CNIL : Monsanto pouvait constituer un fichier des personnalités, mais pas sans les informer

CNIL : Monsanto pouvait constituer un fichier des personnalités, mais pas sans les informer

Round down

Avatar de l'auteur
Marc Rees

Publié dans

Droit

28/07/2021 9 minutes
17

CNIL : Monsanto pouvait constituer un fichier des personnalités, mais pas sans les informer

Monsanto pouvait-elle enregistrer dans un fichier plus de 200 noms de personnalités dans une optique de lobbying ? La CNIL répond oui… mais les intéressés auraient dû être informés individuellement. Elle sanctionne le géant des biotechnologies agricoles à hauteur de 400 000 euros.

En mai 2019, Le Monde et France 2 révèlent que l’entreprise américaine s’est constituée un épais fichier, gorgé de données nominatives. Dans le lot, des « responsables politiques et fonctionnaires, journalistes, dirigeants d’organisations professionnelles et d’organisations publiques, et même scientifiques » où, « ligne après ligne, leurs identités et opinions sur le glyphosate, les pesticides ou les OGM sont égrenées dans deux tableaux soigneusement renseignés », indique le quotidien du soir.

Sept plaintes avaient visé l’entreprise devant l’autorité de contrôle des données à caractère personnel. Les investigations menées par la suite ont révélé que Monsanto avait effectivement signé un contrat avec Fleishman-Hillard (devenue en 2017 Omnicom Public Relations Group), avec pour objet une « mission de représentation d’intérêts » quant à l’utilisation du glyphosate dans le monde, entre 2016 et mai 2019.

Un contrat organisé alors qu’« en vue du renouvellement de l’autorisation du glyphosate par la Commission européenne, intervenu finalement le 27 novembre 2017, la société Monsanto a mené une importante campagne de représentation d’intérêts, notamment à l’aide des sociétés Fleishman-Hillard et Publicis», rappelle la délibération de la CNIL.

Dans ce fichier « French Monsanto stakeholders database - cultivating trust », ont été effectivement identifiées 201 personnes résidant en France, « dont des membres d’associations de protection de l’environnement, d’associations d’agriculteurs, d’associations dans le domaine de la santé, d’organisations professionnelles, des personnalités politiques, des membres d’administrations, des journalistes, des universitaires et des agriculteurs ».

Et comme l’avaient soulevé nos confrères, à chaque nom, outre les données nominatives et les adresses, notamment des comptes Twitter, « une note allant de 1 à 5 était attribuée à chaque personne, afin d’évaluer son influence, sa crédibilité et son soutien à la société Monsanto sur six sujets, en l’occurrence l’agriculture, les pesticides, les organismes génétiquement modifiés, l’environnement, l’alimentation et la santé ».

En plus, une zone de commentaire libre permettait d’indiquer « les évènements auxquels ces personnes avaient assisté ou qu’elles avaient organisés, les personnes avec qui elles travaillaient, les contacts qu’elles avaient eus avec des représentants de la société Monsanto ou encore les articles qu’elles avaient publiés au sujet du glyphosate ».

En défense la société a développé plusieurs arguments, après avoir vainement tenté d’obtenir le huis clos pour la séance de la formation restreinte.

C'est pas moi, c'est lui

Elle a ainsi tenté de faire porter le chapeau sur son prestataire, soutenant que « c’est la société Fleishman-Hillard qui, en sa qualité d’entreprise spécialisée en matière de conseil et de relations publiques, a construit le fichier de manière autonome, selon une méthodologie qu’elle a elle-même définie, puis qui l’a proposé à la société Monsanto », dixit le résumé dressé par la décision.

Elle assure ne pas avoir donné d’instruction ni jamais utilisé le fichier litigieux. Évidemment, « si elle avait agi en tant que responsable de traitement, elle aurait demandé à la société Fleishman-Hillad de modifier le fichier à sa convenance afin d’obtenir un résultat correspondant davantage à ses attentes ».

