Le 11 d\u00e9cembre 2025, la Commission nationale de l\u2019informatique et des libert\u00e9s (ci-apr\u00e8s \u00ab\u00a0la Cnil) a prononc\u00e9 une amende de 1 million d\u2019euros \u00e0 l\u2019encontre de la soci\u00e9t\u00e9 Mobius Solutions Ltd, ancien prestataire de Deezer, \u00e0 la suite d\u2019une violation massive de donn\u00e9es personnelles concernant plus de 46 millions d\u2019utilisateurs. Au-del\u00e0 de l\u2019incident lui-m\u00eame, cette d\u00e9cision illustre avec force un principe d\u00e9sormais bien \u00e9tabli : un sous-traitant engage pleinement sa responsabilit\u00e9 lorsqu\u2019il traite des donn\u00e9es personnelles, y compris apr\u00e8s la fin de la relation contractuelle.<\/p>\n\n\n\n
L\u2019affaire<\/a> trouve son origine dans une notification de violation adress\u00e9e \u00e0 la Cnil par Deezer en novembre 2022, apr\u00e8s la d\u00e9couverte de donn\u00e9es d\u2019utilisateurs accessibles sur le darknet. Les investigations ont permis d\u2019identifier l\u2019origine de la fuite : des copies non autoris\u00e9es de bases de donn\u00e9es r\u00e9alis\u00e9es par des salari\u00e9s de Mobius Solutions Ltd, soci\u00e9t\u00e9 alors charg\u00e9e de campagnes publicitaires personnalis\u00e9es pour le compte de la plateforme musicale. <\/p>\n\n\n\n \u00c0 la suite de cette notification, la Cnil a conduit plusieurs contr\u00f4les documentaires en 2023 et 2024, afin d\u2019analyser les conditions dans lesquelles les donn\u00e9es avaient \u00e9t\u00e9 conserv\u00e9es et utilis\u00e9es par le sous-traitant.<\/p>\n\n\n\n \u00c0 l\u2019issue de la proc\u00e9dure, la formation restreinte de la Cnil a retenu trois manquements principaux au RGPD.<\/p>\n\n\n\n Premi\u00e8rement, Mobius Solutions Ltd a conserv\u00e9 des copies des donn\u00e9es de plus de 46 millions d\u2019utilisateurs apr\u00e8s la cessation de sa relation contractuelle avec Deezer, en violation de son obligation de suppression ou de restitution des donn\u00e9es \u00e0 l\u2019issue du contrat de sous-traitance.<\/p>\n\n\n\n Deuxi\u00e8mement, l\u2019entreprise a r\u00e9utilis\u00e9 ces donn\u00e9es pour ses propres finalit\u00e9s, notamment dans le but d\u2019am\u00e9liorer ses services, sans instruction ni autorisation du responsable de traitement. Ce comportement constitue une violation directe de l\u2019article 28 du RGPD, qui interdit au sous-traitant de traiter les donn\u00e9es en dehors des instructions document\u00e9es. <\/p>\n\n\n\n Enfin, Mobius n\u2019avait pas mis en place de registre des activit\u00e9s de traitement, pourtant obligatoire pour les sous-traitants au titre de l\u2019article 30 du RGPD. Cette carence a priv\u00e9 l\u2019entreprise d\u2019un outil essentiel de pilotage et de tra\u00e7abilit\u00e9 de ses traitements.<\/p>\n\n\n\n Au sens du RGPD, une violation de donn\u00e9es personnelles correspond \u00e0 un incident de s\u00e9curit\u00e9 entra\u00eenant une destruction, une perte, une alt\u00e9ration ou une divulgation non autoris\u00e9e de donn\u00e9es. En l\u2019esp\u00e8ce, la copie et la conservation de donn\u00e9es dans des environnements non pr\u00e9vus \u00e0 cet effet ont cr\u00e9\u00e9 un risque \u00e9lev\u00e9 pour les droits et libert\u00e9s de millions de personnes. <\/p>\n\n\n\n Compte tenu du volume de donn\u00e9es concern\u00e9es, de leur diffusion sur des canaux illicites et de la dur\u00e9e des manquements, la Cnil a estim\u00e9 que les faits reproch\u00e9s exc\u00e9daient largement le cadre d\u2019une d\u00e9faillance ponctuelle ou administrative, justifiant ainsi une sanction financi\u00e8re significative.<\/p>\n\n\n\n La sanction a \u00e9t\u00e9 prononc\u00e9e \u00e0 l\u2019issue d\u2019une proc\u00e9dure contradictoire men\u00e9e sur plusieurs mois. La formation restreinte a tenu compte de la gravit\u00e9 des manquements, du nombre de personnes concern\u00e9es et de la situation \u00e9conomique de l\u2019entreprise pour fixer le montant de l\u2019amende.