RGPD en France, Sanctions
Fichier de lobbying : Monsanto condamné à 400 000 €
Pour manquement à l’obligation d’encadrer les traitements effectués par ses sous-traitants par un acte juridique formalisé, la CNIL a sanctionné la société MONSANTO le 28 juillet 2021 d’une amende de 400 000 € et pour ne pas avoir informé plus de 200 personnes, personnalités politiques, ou appartenant à la société civile (journalistes, militants de la cause écologiste, scientifiques, agriculteurs), de la collecte de leurs données personnelles à des fins de lobbying liées au renouvellement de l’autorisation du glyphosate en Europe, en violation de l’article 14 du RGPD.
Le fichier comprenait pour chaque personne des informations sur l’organisme de rattachement, leur fonction, leur adresse professionnelle, leur numéro de téléphone fixe professionnel, leur numéro de téléphone mobile, leur adresse électronique et, dans certains cas, leur compte Twitter.
Une note allant de 1 à 5 était attribuée à chaque personne, afin d’évaluer son influence, sa crédibilité et son soutien à Monsanto sur des sujets tels que les pesticides ou les organismes génétiquement modifiés.
La CNIL a sanctionné :
l’absence de garanties contractuelles devant normalement encadrer les relations avec un sous-traitant.
le non-respect de l’obligation d’information des personnes de l’enregistrement de leurs données dans ce fichier, les empêchant ainsi d’exercer leurs droits, notamment le droit d’opposition.
Par ailleurs, elle a constaté qu’il n’a été mis fin à ce manquement que plusieurs années après la mise en œuvre du traitement, après que plusieurs médias ont révélé son existence.
Les manquements au RGPD
Obligation d’information des personnes (article 14 du RGPD)
La collecte de telles données et la constitution de fichiers à des fins de lobbying n’est pas, en soi, illégale. S’il n’est pas nécessaire de recueillir le consentement de ces personnes, il faut que les données inscrites dans le fichier aient été collectées légalement et que les personnes soient informées de l’existence du fichier, afin de pouvoir exercer leurs droits : droits d’accès, d’opposition, d’effacement….
La CNIL a relevé que les personnes dont les données personnelles avaient été collectées n’ont été informées de l’existence du fichier litigieux qu’en 2019, seulement après la révélation de son existence par les médias. Les personnes concernées auraient dû être informées du traitement mis en œuvre.
Obligation d’encadrer les traitements effectués pour le compte du responsable de traitement par un acte juridique formalisé (article 28 du RGPD)
La collecte de données a été sous-traitée par Monsanto, à différentes entreprises sans les garanties contractuelles devant encadrer les relations avec un sous-traitant.
Or en tant que responsable de traitement, MONSANTO avait l’obligation d’encadrer par un acte juridique la réalisation du traitement effectué pour son compte par son sous-traitant, notamment afin de prévoir des garanties concernant la sécurité des données.
Il est à noter que la CNIL a mené une enquête, alertée en mai 2019 par plusieurs media et destinataire de sept plaintes émanant notamment de personnes concernées par ce fichier
Source : Fichier de lobbying : sanction de 400 000 € à l’encontre de la société MONSENTO
Autre sanction :