La CNIL lui a répondu en substance par quelques rappels.

Sur le RGPD, le responsable de traitement est celui qui détermine les finalités du traitement mis en œuvre, outre les moyens. Soit les « pour » et « comment » de tout traitement. Ici, la société a eu pour finalité d’obtenir le renouvellement de l’autorisation européenne du glyphosate. Et elle a fait appel aux bons services de ce prestataire à cette fin.

Un avenant au contrat relève que Monsanto a chargé Fleishman-Hillard « d’établir la liste des "parties prenantes" ("stakeholders") dans le cadre de la campagne pour le renouvellement de l’autorisation du glyphosate en Europe ».

En outre, les échanges entre les deux prestataires ont été denses, nombreux sur la période concernée. Pour la CNIL, pas de doute : « la société Fleishman-Hillard rendait compte à la société Monsanto de la progression de la campagne liée au renouvellement du glyphosate et des actions menées dans ce cadre, et surtout que cette dernière exerçait un pouvoir de direction sur les activités de la société Fleishman-Hillard, la privant ainsi de l’autonomie dont jouit normalement un responsable de traitement ».

Résultat : le prestataire est sous-traitant et Monsanto, le responsable de traitement. Au passage, la CNIL a fait peu de cas de savoir si le traitement avait ou non été utilisé, pas seulement parce qu’« il n’a pas été possible de [le] vérifier », puisque ce critère de l’utilisation est sans effet.

Compétence territoriale

Pour justifier sa compétence territoriale, un autre point discuté, la CNIL s’est reconnue compétente au motif d’une part qu’une filiale de ce sous-traitant est basée à Paris (Fleishman-Hillard France). Selon l’autorité, cette compétence vaut d’autre part « à l’égard des traitements de données à caractère personnel relatifs au suivi du comportement des personnes dès lors que ces personnes résident en France, en cas d’activité de suivi basée sur des profils individuels, quel que soit le lieu où le responsable de traitement est établi ».

Si le fichier avait été conçu avant le 25 mai 2018, date d’entrée en vigueur du RGPD, la « tenue du fichier » a perduré au-delà jusqu’en 2019. Le RGPD s’applique en conséquence. Peu importe qu’il ait été modifié pour la dernière fois en avril 2017, selon les métadonnées. D’ailleurs, il a été « conservé dans les archives de messagerie électronique d’un employé » et cette seule conservation est constitutive d’un traitement. En outre, les avenants ultérieurs visaient bien la mise à jour des cartographies existantes.

Intérêt légitime et défaut d’information

Au fond, la société est critiquée pour avoir collecté des données personnelles sans information préalable des personnes présentes dans le fichier. Cette information n’est finalement intervenue qu’en 2019, après le rachat de Monsanto par Bayer, bien au-delà du mois de tolérance laissé par le règlement de 2018.

Pour la CNIL, la constitution de ce fichier n’est pas en soi illégale, car elle peut être justifiée sur le terrain de « l’intérêt légitime ». Elles pouvaient ainsi raisonnablement s’attendre à y figurer :

« En effet, les personnes présentes dans le fichier en cause ont pris part au débat public sur l’utilisation du glyphosate ou des sujets en lien avec cette thématique, que ce soit notamment au travers de l’élaboration de décisions publiques, de leur influence sur la représentation ou la direction d’entreprises ou d’organisations publiques et privées notoirement impliquées sur les sujets écologiques et environnementaux ou encore d’une prise de position publique ou d’une participation active à ces débats. »

Cependant, l’article 14 du règlement impose de les informer de… :

  • L'identité et les coordonnées du responsable du traitement
  • Les coordonnées du DPO (s’il en existe un)
  • Les finalités du traitement, sa base juridique
  • Les catégories de données à caractère personnel concernées
  • Les éventuels destinataires ou les catégories de destinataires
  • L’existence d’un transfert à un destinataire dans un pays tiers à l’UE
  • La durée de conservation

Et « si cela est nécessaire pour garantir un traitement équitable et transparent, la durée de conservation des données, l'existence des différents droits dont bénéficient les personnes, l’existence du droit de retirer son consentement à tout moment et le droit d’introduire une réclamation auprès d'une autorité de contrôle, la source d’où proviennent les données et l’existence éventuelle d’une prise de décision automatisée ».

