La CNIL a sanctionné lourdement un sous-traitant « très négligent » à l’origine d’une violation de données. Retour sur une décision qui rappelle les obligations essentielles des sous-traitants au titre du RGPD.
Une violation de données notifiée par le responsable de traitement et mettant en cause son sous-traitant
La célèbre société DEEZER a notifié, en novembre 2022, une violation de données à la CNIL impliquant des millions d’utilisateurs dans le monde entier. Selon la société DEEZER, cette violation de données incombait très probablement à son sous-traitant, la société MOBIUS, en charge de l’optimisation des campagnes marketing à destination de ses utilisateurs.
Après avoir procédé à un contrôle sur pièces, la CNIL a effectivement constaté que les faits supposés par la société DEEZER étaient avérés.
La CNIL a retenu plusieurs manquements au RGDP commis par la société MOBIUS dont un qui mérite d’être particulièrement souligné : le sous-traitant avait conservé des données personnelles des utilisateurs après la fin du contrat qui liait la société DEEZER à la société MOBIUS…
Une sanction liée notamment à l’absence de suppression des données au terme de la prestation de sous-traitance
Conformément au RGPD, le sous-traitant ne doit pas conserver les données d’un responsable de traitement au terme de la prestation[1].
En l’occurrence, la CNIL a constaté que, au moment de la violation de données, des données de plusieurs millions d’utilisateurs de la société DEEZER étaient présentes sur un environnement de non-production de la société MOBIUS. Pourtant, le contrat liant les sociétés MOBIUS et DEEZER avait pris fin et celui-ci prévoyait la suppression des données des utilisateurs de DEEZER par la société MOBIUS à son terme.
Pour justifier cette situation, le sous-traitant avançait qu’il ignorait qu’une copie des données avait été réalisée, copie qui avait été réalisée à son insu sur l’environnement de non-production par plusieurs salariés, à des fins d’amélioration des services.
La CNIL a considéré qu’il incombait au sous-traitant de « vérifier les opérations réalisées par les salariés placés sous sa responsabilité ». Selon l’autorité, l’absence de maîtrise des outils par le sous-traitant ou encore l’absence de contrôle et de directive de l’activité des salariés du sous-traitant n’exonère par le sous-traitant de sa responsabilité à qui il appartenait « de s’assurer des conditions du traitement qu’il mettait en œuvre ».
Pour la CNIL, le sous-traitant a commis un manquement à l’article 28.3 g) du RGPD en conservant « de manière injustifiée » des données du responsable de traitement à la fin du contrat les liant « alors que ces données auraient dû être supprimées ».
A noter que la CNIL a également retenu un manquement à l’article 29 du RGPD, en estimant que la société MOBIUS avait donc traité les données en dehors des instructions du responsable de traitement.
Une sanction importante adaptée à un sous-traitant « très négligent »
La CNIL a considéré que le sous-traitant a « fait preuve d’une négligence certaine ». Selon la CNIL, la société MOBIUS a même « pu commettre de manière délibérée le manquement à l’article 29 du RGPD » dans la mesure où cette société a considéré que la copie des données litigieuses pourrait « relever de l’exécution normale du contrat avec la société DEEZER ».
Compte tenu de ces éléments ainsi que du caractère massif de la violation de données (des centaines de millions d’utilisateurs dans le monde et près de 10 millions en France) et du risque pour les droits et libertés des personnes des données qui ont fuité – certaines données ayant trait à l’identité -, la CNIL a prononcé une amende administrative d’un million d’euros. Source : Délibération SAN-2025-014 du 11 décembre 2025
[1] Article 28.3 g) du RGPD combiné au considérant 81 et à l’article 5.1 e) du RGPD.