La CNIL frappe Mobius Solutions d’une amende d’un million d’euros
Acteur du marketing, Mobius Solutions est à l’origine d’une fuite de données des clients de Deezer à cause de multiples fautes.
La société Deezer, qui édite un service de streaming musical, avait notifié une fuite de données en novembre 2022 à la CNIL. Elle avait en effet découvert des données concernant ses clients en vente sur le Darknet. Mais elle n’était pas directement en cause et l’enquête menée par Deezer même permit de découvrir la source de cette fuite, en l’occurrence un sous-traitant ayant commis plusieurs fautes : le spécialiste du marketing Mobius Solutions Ltd. La CNIL a sanctionné celui-ci avec une amende d’un million d’euros.
Deezer avait eu recours au SaaS Optimove édité par la société israélienne Mobius Solutions Ltd pour mener des campagnes marketing personnalisées. Contractuellement comme réglementairement, Mobius Solutions devait détruire les données de Deezer une fois celles-ci utilisées et l’opération achevée. Or les données avaient été recopiées afin d’enrichir la base de connaissance de l’éditeur et l’argument selon lequel cette recopie aurait été le fruit d’une initiative individuelle a été écarté par la CNIL. Des données de plusieurs clients ont en effet été retrouvées et, de toute manière, les données auraient dû être protégées.
Bien qu’établie hors de l’Union Européenne, Mobius Solutions est bien soumise au RGPD dès lors qu’elle traite des données de citoyens européens. Elle se devait donc de supprimer les données une fois le contrat achevé et de n’en réaliser aucune autre utilisation. Outre ces deux premières fautes, Mobius Solutions ne tenait aucun registre des traitements et, enfin, s’est retrouvé en défaut de sécurité.