Le 11 décembre 2025, la Commission nationale de l’informatique et des libertés (ci-après « la Cnil) a prononcé une amende de 1 million d’euros à l’encontre de la société Mobius Solutions Ltd, ancien prestataire de Deezer, à la suite d’une violation massive de données personnelles concernant plus de 46 millions d’utilisateurs. Au-delà de l’incident lui-même, cette décision illustre avec force un principe désormais bien établi : un sous-traitant engage pleinement sa responsabilité lorsqu’il traite des données personnelles, y compris après la fin de la relation contractuelle.
Une fuite de données révélée à la suite d’une notification du responsable de traitement
L’affaire trouve son origine dans une notification de violation adressée à la Cnil par Deezer en novembre 2022, après la découverte de données d’utilisateurs accessibles sur le darknet. Les investigations ont permis d’identifier l’origine de la fuite : des copies non autorisées de bases de données réalisées par des salariés de Mobius Solutions Ltd, société alors chargée de campagnes publicitaires personnalisées pour le compte de la plateforme musicale.
À la suite de cette notification, la Cnil a conduit plusieurs contrôles documentaires en 2023 et 2024, afin d’analyser les conditions dans lesquelles les données avaient été conservées et utilisées par le sous-traitant.
Trois manquements caractérisés aux obligations du RGPD
À l’issue de la procédure, la formation restreinte de la Cnil a retenu trois manquements principaux au RGPD.
Premièrement, Mobius Solutions Ltd a conservé des copies des données de plus de 46 millions d’utilisateurs après la cessation de sa relation contractuelle avec Deezer, en violation de son obligation de suppression ou de restitution des données à l’issue du contrat de sous-traitance.
Deuxièmement, l’entreprise a réutilisé ces données pour ses propres finalités, notamment dans le but d’améliorer ses services, sans instruction ni autorisation du responsable de traitement. Ce comportement constitue une violation directe de l’article 28 du RGPD, qui interdit au sous-traitant de traiter les données en dehors des instructions documentées.
Enfin, Mobius n’avait pas mis en place de registre des activités de traitement, pourtant obligatoire pour les sous-traitants au titre de l’article 30 du RGPD. Cette carence a privé l’entreprise d’un outil essentiel de pilotage et de traçabilité de ses traitements.
Une violation de données d’ampleur, loin d’une simple erreur technique
Au sens du RGPD, une violation de données personnelles correspond à un incident de sécurité entraînant une destruction, une perte, une altération ou une divulgation non autorisée de données. En l’espèce, la copie et la conservation de données dans des environnements non prévus à cet effet ont créé un risque élevé pour les droits et libertés de millions de personnes.
Compte tenu du volume de données concernées, de leur diffusion sur des canaux illicites et de la durée des manquements, la Cnil a estimé que les faits reprochés excédaient largement le cadre d’une défaillance ponctuelle ou administrative, justifiant ainsi une sanction financière significative.
Une sanction proportionnée et rendue publique
La sanction a été prononcée à l’issue d’une procédure contradictoire menée sur plusieurs mois. La formation restreinte a tenu compte de la gravité des manquements, du nombre de personnes concernées et de la situation économique de l’entreprise pour fixer le montant de l’amende.
La décision a par ailleurs été rendue publique, conformément à la pratique de la Cnil dans les affaires présentant un intérêt particulier pour la compréhension des obligations issues du RGPD. Cette publicité contribue à la fonction pédagogique de la sanction et à la diffusion des exigences applicables aux sous-traitants.
Un signal fort adressé aux sous-traitants du numérique
Cette décision s’inscrit dans une tendance constante de la régulation européenne : la responsabilité en matière de protection des données ne repose pas exclusivement sur les responsables de traitement. Les sous-traitants, y compris techniques ou spécialisés, sont tenus de respecter strictement les obligations du RGPD et peuvent être sanctionnés directement en cas de manquement.
En sanctionnant Mobius Solutions Ltd, la Cnil rappelle que la sécurité des données personnelles et le respect des instructions contractuelles constituent des obligations substantielles, dont la méconnaissance expose désormais chaque acteur de la chaîne de traitement à un risque juridique et financier significatif.
Par LOCK-T
Avec la participation de Divine ANTONIO, stagiaire