Date de l'amende:
26/7/2021
Structure ou entité mise en cause :
Quelle est la base légale ?
Détail des faits
La DPA française (CNIL) a infligé une amende de 400 000 euros à MONSANTO. En mai 2019, plusieurs médias ont révélé que MONSANTO était en possession d'un fichier contenant les données personnelles de plus de 200 personnalités politiques ou membres de la société civile (ex. journalistes, militants écologistes, scientifiques ou agriculteurs) susceptibles d'influencer le débat ou l'opinion publique sur le renouvellement de l'autorisation du glyphosate en Europe. Parallèlement, la CNIL a reçu sept réclamations de personnes concernées par ce dossier. Pour chacune de ces personnes, le fichier contenait des informations telles que l'organisation à laquelle elles appartenaient, le poste qu'elles occupaient, leur adresse professionnelle, leur numéro de téléphone professionnel, leur numéro de téléphone portable, leur adresse électronique professionnelle et, dans certains cas, leur compte Twitter. En outre, la CNIL a noté que chaque personne s'est vu attribuer une note de 1 à 5 pour évaluer son influence, sa crédibilité et son soutien à Monsanto sur divers sujets. La DPA estime que l'entreprise a violé les dispositions du RGPD en n'informant pas les personnes concernées que leurs données étaient stockées dans ce fichier. Par ailleurs, la CNIL a reproché à l'entreprise de ne pas avoir donné les garanties contractuelles qui devraient normalement encadrer la relation avec un sous-traitant. La création de fiches de contacts par les parties prenantes à des fins de lobbying n'est pas illégale en soi. Cependant, la CNIL a souligné que les personnes concernées ont néanmoins le droit d'être informées de l'existence du fichier afin d'exercer des droits supplémentaires, notamment le droit d'opposition. Par ailleurs, la CNIL a constaté que la collecte des données a été effectuée par un prestataire mandaté par Monsanto et que Monsanto a violé l'article 28 du règlement général sur la protection des données en n'incluant pas dans ses contrats avec le sous-traitant les dispositions prévues dans le RGPD, notamment concernant la sécurité des données.