Après les révélations de plusieurs médias quant à l’existence chez le géant de l’agro-chimie d’un fichier contenant les données personnelles de 200 personnes utilisé à des fins de lobbying, la Cnil a mené l’enquête. Et reconnait aujourd’hui Monsanto coupable d'avoir enfreint le RGPD en sa qualité de responsable de traitement.
Nom, prénom, numéro de téléphone, adresse professionnelle, adresse mail, poste occupé… telles étaient les informations contenues dans un fichier du géant Monsanto. Et, à côté de chacune des lignes, un score de 1 à 5 évaluant l’influence et le soutien que chacune des 200 personnes comprises dans ce fichier apportait à la multinationale de la biochimie. L’affaire avait éclaté dans plusieurs médias en mai 2019, amenant plusieurs des individus concernés par ce fichier à déposer une plainte auprès de la Cnil.
Plaintes qui ont amené le gendarme des données personnelles à effectuer plusieurs contrôles, y compris chez Publicis et Fleishmann-Hillard (désormais Omnicom), les sous-traitants du groupe américain, et à auditionner des cadres de la société. Ce fichier, constitué par plusieurs sous-traitants de Monsanto, était utilisé par ce dernier dans ses campagnes de lobbying. Et ce sans que soient informés les individus dont les données étaient traitées. Ce qui vaut aujourd’hui au géant d’écoper d’une amende de 400 000 euros de la part de la Cnil.
Défaut d’information
Comme l’explique la Cnil, la constitution de fichiers de contacts par des lobbys n’est pas illégale en soi. Il n’est même pas nécessaire de recueillir leur consentement, du moins dès lors que « les données inscrites dans le fichier aient été collectées légalement et que les personnes soient informées de l’existence du fichier, afin de pouvoir exercer leurs droits ».
Ce qui n’était pas le cas ici, constate le régulateur, ni Monsanto ni ses prestataires n’ayant pris la peine d’informer les 200 politiques, journalistes, associatifs et agriculteurs du fichier « French Monsanto stakeholders database – cultivating trust ». Ce qui n’aurait pourtant pas nécessité de grands efforts, note la Cnil, puisque Monsanto « disposait pour la quasi-totalité d’entre elles d’une information de contact telle qu’une adresse, un numéro de téléphone ou une adresse de messagerie électronique ».
La Cnil en profite pour rappeler que « la simple conservation constitue un traitement de données à caractère personnel ». Or, leurs données traitées, « le fait de ne pas informer les personnes concernées de l’existence d’un traitement nuit nécessairement à l’exercice des droits qui leur sont conférés par le RGPD ». Bref, tout ceci n’était pas très conforme, d’autant que le fichier a été créé en 2016 et n’a disparu qu’avec la révélation de son existence en 2019.