<\/p>\n\n\n\n La d\u00e9cision a par ailleurs \u00e9t\u00e9 rendue publique, conform\u00e9ment \u00e0 la pratique de la Cnil dans les affaires pr\u00e9sentant un int\u00e9r\u00eat particulier pour la compr\u00e9hension des obligations issues du RGPD. Cette publicit\u00e9 contribue \u00e0 la fonction p\u00e9dagogique de la sanction et \u00e0 la diffusion des exigences applicables aux sous-traitants.<\/p>\n\n\n\n Cette d\u00e9cision s\u2019inscrit dans une tendance constante de la r\u00e9gulation europ\u00e9enne : la responsabilit\u00e9 en mati\u00e8re de protection des donn\u00e9es ne repose pas exclusivement sur les responsables de traitement. Les sous-traitants, y compris techniques ou sp\u00e9cialis\u00e9s, sont tenus de respecter strictement les obligations du RGPD et peuvent \u00eatre sanctionn\u00e9s directement en cas de manquement. <\/p>\n\n\n\n En sanctionnant Mobius Solutions Ltd, la Cnil rappelle que la s\u00e9curit\u00e9 des donn\u00e9es personnelles et le respect des instructions contractuelles constituent des obligations substantielles, dont la m\u00e9connaissance expose d\u00e9sormais chaque acteur de la cha\u00eene de traitement \u00e0 un risque juridique et financier significatif.<\/p>\n\n\n\n Par LOCK-T\u202f\u202f <\/p>\n\n\n\n Avec la participation de Divine ANTONIO, stagiaire\u202f<\/p>\n\n\n\n <\/p>\n","protected":false},"excerpt":{"rendered":" Le 11 d\u00e9cembre 2025, la Commission nationale de l\u2019informatique et des libert\u00e9s (ci-apr\u00e8s \u00ab\u00a0la Cnil) a prononc\u00e9 une amende de 1 million d\u2019euros \u00e0 l\u2019encontre de la soci\u00e9t\u00e9 Mobius Solutions Ltd, ancien prestataire de Deezer, \u00e0 la suite d\u2019une violation massive de donn\u00e9es personnelles concernant plus de 46 millions d\u2019utilisateurs. Au-del\u00e0 de l\u2019incident lui-m\u00eame, cette … Read more<\/a><\/p>\n","protected":false},"author":1,"featured_media":336,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[33,23],"tags":[],"type_ressource":[19],"class_list":["post-389","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cnil","category-rgpd","type_ressource-articles"],"_links":{"self":[{"href":"https:\/\/www.lock-t-avocat.com\/index.php\/wp-json\/wp\/v2\/posts\/389","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.lock-t-avocat.com\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.lock-t-avocat.com\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.lock-t-avocat.com\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.lock-t-avocat.com\/index.php\/wp-json\/wp\/v2\/comments?post=389"}],"version-history":[{"count":1,"href":"https:\/\/www.lock-t-avocat.com\/index.php\/wp-json\/wp\/v2\/posts\/389\/revisions"}],"predecessor-version":[{"id":390,"href":"https:\/\/www.lock-t-avocat.com\/index.php\/wp-json\/wp\/v2\/posts\/389\/revisions\/390"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.lock-t-avocat.com\/index.php\/wp-json\/wp\/v2\/media\/336"}],"wp:attachment":[{"href":"https:\/\/www.lock-t-avocat.com\/index.php\/wp-json\/wp\/v2\/media?parent=389"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.lock-t-avocat.com\/index.php\/wp-json\/wp\/v2\/categories?post=389"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.lock-t-avocat.com\/index.php\/wp-json\/wp\/v2\/tags?post=389"},{"taxonomy":"type_ressource","embeddable":true,"href":"https:\/\/www.lock-t-avocat.com\/index.php\/wp-json\/wp\/v2\/type_ressource?post=389"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Trois manquements caract\u00e9ris\u00e9s aux obligations du RGPD<\/h2>\n\n\n\n
Une violation de donn\u00e9es d\u2019ampleur, loin d\u2019une simple erreur technique<\/h2>\n\n\n\n
Une sanction proportionn\u00e9e et rendue publique<\/h2>\n\n\n\n
Un signal fort adress\u00e9 aux sous-traitants du num\u00e9rique<\/h2>\n\n\n\n