L’agrochimiste Monsanto a été condamnée à payer une amende administrative de 400.000 euros par la Cnil. L’autorité lui reproche de ne pas avoir respecté son obligation d’information à l’égard des personnes concernées, qui n’avaient pas été tenues au courant de l’existence de ces traitements de données.
Un fichier de Monsanto sur les influenceurs
En 2019, le journal Le Monde et la chaine de télévision France 2 ont dévoilé que la société Monsanto avait mandaté deux entreprises pour constituer un fichier sur de nombreuses personnalités. Ce fichier contenait les données personnelles de plus de 200 personnalités publiques.
Ce dernier portait principalement sur des informations très privées. On peut citer le statut professionnel, l’adresse, le numéro de téléphone, la messagerie électronique ou bien encore le compte Twitter. Plus inquiétant encore, le ficher en question contenait une note allant de 1 à 5 pour chaque personnalité. Cette note permettait notamment d’évaluer l’influence et la crédibilité de la personnalité publique.
Dans le but de vérifier ces accusations, la CNIL avait ouvert une enquête.
Défaut d’information des personnes concernées
Durant son enquête, la CNIL a relevé plusieurs manquements de la part de la société Monsanto à la réglementation européenne sur la protection des données. Cette dernière a découvert que les personnes concernées n’étaient pas au courant des traitements en cours. C’est seulement au moment de la révélation par les médias que les personnalités concernées ont appris l’existence du fichier litigieux.
Ainsi, la CNIL a précisé que : » La création de fichiers de contacts par les représentants d’intérêts à des fins de lobbying n’est pas, en soi, illégale. En revanche, ne peuvent figurer dans ce fichier que des personnes qui peuvent raisonnablement s’attendre, en raison de leur notoriété ou de leur activité, à être l’objet de contacts du secteur. »
En effet, la société Monsanto avait l’obligation d’informer les personnes concernées en vertu de la réglementation européenne sur la protection des données. La CNIL a rappelé que : « L’information est un droit essentiel qui conditionne l’exercice des autres droits (droits d’accès, d’opposition, d’effacement…) dont bénéficient les personnes. Dans ce cas, elles en ont été empêchées durant plusieurs années ».
Comment éviter de se faire pincer pour un fichier pirate ?
- Réaliser une mise en conformité de votre entreprise au RGPD, notamment en constituant un registre de traitements, en identifiant les risques et en sécurisant les données et en fixant une durée de conservation ;
- Être transparent sur le traitement, en informant les personnes concernées, par exemple en leur adressant un email contenant un lien vers votre politique de confidentialité ;
- Organiser l’exercice des droits des personnes concernées, ce qui consiste à informer les personnes sur leurs droits et à organiser vos services pour qu’ils puissent répondre aux demandes des personnes concernées.