Monsanto pouvait-elle enregistrer dans un fichier plus de 200 noms de personnalités dans une optique de lobbying ? La CNIL répond oui… mais les intéressés auraient dû être informés individuellement. Elle sanctionne le géant des biotechnologies agricoles à hauteur de 400 000 euros.
En mai 2019, Le Monde et France 2 révèlent que l’entreprise américaine s’est constituée un épais fichier, gorgé de données nominatives. Dans le lot, des « responsables politiques et fonctionnaires, journalistes, dirigeants d’organisations professionnelles et d’organisations publiques, et même scientifiques » où, « ligne après ligne, leurs identités et opinions sur le glyphosate, les pesticides ou les OGM sont égrenées dans deux tableaux soigneusement renseignés », indique le quotidien du soir.
Sept plaintes avaient visé l’entreprise devant l’autorité de contrôle des données à caractère personnel. Les investigations menées par la suite ont révélé que Monsanto avait effectivement signé un contrat avec Fleishman-Hillard (devenue en 2017 Omnicom Public Relations Group), avec pour objet une « mission de représentation d’intérêts » quant à l’utilisation du glyphosate dans le monde, entre 2016 et mai 2019.
Un contrat organisé alors qu’« en vue du renouvellement de l’autorisation du glyphosate par la Commission européenne, intervenu finalement le 27 novembre 2017, la société Monsanto a mené une importante campagne de représentation d’intérêts, notamment à l’aide des sociétés Fleishman-Hillard et Publicis», rappelle la délibération de la CNIL.
Dans ce fichier « French Monsanto stakeholders database - cultivating trust », ont été effectivement identifiées 201 personnes résidant en France, « dont des membres d’associations de protection de l’environnement, d’associations d’agriculteurs, d’associations dans le domaine de la santé, d’organisations professionnelles, des personnalités politiques, des membres d’administrations, des journalistes, des universitaires et des agriculteurs ».
Et comme l’avaient soulevé nos confrères, à chaque nom, outre les données nominatives et les adresses, notamment des comptes Twitter, « une note allant de 1 à 5 était attribuée à chaque personne, afin d’évaluer son influence, sa crédibilité et son soutien à la société Monsanto sur six sujets, en l’occurrence l’agriculture, les pesticides, les organismes génétiquement modifiés, l’environnement, l’alimentation et la santé ».
En plus, une zone de commentaire libre permettait d’indiquer « les évènements auxquels ces personnes avaient assisté ou qu’elles avaient organisés, les personnes avec qui elles travaillaient, les contacts qu’elles avaient eus avec des représentants de la société Monsanto ou encore les articles qu’elles avaient publiés au sujet du glyphosate ».
En défense la société a développé plusieurs arguments, après avoir vainement tenté d’obtenir le huis clos pour la séance de la formation restreinte.
C'est pas moi, c'est lui
Elle a ainsi tenté de faire porter le chapeau sur son prestataire, soutenant que « c’est la société Fleishman-Hillard qui, en sa qualité d’entreprise spécialisée en matière de conseil et de relations publiques, a construit le fichier de manière autonome, selon une méthodologie qu’elle a elle-même définie, puis qui l’a proposé à la société Monsanto », dixit le résumé dressé par la décision.
Elle assure ne pas avoir donné d’instruction ni jamais utilisé le fichier litigieux. Évidemment, « si elle avait agi en tant que responsable de traitement, elle aurait demandé à la société Fleishman-Hillad de modifier le fichier à sa convenance afin d’obtenir un résultat correspondant davantage à ses attentes ».
La CNIL lui a répondu en substance par quelques rappels.
Sur le RGPD, le responsable de traitement est celui qui détermine les finalités du traitement mis en œuvre, outre les moyens. Soit les « pour » et « comment » de tout traitement. Ici, la société a eu pour finalité d’obtenir le renouvellement de l’autorisation européenne du glyphosate. Et elle a fait appel aux bons services de ce prestataire à cette fin.
Un avenant au contrat relève que Monsanto a chargé Fleishman-Hillard « d’établir la liste des "parties prenantes" ("stakeholders") dans le cadre de la campagne pour le renouvellement de l’autorisation du glyphosate en Europe ».
En outre, les échanges entre les deux prestataires ont été denses, nombreux sur la période concernée. Pour la CNIL, pas de doute : « la société Fleishman-Hillard rendait compte à la société Monsanto de la progression de la campagne liée au renouvellement du glyphosate et des actions menées dans ce cadre, et surtout que cette dernière exerçait un pouvoir de direction sur les activités de la société Fleishman-Hillard, la privant ainsi de l’autonomie dont jouit normalement un responsable de traitement ».