Certes le même RGPD prévoit aussi que lorsqu’une telle information demande des efforts disproportionnés, le responsable de traitement peut ne pas avoir à respecter cette obligation. Pour le cas présent, cependant, « le fichier en cause concernait plus de 200 personnes », « la société disposait pour la quasi-totalité d’entre elles d’une information de contact telle qu’une adresse, un numéro de téléphone ou une adresse de messagerie électronique ».

Enfin, le fait que Bayer ait procédé à cette information en 2019 montre que ce n’était par définition pas impossible.

Opacité ou transparence ?

Au fil de sa délibération, la CNIL a évacué un autre argument : est-ce qu’informer les personnes enregistrées dans le fichier ne va pas finalement compromettre l’objectif dudit fichier ? Elle lui oppose la définition du lobbying par l’Association française des conseils en lobbying et affaires publiques, à savoir « la représentation d’intérêts (…) au travers d’un partage d’information contradictoire et équilibré »

Conclusion, une telle définition « apparaît incompatible avec un exercice de cette activité de manière opaque, à l’insu des personnes concernées ».

Absence de contrat RGPD

Dans sa foulée toujours, elle a constaté une violation de l’article 28 du RGPD qui exige un contrat « données personnelles » entre le sous-traitant et le responsable de traitement.

Au final, après avoir relevé que Monsanto avait enregistré un chiffre d’affaires de 12 milliards de dollars, elle a décidé de lui infliger une sanction de 400 000 euros. Une goutte d’eau, mais associée à une mesure beaucoup plus douloureuse : la publicité de la sanction. Mesure qu’a tenté de combattre la société, vainement, arguant qu’elle serait préjudiciable à son image.

La décision rendue ce jour est susceptible de recours devant le Conseil d’État.

17

Écrit par Marc Rees

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

C'est pas moi, c'est lui

Compétence territoriale

Intérêt légitime et défaut d’information

Opacité ou transparence ?

Absence de contrat RGPD

Commentaires (17)


Encore une fois on enfonce une petite boite qui ne pouvait pas payer quelqu’un pour tenir les registres rgpd à jour…


Ils font de la m..de en ne respectant rien ni personne, et il faudrait que ca reste “caché” du public ?
C’est bien fait pour eux, cette “pub négative”.


Et c’est un peu facile de se cacher derrière un prestataire !


J’ai un peu de mal à concevoir le problème.



Imaginons que l’on est un développeur de jeu vidéo indépendant et que l’on souhaite faire la promotion du dernier jeu en distribuant des clé à des personnalité public. Pour ce faire, on fait une liste des youtubeur, streamer et autre influenceurs en relevant des infos comme leur sites/chaines et contact (adresse e-mail) et on note via différence critère qui pourrait plus correspondre à la pomotion du dit jeu (public visé, taille de la communauté, façon de présenté…).



Si j’ai bien compris, selon ce qui est dit ici, ce genre de démarche serait illégale ?


Si tu n’informes pas les personnes concernées, oui.


Mihashi

Si tu n’informes pas les personnes concernées, oui.


What? Mais c’est quoi le problème? Si dans mon téléphone j’ai des numéros de contacts et dans ma boite mail des adresses avec les noms des personnes c’est illégal?



Je vois pas où est le problème, y’a rien de perso


Lorendil

What? Mais c’est quoi le problème? Si dans mon téléphone j’ai des numéros de contacts et dans ma boite mail des adresses avec les noms des personnes c’est illégal?



Je vois pas où est le problème, y’a rien de perso


Le nom, prénom, numéro de téléphone et email sont des données personnelles.



