La société MONSANTO sanctionnée pour avoir collecté des données sur des personnalités publiques influentes sans les informer

La CNIL a sanctionné la société Monsanto^[1], le 26 juillet 2021, pour avoir collecté des données à caractère personnel sur des personnalités publiques influentes sans les informer selon les exigences du RGPD.

Dans le cadre de la campagne pour le renouvellement de l’autorisation d’utilisation du glyphosate par la Commission européenne, la société Monsanto avait demandé à la société FLEISHMAN-HILLARD^[2] « d’identifier et de recenser les parties prenantes du secteur afin de mettre en place une stratégie de communication ciblée en faveur du renouvellement de l’autorisation du glyphosate ».

Une liste contenant des personnalités politiques françaises et européennes, des journalistes, des militants écologistes, des universitaires, des scientifiques et des agriculteurs qui s’étaient impliqués dans le débat du renouvellement du glyphosate en Europe a ainsi été réalisée. Cette liste contenait les informations de 201 personnes résidant en France avec notamment :

• leur adresse professionnelle ;
• leur numéro de téléphone fixe professionnel ;
• leur numéro de téléphone portable ;
• leur adresse e-mail professionnelle ;
• leur organisme de rattachement ;
• leur site Web ;
• leur poste occupé.

Une note était aussi donnée à chaque personne pour évaluer « son influence, sa crédibilité et son soutien » à la société Monsanto, ainsi que certaines informations comme :

• les évènements auxquels les personnes avaient assisté ou qu’elles avaient organisé ;
• les personnes avec qui elles travaillaient ;
• les contacts qu’elles avaient eus avec des représentants de la société ;
• les articles qu’elles avaient publiés au sujet du glyphosate.

La CNIL reproche au créateur du Roundup de pas avoir informé ces personnes, car même si la collecte de ces données a débuté en 2016, c’est-à-dire avant l’entrée en application du RGPD, les données ont été conservées bien après l’entrée en application du RGPD. Les exigences du RGPD devaient donc s’appliquer, notamment celle d’informer les personnes lorsque leurs données sont collectées auprès d’un tiers^[3].

La Commission française considère, par ailleurs, que même si les personnes pouvaient s’attendre à ce que leurs coordonnées et leurs positions publiques soient collectées, la société Monsanto devait informer ces personnes pour leur permettre notamment d’exercer leurs droits^[4], d’autant plus que l’information des personnes « n’aurait pas nécessité de la part de la société Monsanto des efforts disproportionnés »^[5], car « la société disposait pour la quasi-totalité d’entre elles d’une information de contact telle qu’une adresse, un numéro de téléphone ou une adresse de messagerie électronique ».

Enfin, la CNIL reproche également de ne pas avoir précisé dans le contrat passé avec la société sous-traitante les informations relatives à la protection des données.

Une sanction de 400 000 euros a été prononcée à l’encontre du groupe Monsanto, soit 0,003 % de leur chiffre d’affaires^[6].

Lire :

• la décision de la CNIL n° SAN-2021-012 du 26 juillet 2021 concernant la société MONSANTO COMPANY