Le 26 juillet 2021, la Commission Nationale de l’Informatique et des Libertés (« CNIL ») a prononcé une amende de 400 000 euros à l’encontre de la société MONSANTO COMPANY (la « société Monsanto »).
Sur le contexte
En mai 2019, plusieurs médias ont révélé qu’entre 2016 et 2017, dans le contexte d’une campagne de représentation d’intérêts, la société Monsanto avait mandaté deux sociétés pour constituer un fichier contenant les données personnelles de plus de 200 personnalités susceptibles d’influencer le débat sur le renouvellement de l’autorisation du glyphosate en Europe.
Saisie de 7 plaintes à ce sujet entre les mois de mai et septembre 2019, la CNIL a procédé à plusieurs opérations de contrôle auprès de la société Monsanto et des sociétés mandatées. Dans ce cadre, elle a constaté plusieurs manquements au Règlement général sur la protection des données (« RGPD ») imputables à la société Monsanto en tant que responsable de traitement au sens de l’article 4(7) du RGPD, celle-ci ayant déterminé les finalités et les moyens du traitement de données personnelles mis en œuvre.
Sur l’applicabilité du RGP D
La CNIL considère que le RGPD, entré en vigueur le 25 mai 2018, est applicable aux faits de l’affaire. En effet, si le fichier a été modifié pour la dernière fois en avril 2017, sa conservation jusqu’en 2019 a prolongé le traitement de données personnelles au-delà de l’entrée en vigueur du RGPD. De plus, les manquements reprochés à la société Monsanto ont persisté après cette date.
Sur les manquements
La CNIL juge que, si la constitution d’un fichier de contacts à des fins de lobbying n’est pas en soi illégale, la société Monsanto a néanmoins manqué à l’obligation d’informer les personnes concernées prévue à l’article 14 du RGPD. En effet, malgré l’intérêt légitime de la société à collecter les données en cause et le fait que les personnes concernées ont publiquement pris part au débat sur le glyphosate et pouvaient raisonnablement s’attendre à faire l’objet de collectes de données par les acteurs du secteur, la société Monsanto aurait dû s’assurer du respect de l’obligation d’information des personnes concernées, notamment pour leur permettre d’exercer leurs droits.
En outre, la CNIL considère que Monsanto a manqué à l’obligation d’encadrer par un acte juridique formalisé les traitements effectués pour son compte par ses sous-traitants, prévue à l’article 28 du RGPD.
Sur la sanction
Pour prononcer sa sanction, la CNIL a tenu compte, d’une part, du fait que l’obligation d’information constitue une mesure centrale de protection des personnes et que la société Monsanto a mis fin au manquement à cette obligation plusieurs années après la mise en œuvre du traitement en cause, à la suite de sa révélation par les médias. D’autre part, elle considère que le respect de l’article 28 du RGPD aurait favorisé la mise en place de garanties concrètes en matière de protection des données, concernant notamment la sécurité des données et l’aide devant être apportée par les sous-traitants au responsable de traitement en matière d’exercice des droits.
La délibération de la CNIL (Délibération SAN-2021-012 du 26 juillet 2021) est accessible ici.