Violation de données : sanction d’un million d’euros à l’encontre de la société MOBIUS SOLUTIONS LTD

Le contexte

En novembre 2022, la CNIL s’est vue notifier une violation de données par la société DEEZER. Cette dernière mentionnait la mise en ligne de données de ses utilisateurs sur le darknet et l’implication de son ancien sous-traitant, la société MOBIUS SOLUTIONS LTD, dont elle utilisait les services pour réaliser des campagnes publicitaires personnalisées à destination de ses clients.

En 2023 et 2024, la CNIL a réalisé des contrôles sur pièces auprès de la société MOBIUS SOLUTIONS LTD.

Sur la base de ces contrôles, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a considéré que la société avait manqué, en sa qualité de sous-traitant, à plusieurs obligations prévues par le RGPD.

La formation restreinte a ainsi prononcé une amende d’un million d’euros et a décidé de rendre publique sa décision. Le montant de cette amende a été décidé au regard de la gravité des manquements retenus, du nombre de personnes concernées par la violation de données et du chiffre d’affaires de la société MOBIUS SOLUTIONS LTD.

Les manquements sanctionnés

Un manquement à l’obligation pour le sous-traitant de supprimer les données du responsable de traitement à la fin de la relation contractuelle (article 28.3.g du RGPD)

La société MOBIUS SOLUTIONS LTD a conservé une copie des données de plus de 46 millions d’utilisateurs de la société DEEZER après la fin de leur relation contractuelle, malgré son obligation de supprimer l’ensemble de ces données à l’issue du contrat.

La société a indiqué que ces données avaient été copiées par trois de ses salariés, sans l’en informer. Or, la formation restreinte retient que la société était responsable de leurs actions, les données étant stockées sur un environnement de non-production de la société avec des données d’autres clients.

Cette conservation illicite des données a induit un risque pour la sécurité des données des personnes.

Un manquement à l’obligation pour le sous-traitant de respecter les instructions du responsable de traitement (article 29 du RGPD)

La société MOBIUS SOLUTIONS LTD a copié et utilisé les données de la société DEEZER en dehors de toute instruction du responsable de traitement, afin d’améliorer les performances de ses propres services, fournis à travers sa plateforme permettant de réaliser des campagnes publicitaires personnalisées.

La société a indiqué que la copie des données des utilisateurs pouvait entrer dans le cadre de l’exécution du contrat, dans une perspective d’amélioration générale des services qu’elle fournissait à la société DEEZER. La formation restreinte considère, au contraire, qu’aucune clause contractuelle n’autorisait la société MOBIUS SOLUTIONS LTD à utiliser les données de la société DEEZER pour une telle finalité, sans instruction préalable du responsable de traitement.

Un manquement à l’obligation de tenir un registre des activités de traitement (article 30 du RGPD)

Sauf exception, le registre des activités de traitement est un outil obligatoire pour les organismes publics ou privés qui traitent des données personnelles. Un sous-traitant qui traite des données pour le compte d’un responsable de traitement doit également tenir un registre des données sous-traitées.

Or, la société MOBIUS SOLUTIONS LTD n’a pas tenu de registre de ses activités de traitement en sa qualité de sous-traitant.

L’applicabilité du RGPD et la compétence de la CNIL

Pour pouvoir la sanctionner la société MOBIUS SOLUTIONS LTD, alors même qu’elle n’est pas établie sur le territoire de l’Union européenne, la formation restreinte a retenu que les traitements mis en œuvre en sa qualité de sous-traitante, consistant en l’analyse, la segmentation et l’hébergement des données d’utilisateurs de la société DEEZER, devaient être qualifiés de suivi du comportement des personnes.

Le mécanisme de coopération prévu par le RGPD (mécanisme de « guichet unique ») n’a pas vocation à s’appliquer dans cette procédure, dans la mesure où la société n’a pas d’établissement sur le territoire d’un État membre de l’Union européenne. La CNIL est compétente pour contrôler la conformité des traitements mis en œuvre par la société MOBIUS SOLUTIONS LTD pour le compte de la société DEEZER sur le territoire français.