Résultat : le prestataire est sous-traitant et Monsanto, le responsable de traitement. Au passage, la CNIL a fait peu de cas de savoir si le traitement avait ou non été utilisé, pas seulement parce qu’« il n’a pas été possible de [le] vérifier », puisque ce critère de l’utilisation est sans effet.
Compétence territoriale
Pour justifier sa compétence territoriale, un autre point discuté, la CNIL s’est reconnue compétente au motif d’une part qu’une filiale de ce sous-traitant est basée à Paris (Fleishman-Hillard France). Selon l’autorité, cette compétence vaut d’autre part « à l’égard des traitements de données à caractère personnel relatifs au suivi du comportement des personnes dès lors que ces personnes résident en France, en cas d’activité de suivi basée sur des profils individuels, quel que soit le lieu où le responsable de traitement est établi ».
Si le fichier avait été conçu avant le 25 mai 2018, date d’entrée en vigueur du RGPD, la « tenue du fichier » a perduré au-delà jusqu’en 2019. Le RGPD s’applique en conséquence. Peu importe qu’il ait été modifié pour la dernière fois en avril 2017, selon les métadonnées. D’ailleurs, il a été « conservé dans les archives de messagerie électronique d’un employé » et cette seule conservation est constitutive d’un traitement. En outre, les avenants ultérieurs visaient bien la mise à jour des cartographies existantes.
Intérêt légitime et défaut d’information
Au fond, la société est critiquée pour avoir collecté des données personnelles sans information préalable des personnes présentes dans le fichier. Cette information n’est finalement intervenue qu’en 2019, après le rachat de Monsanto par Bayer, bien au-delà du mois de tolérance laissé par le règlement de 2018.
Pour la CNIL, la constitution de ce fichier n’est pas en soi illégale, car elle peut être justifiée sur le terrain de « l’intérêt légitime ». Elles pouvaient ainsi raisonnablement s’attendre à y figurer :
« En effet, les personnes présentes dans le fichier en cause ont pris part au débat public sur l’utilisation du glyphosate ou des sujets en lien avec cette thématique, que ce soit notamment au travers de l’élaboration de décisions publiques, de leur influence sur la représentation ou la direction d’entreprises ou d’organisations publiques et privées notoirement impliquées sur les sujets écologiques et environnementaux ou encore d’une prise de position publique ou d’une participation active à ces débats. »
Cependant, l’article 14 du règlement impose de les informer de… :
- L'identité et les coordonnées du responsable du traitement
- Les coordonnées du DPO (s’il en existe un)
- Les finalités du traitement, sa base juridique
- Les catégories de données à caractère personnel concernées
- Les éventuels destinataires ou les catégories de destinataires
- L’existence d’un transfert à un destinataire dans un pays tiers à l’UE
- La durée de conservation
Et « si cela est nécessaire pour garantir un traitement équitable et transparent, la durée de conservation des données, l'existence des différents droits dont bénéficient les personnes, l’existence du droit de retirer son consentement à tout moment et le droit d’introduire une réclamation auprès d'une autorité de contrôle, la source d’où proviennent les données et l’existence éventuelle d’une prise de décision automatisée ».
Certes le même RGPD prévoit aussi que lorsqu’une telle information demande des efforts disproportionnés, le responsable de traitement peut ne pas avoir à respecter cette obligation. Pour le cas présent, cependant, « le fichier en cause concernait plus de 200 personnes », « la société disposait pour la quasi-totalité d’entre elles d’une information de contact telle qu’une adresse, un numéro de téléphone ou une adresse de messagerie électronique ».
Enfin, le fait que Bayer ait procédé à cette information en 2019 montre que ce n’était par définition pas impossible.
Opacité ou transparence ?
Au fil de sa délibération, la CNIL a évacué un autre argument : est-ce qu’informer les personnes enregistrées dans le fichier ne va pas finalement compromettre l’objectif dudit fichier ? Elle lui oppose la définition du lobbying par l’Association française des conseils en lobbying et affaires publiques, à savoir « la représentation d’intérêts (…) au travers d’un partage d’information contradictoire et équilibré »
Conclusion, une telle définition « apparaît incompatible avec un exercice de cette activité de manière opaque, à l’insu des personnes concernées ».
Absence de contrat RGPD
Dans sa foulée toujours, elle a constaté une violation de l’article 28 du RGPD qui exige un contrat « données personnelles » entre le sous-traitant et le responsable de traitement.
Au final, après avoir relevé que Monsanto avait enregistré un chiffre d’affaires de 12 milliards de dollars, elle a décidé de lui infliger une sanction de 400 000 euros. Une goutte d’eau, mais associée à une mesure beaucoup plus douloureuse : la publicité de la sanction. Mesure qu’a tenté de combattre la société, vainement, arguant qu’elle serait préjudiciable à son image.
La décision rendue ce jour est susceptible de recours devant le Conseil d’État.