Il y a des infos ici


Lorendil

What? Mais c’est quoi le problème? Si dans mon téléphone j’ai des numéros de contacts et dans ma boite mail des adresses avec les noms des personnes c’est illégal?



Je vois pas où est le problème, y’a rien de perso


Il me semble qu’il y a une exception pour que des particuliers aient le droit d’avoir un simple carnet d’adresses (qui serait sinon interdit).. Mais c’est interdit à un professionnel je crois.



Il est clair qu’il y a aujourd’hui un besoin d’éviter que des entreprises fichent des pans entiers de la population et fassent commerce des données personnelles.



Mais cela complique clairement la vie des organisations, qui ont bien sûr besoin d’avoir une mémoire des gens avec qui elles ont des relations (pas juste les clients).


Lorendil

What? Mais c’est quoi le problème? Si dans mon téléphone j’ai des numéros de contacts et dans ma boite mail des adresses avec les noms des personnes c’est illégal?



Je vois pas où est le problème, y’a rien de perso


Je pense aussi que noter leur opinion sur le glyphosate est le principal problème.



Parce qu’à ce moment là on peut aussi faire des fichier pour savoir qui est pour ou contre telle religion, ethnie, ou tout autre sujet sensible.



Ce qu’on ne retrouve pas dans un carnet d’adresse (enfin pas dans le mien)


Pour le coup, si tu fais à peu près bien les choses, il y a de fortes chances que les streamers avec qui tu veuilles bosser soient de gros streamers et ces derniers sont en fait des entreprises. Le RGPD n’a pas d’impact sur les relations entre entreprises si je ne dis pas de bêtise. Donc tant que sur ta liste tu as : “Joueur du Grenier, [email protected]” et non “Frédéric M., [email protected]”, de ce que je comprend, ça passe.



Par contre, quand bien même il aurait un succès énorme, tu n’as pas le droit de lister “Jean-Kevin MOUCHARD, [email protected]” sans le contacter au préalable.


C’est quoi 400.000€ pour Bayer-Monsento, j’ai un peu envie de rire quand je lis ces nouvelles


Je n’avais jamais pensé à ce cas où les personnes fichées ne sont les cibles commerciales. Et donc je me demande si cela s’applique également à des journalistes qui par exemple maintiendraient des archives internes sur des personnalités politiques (les projets qu’elles ont soutenus/combattus, etc…) pour de futurs articles ou des enquêtes.


Les actions faites dans le cadre d’un mandat public ne sont pas concernés puisque pas considérées comme données personnelles.



Fabimaru a dit:


Je n’avais jamais pensé à ce cas où les personnes fichées ne sont les cibles commerciales. Et donc je me demande si cela s’applique également à des journalistes qui par exemple maintiendraient des archives internes sur des personnalités politiques (les projets qu’elles ont soutenus/combattus, etc…) pour de futurs articles ou des enquêtes.




Je me suis posé la même question.. est ce qu’il y a une exception pour les journalistes ? Il me semble probable que la plupart des journaux y compris NextInpact ont des fiches d’information et de contact incluant des informations personnelles sur un certain nombre de gens, notamment pour leurs enquêtes, pour écrire rapidement des avis de décès etc.



Après une rapide recherche, j’ai trouvé ceci:
https://www.gdpr-expert.eu/article.html?id=85#textesofficiels




Directive UE - Art. 9. Les États membres prévoient, pour les traitements de données à caractère personnel effectués aux seules fins de journalisme ou d’expression artistique ou littéraire, des exemptions et dérogations au présent chapitre, au chapitre IV et au chapitre VI dans la seule mesure où elles s’avèrent nécessaires pour concilier le droit à la vie privée avec les règles régissant la liberté d’expression.



