Dans un communiqué publié ce 28 juillet, la Commission nationale de l’informatique et des libertés (CNIL) a annoncé qu’elle infligeait une amende de 400 000 euros à Monsanto. Elle lui reproche de ne pas avoir informé les personnes dont les données étaient enregistrées dans un fichier dédié au lobbying.

Une liste de personnes qui pouvaient influencer le débat autour de l’interdiction du glyphosate

L’affaire avait fait grand bruit en 2019, lorsque plusieurs médias révélaient l’existence d’un fichier détenu par Monsanto sur lequel figuraient des informations concernant près de 200 personnalités politiques mais également civiles (journalistes, écologistes, etc.) « susceptibles d’influencer le débat ou l’opinion publique sur le renouvellement de l’autorisation du glyphosate en Europe », explique la Commission.

« Le fichier en question contenait, pour chacune de ces personnes, des informations telles que l’organisme de rattachement, le poste occupé, l’adresse professionnelle, le numéro de téléphone fixe professionnel, le numéro de téléphone portable, l’adresse de messagerie électronique professionnelle et, dans certains cas, le compte Twitter. En outre, une note allant de 1 à 5 était attribuée à chaque personne, afin d’évaluer son influence, sa crédibilité et son soutien à la société MONSANTO sur divers sujets tels que les pesticides ou les organismes génétiquement modifiés », continue-t-elle.

Violation du RGPD

La CNIL a par ailleurs reçu sept plaintes venant de personnes concernées par la liste de Monsanto. Après enquête, elle a décidé d’infliger une amende de 400 000 euros à la société ; si la Commission assure que le lobbying n’est pas illégal en soi, elle assure que le fait de ne pas avoir prévenu les personnes présentes dans le document est une violation direct du RGPD européen :

« La CNIL a relevé que les personnes dont les données personnelles avaient été collectées n’ont été informées de l’existence du fichier litigieux qu’en 2019, seulement après la révélation de son existence par les médias. Or, aucune des exceptions à l’obligation d’information des personnes prévues par le RGPD n’était applicable en l’espèce. Les personnes concernées auraient donc dû être informées du traitement mis en œuvre ».

Monsanto avait ainsi l’obligation « d’encadrer par un acte juridique la réalisation du traitement effectué pour son compte par son sous-traitant, notamment afin de prévoir des garanties concernant la sécurité des données », ce qui est prévu par l’article 28 du RGPD.