La CNIL1 a sanctionné la société Monsanto2, le 26 juillet 2021, pour avoir conservé des données à caractère personnel sur des personnalités publiques influentes dans le but de réaliser des activités de lobbying, notamment sur l’utilisation du glyphosate en Europe.

La Commission reproche au créateur du Roundup de ne pas avoir informé3 les personnes, conformément aux exigences du RGPD4, malgré le fait que les données ont été collectées par des sous-traitants5, à sa demande, en 2016, avant l’entrée en application du RGPD.

Les données concernaient des personnalités politiques françaises et européennes, des journalistes, des militants écologistes, des universitaires, des scientifiques et des agriculteurs qui s’étaient impliqués dans le débat du renouvellement du glyphosate en Europe, dans une période où la Commission européenne étudiait le renouvellement de l’autorisation du glyphosate.

Au total, les données à caractère personnel de 201 personnes étaient collectées et conservées depuis 2016. Ces personnes ont été informées uniquement en 2019, après la diffusion d’articles de presse et reportages.

Les données collectées étaient :

  • l’adresse professionnelle ;
  • le numéro de téléphone fixe professionnel ;
  • le numéro de téléphone portable ;
  • l’adresse de messagerie électronique professionnelle ;
  • l’organisme de rattachement ;
  • le site web ;
  • le poste occupé.

Une note était aussi donnée à chaque personne pour évaluer son influence, sa crédibilité et son soutien à la société Monsanto, ainsi qu’un certain nombre d’informations comme :

  • les évènements auxquels les personnes avaient assisté ou qu’elles avaient organisé ;
  • les personnes avec qui elles travaillaient ;
  • les contacts qu’elles avaient eus avec des représentants de la société ;
  • les articles qu’elles avaient publiés au sujet du glyphosate.

Une sanction de 400 000 euros a été prononcée à l’encontre du groupe Monsanto, soit 0,003 % de leur chiffre d’affaires6.

Lire la décision complète

Notes et références

  1. CNIL : Commission Nationale de l’Informatique et des Libertés (cnil.fr).
  2. La société Monsanto appartient au groupe Bayer depuis le 7 juin 2018.
  3. Le RGPD exige que les personnes soient informées le plus rapidement possible, dans un délai inférieur à un mois, lorsque leurs données à caractère personnel sont collectées auprès d’un tiers.
  4. RGPD : Règlement Général de Protection des Données (Règlement (UE) 2016/679).
  5. La société Monsanto a demandé à la société FLEISHMAN-HILLARD, devenue OMNICOM PUBLIC RELATIONS GROUP, et la société PUBLICIS CONSULTANTS de collecter des données à caractère personnel sur des personnalités publiques.
  6. Le groupe Monsanto a déclaré un chiffre d’affaires de 12 milliards en 2018.