Fichage illégal à des fins de lobbying : Monsanto sanctionné

La Cnil inflige une amende de 400.000 € à Monsanto pour ne pas avoir informé les personnes dont les données étaient enregistrées dans un fichier à des fins de lobbying.En mai 2019, plusieurs médias ont révélé que la société Monsanto détenait un fichier contenant les données personnelles de plus de 200 personnalités politiques, ou appartenant à la société civile (journalistes, militants de la cause écologiste, scientifiques ou encore agriculteurs) susceptibles d’influencer le débat ou l’opinion publique sur le renouvellement de l’autorisation du glyphosate en Europe.
Les contrôles effectués par la Commission nationale de l’informatique et des libertés (Cnil) ont révélé que ce recensement avait été réalisé par plusieurs sociétés spécialisées dans les relations publiques et le lobbying, dans le cadre d’une importante campagne de représentation d’intérêts.
Le fichier en cause contenait, pour chacune des personnes, des informations telles que l’organisme de rattachement, le poste occupé, l’adresse professionnelle, le numéro de téléphone fixe professionnel, le numéro de téléphone portable, l’adresse de messagerie électronique professionnelle et, dans certains cas, le compte Twitter. En outre, une note allant de 1 à 5 était attribuée à chaque personne, afin d’évaluer son influence, sa crédibilité et son soutien à la société Monsanto sur divers sujets tels que les pesticides ou les organismes génétiquement modifiés.
Par sa délibération n° SAN-2021-012 du 26 juillet 2021, la formation restreinte de la Cnil prononce une amende de 400.000 € et décide de rendre publique sa décision. Elle considère que la société a méconnu la réglementation en n’informant pas les personnes concernées de l’enregistrement de leurs données dans ce fichier, tel que le prévoit l’article 14 du règlement 2016/679 du 27 avril 2016 (RGPD).En outre, la société n’a pas mis en place les garanties contractuelles devant normalement encadrer les relations avec un sous-traitant en violation de l’article 28 du RGPD.La Cnil relève enfin qu’il n’a été mis fin à ce manquement que plusieurs années après la mise en œuvre du traitement, après que plusieurs médias ont révélé son existence.