs habitudes d’écoute sur la plateforme DEEZER ») ;
- la négligence de la société Mobius.
La CNIL considère en outre que la publicité de la sanction est justifiée « compte tenu de l’important retentissement de la violation de données en cause, de la gravité des manquements constitués et du nombre de personnes concernées, lesquelles doivent être informées ».
- Enseignements pratiques pour les sous-traitants et les responsables de traitement
Par cette décision, la CNIL envoie un rappel clair aux fournisseurs de solutions Saas et, de manière générale, aux sous-traitants de données personnelles sur leurs obligations au sens du RGPD et notamment :
- Le RGPD s’applique pleinement aux sous-traitants non établis dans l’UE dès lors qu’ils traitent les données de personnes situées dans l’Union.
- Les clauses de fin de contrat et de réversibilité ne sont pas accessoires : elles sont désormais un sujet de contrôle prioritaire des autorités.
- La gouvernance interne du sous-traitant (journaux d’accès, gestion des environnements de tests, interdiction des copies locales) doit être documentée et auditée
- Lorsqu’un sous-traitant est amené à conserver des données à des fins techniques internes, cela doit être expressément prévu.
Et parce que la responsabilité de Deezer n’est pas recherchée, elle met en évidence l’importance fondamentale pour les responsables de traitement de conclure et négocier des accords de sous-traitance (Data Processing Agreements (DPA)) en particulier les clauses de :
- suppression / restitution des données,
- interdiction de réutilisation des données ou de finalités secondaires,
- et audits de conformité du sous-traitant après fin de contrat.
Pour toute question ou besoin d’accompagnement, n’hésitez pas à contacter notre équipe IT/Data !
Jeannie Mongouachon, avocate associée et Juliette Lobstein, avocate collaboratrice chez Squair
.png)
