La CNIL[1] a sanctionné la société Monsanto[2], le 26 juillet 2021, pour avoir collecté des données à caractère personnel sur des personnalités publiques influentes sans les informer selon les exigences du RGPD[3].

Dans le cadre de la campagne pour le renouvellement de l’autorisation d’utilisation du glyphosate par la Commission européenne, la société Monsanto avait demandé à la société FLEISHMAN-HILLARD[4] « d’identifier et de recenser les parties prenantes du secteur afin de mettre en place une stratégie de communication ciblée en faveur du renouvellement de l’autorisation du glyphosate ».

Une liste contenant des personnalités politiques françaises et européennes, des journalistes, des militants écologistes, des universitaires, des scientifiques et des agriculteurs qui s’étaient impliqués dans le débat du renouvellement du glyphosate en Europe a ainsi été réalisée. Cette liste contenait les informations de 201 personnes résidant en France avec notamment :

  • leur adresse professionnelle ;
  • leur numéro de téléphone fixe professionnel ;
  • leur numéro de téléphone portable ;
  • leur adresse e-mail professionnelle ;
  • leur organisme de rattachement ;
  • leur site Web ;
  • leur poste occupé.

Une note était aussi donnée à chaque personne pour évaluer « son influence, sa crédibilité et son soutien » à la société Monsanto, ainsi que certaines informations comme :

  • les évènements auxquels les personnes avaient assisté ou qu’elles avaient organisé ;
  • les personnes avec qui elles travaillaient ;
  • les contacts qu’elles avaient eus avec des représentants de la société ;
  • les articles qu’elles avaient publiés au sujet du glyphosate.

La CNIL reproche au créateur du Roundup de pas avoir informé ces personnes, car même si la collecte de ces données a débuté en 2016, c’est-à-dire avant l’entrée en application du RGPD, les données ont été conservées bien après l’entrée en application du RGPD. Les exigences du RGPD devaient donc s’appliquer, notamment celle d’informer les personnes lorsque leurs données sont collectées auprès d’un tiers[5].

La Commission française considère, par ailleurs, que même si les personnes pouvaient s’attendre à ce que leurs coordonnées et leurs positions publiques soient collectées, la société Monsanto devait informer ces personnes pour leur permettre notamment d’exercer leurs droits[6], d’autant plus que l’information des personnes « n’aurait pas nécessité de la part de la société Monsanto des efforts disproportionnés »[7], car « la société disposait pour la quasi-totalité d’entre elles d’une information de contact telle qu’une adresse, un numéro de téléphone ou une adresse de messagerie électronique ».

Enfin, la CNIL reproche également de ne pas avoir précisé dans le contrat passé avec la société sous-traitante les informations relatives à la protection des données.

Une sanction de 400 000 euros a été prononcée à l’encontre du groupe Monsanto, soit 0,003 % de leur chiffre d’affaires[8].

Lire :

Notes et références

  1. CNIL : Commission Nationale de l’Informatique et des Libertés (cnil.fr).
  2. La société Monsanto appartient au groupe Bayer depuis le 7 juin 2018.
  3. RGPD : Règlement Général sur la Protection des Données (Règlement (UE) 2016/679).
  4. La société FLEISHMAN-HILLARD est devenue la société OMINOCOM PUBLIC RELATIONS GROUP (ORPG).
  5. Lorsque des données personnelles sont collectées auprès d’un tiers, le RGPD demande que la personne soit informée « dans un délai raisonnable après avoir obtenu les données à caractère personnel, mais ne dépassant pas un mois » (source : RGPD, article 14-3). La société Monsanto devait donc informer les personnes que leurs données avaient été collectées.
  6. Le RGPD donne un certain nombre de droits aux personnes comme le droit d’obtenir une copie des données ou le droit de demander la suppression des données. Voir « Quels droits le RGPD donne-t-il aux personnes ? ».
  7. Lorsque des données sont collectées auprès d’un tiers, le RGPD demande que la personne soit informée sauf « la fourniture de telles informations se révèle impossible ou exigerait des efforts disproportionnés » (source : RGPD, article 14-5). La société Monsanto possédait les coordonnées de la quasi-totalité des 201 personnes. Cela était donc entièrement possible. Voir « Faut-il informer les personnes lorsque leurs données personnelles sont collectées auprès d’un tiers ? ».
  8. Le groupe Monsanto a déclaré un chiffre d’affaires de 12 milliards en 2018 (source : CNIL, SAN-2021-012 du 26 juillet 2021, Monsanto, §102).