Portée extraterritoriale du RGPD et responsabilité des sous-traitants – Délibération SAN-2025-014 du 11 décembre 2025
Une sanction CNIL emblématique en matière de protection des données
Par une décision du 11 décembre 2025, la CNIL a prononcé une sanction d’un million d’euros à l’encontre de la société MOBIUS SOLUTIONS LTD, société de droit israélien intervenant en qualité de sous-traitant de la plateforme Deezer.
Cette décision illustre de manière très concrète la portée extraterritoriale du RGPD et rappelle que les obligations en matière de protection des données à caractère personnel peuvent aussi s’imposer aux acteurs établis en dehors de l’Union européenne.
RGPD et société non européenne : pourquoi le règlement s’applique-t-il ?
MOBIUS SOLUTIONS LTD intervenait comme sous-traitant de Deezer dans le cadre de campagnes publicitaires personnalisées, impliquant notamment l’analyse des comportements des utilisateurs.
La CNIL a qualifié ces opérations de suivi du comportement des personnes dans l’Union, au sens de l’article 3 du RGPD.
En pratique : dès lors qu’un traitement vise des personnes situées dans l’Union européenne et porte sur le suivi de leur comportement, le RGPD s’applique, même sans établissement dans l’UE. La CNIL peut donc contrôler et sanctionner ce sous-traitant étranger.
Sous-traitant : un rôle encadré par des obligations strictes
Dans cette affaire, MOBIUS SOLUTIONS LTD agissait pour le compte de Deezer, en qualité de sous-traitant au sens du RGPD.
L’article 4 du RGPD définit le sous-traitant comme “la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement”.
À ce titre, elle devait notamment :
- traiter les données uniquement sur instruction documentée du responsable de traitement ;
- respecter le cadre contractuel prévu à l’article 28 du RGPD ;
- garantir la confidentialité et la sécurité des données traitées.
Quels manquements au RGPD ont été sanctionnés par la CNIL ?
La CNIL a retenu plusieurs violations caractérisées du RGPD.
❌ Conservation illicite des données personnelles :
Article 28, §3, g du RGPD : Le sous-traitant n’a pas supprimé les données à l’issue de la relation contractuelle et en a conservé une copie, en violation de ses obligations.
❌ Utilisation des données sans instruction du responsable de traitement :
Article 29 du RGPD : Les données traitées pour le compte de Deezer ont été utilisées afin d’améliorer les services propres du sous-traitant, sans instruction ni autorisation préalable.
❌ Absence de registre des activités de traitement :
Article 30 RGPD : MOBIUS SOLUTIONS LTD ne tenait aucun registre des activités de traitement, alors que cette obligation s’impose également aux sous-traitants lorsque les traitements ne sont pas occasionnels.
Quels enseignements en tirer pour les entreprises et les sous-traitants ?
Cette décision de la CNIL met en lumière plusieurs points clés :
- le RGPD peut s’appliquer aux acteurs non européens ;
- les sous-traitants peuvent être directement sanctionnés ;
- la conformité RGPD repose sur une traçabilité contractuelle et documentaire rigoureuse ;
- les obligations post-contractuelles (suppression des données, restitution) sont essentielles.
Conclusion : un signal fort en matière de conformité RGPD
La sanction infligée à MOBIUS SOLUTIONS LTD constitue un signal fort adressé aux sous-traitants du numérique, en particulier lorsqu’ils interviennent pour des entreprises européennes.
Elle confirme que la conformité RGPD doit être anticipée et structurée, tant pour les responsables de traitement que pour leurs prestataires.
Lien vers la décision complète de la CNIL : https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000053048614
Besoin d’accompagnement en matière de conformité RGPD ?
Vous travaillez avec des sous-traitants hors UE, ou vous souhaitez sécuriser vos relations contractuelles et vos traitements de données personnelles ?