Le 11 décembre 2025, la CNIL a infligé une amende d’1 million d’euros à MOBIUS SOLUTIONS LTD, ancien sous-traitant de DEEZER, après la mise en ligne sur le darknet de données concernant des dizaines de millions d’utilisateurs. Au cœur de la décision : trois obligations souvent sous-estimées côté “prestataire” — supprimer les données en fin de contrat, ne traiter que sur instruction, et tenir un registre des traitements. La CNIL en profite aussi pour rappeler que le RGPD peut s’appliquer à un sous-traitant hors UE lorsqu’il participe à de la publicité comportementale et à la segmentation d’utilisateurs.
1. Une sanction qui vise le “maillon faible” : le sous-traitant, pas (seulement) la plateforme
L’affaire démarre par une notification de violation de données : en novembre 2022, DEEZER signale à la CNIL la découverte de données d’utilisateurs mises en ligne sur le darknet, en pointant l’implication de son ancien sous-traitant MOBIUS SOLUTIONS LTD, utilisé pour des campagnes publicitaires personnalisées.
Entre 2023 et 2024, la CNIL mène des contrôles sur pièces. Résultat : la formation restreinte retient plusieurs manquements au RGPD en qualité de sous-traitant et prononce :
- 1 000 000 € d’amende,
- et la publicité de la décision (avec une désidentification du nom à l’issue de deux ans).
Point important pour les entreprises : cette décision illustre un message très concret — la responsabilité RGPD ne s’arrête pas au responsable de traitement. Un prestataire qui “exécute” (héberge, segmente, analyse) peut être sanctionné directement si ses pratiques dérapent.
2. Fin de contrat : “on efface tout” n’est pas une formule, c’est une obligation
Premier grief : l’obligation, pour le sous-traitant, de supprimer les données à la fin de la relation (art. 28 §3 g du RGPD).
Dans cette affaire, la relation contractuelle a pris fin le 1er décembre 2020. Or, la CNIL constate la conservation d’une copie de données d’utilisateurs, qui sera encore présente longtemps après.
Ce que retient la formation restreinte est particulièrement pédagogique :
- la société explique que des données auraient été copiées par trois salariés, “sans que la direction ne le sache” ;
- mais la CNIL considère que l’entreprise reste responsable des actions de ses salariés, surtout lorsque les données sont stockées sur un environnement appartenant à la société (ici, un environnement de non-production).
En toile de fond, un principe simple : plus vous conservez, plus vous exposez. Une copie oubliée, un serveur de test, un stockage temporaire… et l’organisation se retrouve avec une bombe à retardement.
À retenir côté business :
- Prévoir contractuellement des clauses de suppression / restitution (délais, preuve, périmètre : prod + sauvegardes + environnements de test).
- Exiger des preuves de purge (attestation, logs, rapport d’effacement).
- Mettre en place une gouvernance interne : “qui peut copier ?”, “où ?”, “combien de temps ?”.
3. Traiter sur instruction, sinon rien : le RGPD interdit la “réutilisation opportuniste”
Deuxième grief : l’obligation de ne traiter les données que sur instruction du responsable de traitement (art. 29).
Ici, la CNIL reproche à MOBIUS d’avoir copié et utilisé les données en dehors des instructions, afin notamment d’améliorer les performances de ses propres services (sa plateforme).
La société soutenait que cela pouvait entrer dans l’exécution du contrat et l’amélioration des services rendus à DEEZER. La CNIL répond en substance : si ce n’est pas prévu / autorisé, ce n’est pas permis.
Concrètement, pour un sous-traitant, l’idée “on va entraîner nos modèles / améliorer nos outils grâce aux données du client” est hautement risquée si :
- ce n’est pas explicitement encadré,
- et surtout si cela revient à poursuivre une finalité propre au prestataire.
À retenir :
- Un sous-traitant ne peut pas “valoriser” des données client pour son intérêt propre, sauf cadre contractuel clair et instructions documentées.
- Les équipes techniques doivent être formées : un “copier-coller” vers un environnement de test peut devenir un traitement illicite, même sans intention malveillante.
4. Registre, extraterritorialité, guichet unique : trois rappels qui concernent (beaucoup) de prestataires
Troisième grief : l’absence de registre des activités de traitement (art. 30). La CNIL retient un manquement “formel” : même si certains documents contenaient des informations utiles, cela ne remplaçait pas un registre tenu en tant que sous-traitant.
Mais l’apport le plus structurant de la décision est ailleurs : l’applicabilité du RGPD à une société hors UE. MOBIUS étant établie en Israël et sans établissement dans l’UE, la formation restreinte considère que ses traitements (segmentation, analyse, hébergement) sont liés au suivi du comportement au sens de l’article 3 §2 b, notamment dans un contexte de publicité comportementale.
Conséquence pratique : pas de “zone grise” pour les prestataires hors UE dès lors qu’ils participent à des activités de ciblage d’utilisateurs dans l’Union.
Enfin, la CNIL rappelle que le mécanisme de “guichet unique” (one-stop-shop) ne s’applique pas ici : sans établissement dans un État membre, chaque autorité nationale peut être compétente sur son territoire — et donc la CNIL peut contrôler et sanctionner.
A retenir :
Ce que les entreprises devraient faire dès maintenant (checklist courte)
- Cartographier les traitements sous-traités (quelles données ? où ? pourquoi ?).
- Encadrer contractuellement : instruction écrite, sous-traitance ultérieure, audits, fin de contrat.
- Sécuriser les “angles morts” : environnements de test, accès internes, contrôle des exports, chiffrement, journalisation.
- Exiger et vérifier la suppression effective en fin de prestation.
- Tenir un registre sous-traitant (même “simple”), et le maintenir à jour.
Référence : Délibération CNIL SAN-2025-014 du 11 décembre 2025, MOBIUS SOLUTIONS LTD.
***
Pour toute demande de conseil juridique, n’hésitez pas à nous contacter. Vous pouvez dès à présent demander un devis gratuit ici.
