Source: CNIL (19 décembre 2025). La CNIL annonce avoir sanctionné MOBIUS SOLUTIONS LTD, ex-sous-traitant de Deezer, à l’origine d’une violation de données notifiée en novembre 2022, pour plusieurs manquements au RGPD en matière de sous-traitance.

⚖️ Décision et contexte. Après des contrôles sur pièces en 2023 et 2024, la formation restreinte de la CNIL inflige une amende de 1 000 000 € et rend publique sa décision, au regard de la gravité des manquements, du nombre de personnes concernées et du chiffre d’affaires de la société.

🔍 Manquements constatés:

  • Article 28.3.g RGPD – Suppression en fin de contrat: conservation d’une copie des données de plus de 46 millions d’utilisateurs de Deezer après la fin de la relation contractuelle. Trois salariés ont copié ces données, stockées sur un environnement de non-production de la société avec des données d’autres clients; la société est tenue responsable de leurs actions. Cette conservation illicite a induit un risque pour la sécurité des données.
  • Article 29 RGPD – Respect des instructions: copie et utilisation des données en dehors des instructions du responsable de traitement, pour améliorer les performances des services de la plateforme de campagnes publicitaires. Aucune clause contractuelle n’autorisait cette finalité.
  • Article 30 RGPD – Registre des activités: absence de registre des activités de traitement en qualité de sous-traitant.

🌍 Applicabilité et compétence. Le RGPD s’applique car les traitements réalisés (analyse, segmentation, hébergement des données d’utilisateurs de Deezer) sont qualifiés de suivi du comportement. Le guichet unique ne s’applique pas, l’entreprise n’ayant pas d’établissement dans l’UE; la CNIL est compétente pour les traitements mis en œuvre pour le compte de Deezer en France.

📄 Références. Délibération SAN-2025-014 du 11 décembre 2025 (Légifrance). Textes cités: Article 3 (champ d’application territorial), Article 28.3.g, Article 29, Article 30 du RGPD.

Type d’article: annonce officielle de sanction administrative visant à exposer les manquements de conformité et leurs fondements juridiques.

🔗 Source originale : https://www.cnil.fr/fr/violation-de-donnees-sanction-dun-million-deuros-lencontre-de-la-societe-mobius-solutions-ltd