Affaire Monsanto, fichier de lobbying : une amende d’un montant de 400 000 euros pour non-respect du RGPD
#CNIL #RGPD #fichier #consentement #protectiondesdonnéespersonnelles #amende
Dans sa délibération, rendue publique, en date du 26 juillet 2021, la Commission nationale de l’informatique et des libertés (ci-après la CNIL) a infligé une amende à la société MONSANTO d’un montant de 400 000 euros pour manquements au règlement général sur la protection des données (ci-après RGPD).
Il est reproché à la société américaine d’avoir collecté des données concernant plus de 200 personnes influentes dans le débat public portant sur le renouvellement du glyphosate en Europe. Ce recensement avait été effectué pour le compte de la société MONSANTO par plusieurs sociétés spécialisées dans les relations publiques et le lobbying.
L’autorité administrative a considéré que la société américaine avait manqué à son obligation d’information figurant à l’article 14 du RGPD. En effet, cette disposition prévoit une procédure d’information lorsque des données à caractère personnel ont été collectées par des sous-traitants.
Si la formation restreinte de la CNIL rappelle que la création de fichiers de contacts par les représentants d’intérêts à des fins de lobbying n’est pas, en soi, illégale, elle précise que seules des personnes qui peuvent raisonnablement s’attendre à figurer dans un tel fichier, notamment en raison de leur notoriété, peuvent faire l’objet d’un traitement. Les informations doivent avoir été collectées légalement et les personnes doivent être informée de l’existence du fichier afin de pouvoir exercer leurs droits.
L’article 14 (5) du RGPD prévoit tout de même un certain nombre d’exceptions à cette obligation d’information. Tel est le cas lorsque la fourniture d’informations se révèlerait impossible ou exigerait des efforts disproportionnés de la part du responsable du traitement. En l’espèce, la formation restreinte a estimé que l’information des personnes figurant dans le fichier n’aurait pas nécessité des efforts disproportionnés de la part de la société MONSANTO dans la mesure où cette dernière disposait d’informations de contact, et compte tenu de l’intérêt qui s’attache au respect des libertés et droits fondamentaux des personnes concernées.
En outre, la CNIL fait également grief à la société MONSANTO d’avoir manqué à son obligation d’encadrement des traitements par ses sous-traitants en ne garantissant pas la sécurité des données par un acte juridique formalisé (article 28 du RGPD).