À l’occasion de sa délibération du 26 juillet 2021, la CNIL s’est penchée sur le traitement de données à caractère personnel à des fins de lobbying. Cette délibération nous donne l’opportunité de nous arrêter sur les conditions qui entourent ce type de traitement.
Quel était le traitement des données à caractère personnel ?
En 2019, des médias français ont révélé que la société Monsanto avait fiché plus de 200 personnalités susceptibles d’influencer le débat public sur l’interdiction du glyphosate en Europe. Au sein des profils ciblés, figuraient notamment des personnalités politiques, des journalistes et des militants de la cause écologiste. Pour chacune de ces personnes, la liste mentionnait, entre autres, l’adresse professionnelle, le numéro de téléphone, l’adresse email et poste occupé. Par ailleurs, une note allant de 1 à 5 était attribuée aux personnes listées, afin de déterminer leur influence sur les sujets concernés.
À la suite de ces révélations, plusieurs personnes ont déposé plainte devant la CNIL. Celles-ci se plaignaient de ne pas avoir été informées du traitement de leurs données à caractère personnel.
Les investigations de la CNIL ont démontré que le fichier avait été constitué par une agence de relations publiques, avec laquelle Monsanto avait signé une convention.
Qui était le responsable du traitement ?
Selon la CNIL, Monsanto endosse la qualité de responsable du traitement de la liste des parties prenantes. En effet, cette liste a été dressée pour son compte, afin de lui permettre de mettre en œuvre une stratégie de communication ciblée concernant la réglementation relative au glyphosate.
Par ailleurs, la CNIL relève que Monsanto était étroitement lié à l’identification des parties impliquées dans le débat. En effet, elle relève que celle-ci formulait des demandes très précises à cet égard et était impliquée dans le suivi des tâches confiées à l’agence en relations publiques. Selon la CNIL, le pouvoir de direction que Monsanto exerçait sur les activités de l’agence empêchait que cette dernière soit qualifiée de responsable du traitement. Cette qualité revenait donc à Monsanto.
Finalement, la CNIL précise que le fait que Monsanto prétende ne jamais avoir utilisé le fichier en question n’est pas de nature à modifier son appréciation des responsabilités en cause.
Le traitement était-il conforme au RGPD ?
Tout d’abord, la CNIL indique que le traitement réalisé en vue de lister des personnes auprès desquelles le responsable de traitement veut représenter ses intérêts peut, sous réserve de certaines conditions, être fondé sur son intérêt légitime. En l’espèce, celle-ci note que les personnes dont les données figuraient dans le fichier litigieux pouvaient raisonnablement s’attendre à ce que la société Monsanto s’intéresse à leur positionnement dans le débat lié au glyphosate. Cela s’expliquait par le fait que ces personnes avaient adopté des positions publiques à ce sujet.
Ensuite, la CNIL relève que le responsable de traitement qui met en œuvre un tel traitement doit s’assurer du respect des obligations prévues par le RGPD et notamment de l’obligation d’information des personnes concernées. Or, en l’espèce, celles-ci n’ont été informées du traitement qu’en 2019, soit au moment de l’acquisition de Monsanto par la société Bayer. Pourtant, la CNIL constate que Monsanto ne pouvait se prévaloir d’aucune des exceptions prévues à l’article 14 du RGPD. À cet égard, elle observe que l’information des personnes n’aurait pas constitué un « effort disproportionné » pour Monsanto puisqu’elle disposait de presque la totalité de leurs données de contact. La CNIL relève que la violation de l’obligation d’informer a empêché les personnes concernées de contrôler l’utilisation de leurs données. En effet, l’information est un droit essentiel qui conditionne l’exercice des autres droits (droits d’accès, d’opposition, d’effacement…) dont bénéficient les personnes concernées.
Finalement, la CNIL constate que le contrat conclu entre Monsanto et l’agence de communication ne contient pas les mentions prévues à l’article 28 du RGPD. Il est pourtant obligatoire de les faire figurer dans tous les contrats de sous-traitance de données.
En conséquence, la CNIL a prononcé une amende administrative de 400.000 euros à l’encontre de Monsanto.
Our advice:
Si vous souhaitez constituer un fichier de contact, il est nécessaire de se poser quelques questions préalables :
- comptez-vous constituer votre fichier vous-même ou déléguer cette tâche à un tiers ?
- comptez-vous encadrer ce tiers lors de l’exécution de sa mission ou lui laisser une marge de manœuvre totale ?
- pensez-vous que les personnes listées peuvent s’attendre à figurer au sein de ce fichier ?
- comment comptez-vous informer ces dernières du traitement de leurs données ?
- etc.
N’hésitez pas à vous faire conseiller dans vos démarches.