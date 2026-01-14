En novembre 2022, la CNIL s'est vue notifier une violation de données par la société DEEZER, mentionnant la mise en ligne de données de ses utilisateurs sur le darknet. Cette violation impliquait son ancien sous-traitant, la société MOBIUS SOLUTIONS, qui réalisait des campagnes publicitaires personnalisées pour ses clients. À l'issue de contrôles effectués en 2023 et 2024, la CNIL a constaté que la société MOBIUS SOLUTIONS avait manqué, en sa qualité de sous-traitant, à plusieurs obligations prévues par le RGPD.

Sur le manquement à l'obligation pour le sous-traitant de supprimer les données du responsable de traitement à la fin de la relation contractuelle

Conformément à l'article 28.3.g du RGPD, le sous-traitant doit supprimer toutes les données du responsable de traitement à la fin de la relation contractuelle. En l'espèce, la société MOBIUS SOLUTIONS a conservé une copie des données de plus de 46 millions d'utilisateurs de DEEZER après la fin de leur relation contractuelle. Constatant que ces données avaient été copiées par 3salariés et stockées avec des données d'autres clients, la CNIL a considéré que la société était responsable des actions de ses salariés et que cette conservation illicite induisait un risque pour la sécurité des données.

Sur le manquement à l'obligation de respecter les instructions du responsable de traitement

Conformément à l'article 29 du RGPD, le sous-traitant doit traiter les données uniquement sur instruction du responsable de traitement. En l'espèce, la société MOBIUS SOLUTIONS a copié et utilisé les données de DEEZER en dehors de toute instruction, afin d'améliorer les performances de ses propres services. Constatant qu'aucune clause contractuelle n'autorisait la société à utiliser les données pour une telle finalité, la CNIL a retenu un manquement à cette obligation.

Sur le manquement à l'obligation de tenir un registre des activités de traitement :

Conformément à l'article 30 du RGPD, le sous-traitant doit tenir un registre de ses activités de traitement. En l'espèce, la société MOBIUS SOLUTIONS n'a pas tenu de registre de ses activités de traitement en sa qualité de sous-traitant, contrevenant ainsi à cette obligation.

Bien que la société ne soit pas établie dans l'Union européenne, la CNIL s'est reconnue compétente, les traitements mis en Suvre constituant un suivi du comportement des personnes sur le territoire français pour le compte de la société Deezer. Ainsi, la CNIL a prononcé à l'encontre du sous-traitant une amende d'1 million d'Euros, assortie de la publicité de la décision, tenant compte de la gravité des manquements, du nombre de personnes concernées et du chiffre d'affaires de la société.

Source : Délibération SAN-2025-014 du 11 décembre 2025

SOURCE

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.