France - Art. 67. Le 5° de l’article 6, les articles 8, 9, 32, et 39, le I de l’article 40 et les articles 68 à 70 ne s’appliquent pas aux traitements de données à caractère personnel mis en oeuvre aux seules fins :
1° D’expression littéraire et artistique ;
2° D’exercice, à titre professionnel, de l’activité de journaliste, dans le respect des règles déontologiques de cette profession.
(…)




En bref : oui, les journalistes (professionnels uniquement) ont une exception qui leur permet de “ficher” les gens sans autorisation de leur part.



wagaf a dit:


Il me semble qu’il y a une exception pour que des particuliers aient le droit d’avoir un simple carnet d’adresses (qui serait sinon interdit).. Mais c’est interdit à un professionnel je crois.




Trouvé un artcle citant l’introduction du RGPD: « _Le présent règlement ne s’applique pas aux traitements de données à caractère personnel effectués par une personne physique au cours d’activités strictement personnelles ou domestiques, et donc sans lien avec une activité professionnelle ou commerciale. Les activités personnelles ou domestiques pourraient inclure l’échange de correspondance et la tenue d’un carnet d’adresses, ou l’utilisation de réseaux sociaux et les activités en ligne qui ont lieu dans le cadre de ces activités_ »



wagaf a dit:


Il me semble qu’il y a une exception pour que des particuliers aient le droit d’avoir un simple carnet d’adresses (qui serait sinon interdit).. Mais c’est interdit à un professionnel je crois.



Il est clair qu’il y a aujourd’hui un besoin d’éviter que des entreprises fichent des pans entiers de la population et fassent commerce des données personnelles.



Mais cela complique clairement la vie des organisations, qui ont bien sûr besoin d’avoir une mémoire des gens avec qui elles ont des relations (pas juste les clients).



Djoys a dit:


Je pense aussi que noter leur opinion sur le glyphosate est le principal problème.



Parce qu’à ce moment là on peut aussi faire des fichier pour savoir qui est pour ou contre telle religion, ethnie, ou tout autre sujet sensible.



Ce qu’on ne retrouve pas dans un carnet d’adresse (enfin pas dans le mien)




Je trouve ça plutôt ridicule. Une entreprise à forcément des carnet d’adresse avec écrit qui fait quoi.



Toutes les applications de messagerie propose une case “note”. Donc ça veux dire qu’a partir du moment où je mes un truc dedans je suis dans l’illégalité. Si je fais une annotation pour savoir qui à une Xbox et qui à une Playstation dans ma liste d’amis, pour savoir avec qui je peu jouer, c’est illégal. De même, si à la machine à café je sais que Michel prend un café sans sucre, Marjorie un thé et Nicolas toujours un chocolat au lait, c’est bon, même si toute l’entreprise le sait. Si tu fais un post-it pour t’en souvenir et leurs offrir à boire sans te tromper, là c’est pas bon. Pareil si je fais une liste des politique, avec leurs appartenance (politique)? Alors que c’est publique et revendiqué?



Je trouve que c’est totalement du n’importe quoi.. En jouant avec ça la quasi totalité des gens sont dans l’illégalité. Suffit que tu note que t’as belle sœur est intolérante au lactose sur ton frigo et hop t’es hors la lois. Faut pas exagérer…



Si je fais une annotation pour savoir qui à une Xbox et qui à une Playstation dans ma liste d’amis.




C’est personnel, donc autorisé.




De même, si à la machine à café je sais que Michel prend un café sans sucre, Marjorie un thé et Nicolas toujours un chocolat au lait, c’est bon, même si toute l’entreprise le sait. Si tu fais un post-it pour t’en souvenir et leurs offrir à boire sans te tromper, là c’est pas bon.




Idem (sauf si tu leur vend le café… :transpi:).




Pareil si je fais une liste des politique, avec leurs appartenance (politique)? Alors que c’est publique et revendiqué?




Encore, si ça reste pour une utilisation personnelle, c’est autorisé.




Suffit que tu note que t’as belle sœur est intolérante au lactose sur ton frigo et hop t’es hors la lois.




Pareil.