03 66 72 26 33

SANCTION DE LA CNIL À L’ENCONTRE DE MONSANTO (400 000 euros - 26 juillet 2021)

La CNIL a condamné la société MONSANTO d’une amende administrative de 400 000
euros pour avoir violé les disposition du RGPD au regard de l’obligation d‘informer
les personnes dont les données étaient enregistrées dans un fichier à des fins de
lobbying, ainsi que l’obligation d’encadrer par un acte juridique formalisé les
traitements effectués par la société FLEISHMAN-HILLARD (sous-traitant) pour
MONSANTO (responsable de traitement).

En mai 2019, les deux médias Le Monde et France 2, suite à la fuite de documents d’un
cabinet de lobbying, nommé Fleishman-Hillard, révèlent l’existence d’un fichier renseignant
les informations de 201 personnes, destiné à la société Monsanto. La CNIL recevait alors 7
plaintes concernant ce fichier.
Étaient alors enregistrées les organismes de rattachement, sites web, postes occupés,
adresses professionnelles, numéros de téléphones fixes professionnels, numéros de
téléphones portables, adresses de messageries électroniques professionnelles et parfois les
comptes Twitter de 201 personnalités politiques françaises et européennes ou appartenant à
la société civile dont des journalistes, des militants de la cause écologiste, des scientifiques
et des agriculteurs, dans le cadre de la campagne pour le renouvellement de l’autorisation
d’utilisation du glyphosate par la Commission européenne. Ces derniers étaient également
évalués en fonction de leur influence, leur crédibilité et leur soutien à la société MONSANTO
sur une note allant de 1 à 5.
A l’issue de l’enquête et après avoir entendu la société MONSANTO, la CNIL estime avoir
identifié plusieurs manquements au RGPD, après avoir démontré sa compétence sur le
sujet, ainsi que l’applicabilité du RGPD aux faits de l’espèce.

1. Un manquement à l’obligation d’information des personnes en vertu de l’article
14 du RGPD

L’article 14 du RGPD prévoit que lorsque les données à caractères personnel n’ont pas été
collectées auprès de la personne concernée par le traitement, le responsable de traitement
doit fournir à cette dernière les éléments visés à ce même article dans un délai raisonnable
après avoir obtenu les données. Or en l’espèce, les données n’ont été communiquées par la
société aux personnes concernées qu’après la révélation par les médias de l’existence de
ce fichier.
La Société MONSANTO se justifie d’un tel manquement, en invoquant le peu d’intérêt
qu’aurait représenté l’information des personnes concernées, dans la mesure où les
données en question étaient publiques et que les personnes concernées pouvaient
raisonnablement s’attendre à ce que leurs données fassent l’objet d’un tel traitement. La
CNIL admet la pertinence de l’argument, mais rappelle que dans tous les cas, le
responsable de traitement doit s’assurer du respect des obligations par le RGPD et
notamment de l’obligation d’information des personnes afin que celles-ci puissent exercer
leurs droits.
La Commission rappelle également que cette obligation d’information ne s’impose toutefois
pas lorsque la fourniture de telles informations se relève impossible, ce qui n’est pas le cas
en l’espèce. En effet, le fichier en cause contenait pour la quasi-totalité des personnes
concernées, une information de contact. De plus, les personnes concernées furent toutes
informées individuellement en 2019, suite à la révélation des médias, ce qui démontre
qu’une information était tout à fait possible. L’ensemble de ces éléments constitue donc un
manquement à l’article 14 du RGPD. L’activité de lobbyisme ne peut donc pas être exonérée
du respect du principe de transparence..

2. Un manquement à l’obligation d’encadrer les traitements effectuées pour le
compte du responsable de traitement par un acte juridique formalisé en vertu
de l’article 28 du RGPD.

Tout d’abord, l’article 28 du RGPD prévoit que lorsqu’un traitement est effectué par un
sous-traitant, ce traitement est régi par un contrat ou un autre acte juridique qui prévoit les
conditions dans lesquelles le sous-traitant s’engage à effectuer pour le compte du
responsable de traitement les opérations de traitement. Or, alors que le fichier litigieux a fait
l’objet de plusieurs contrats et avenants, aucun d’entre eux ne contient les informations
prévues à l’article 28 du RGPD.
La Société MONSANTO se justifie en expliquant qu’elle n’agissait pas en tant que
responsable de traitement, qu’elle n’a jamais donné d’instructions à la société sous-traitante
quant à la façon d’effectuer cette mission et qu’elle n’a fait que réagir aux propositions faites
par cette dernière. Ainsi, selon la société, l’obligation ne lui est pas opposable. De plus, elle
affirme n’avoir jamais utilisé le fichier en question.
Bien qu’il n’ait pas été possible de vérifier l’utilisation ou non du fichier par la société
MONSANTO, la CNIL rappelle que le responsable de traitement est la personne qui
détermine les finalités et moyens du traitement mis en oeuvre. La Commission s’appuie
également sur une définition plus précise donnée par le Comité européen de la protection de
données dans ses lignes directrices 07/2020, et d’échanges par voie électronique entre la
société MONSANTO et la société Fleishman-Hillard pour appuyer ses conclusions. La
société MONSANTO doit effectivement être considérée comme responsable de traitement et
la société Fleishman-Hillard comme sous-traitant. L’ensemble de ces éléments constitue
donc un manquement à l’article 28 du RGPD.

3. Le rendu public de la sanction pécuniaire

En raison de l’ensemble de ces manquements, la CNIL a condamné la société MONSANTO
à une amende administrative de 400 000 euros ainsi qu’à la publicité de la sanction.
La société MONSANTO considérait la publicité comme étant inutile dans la mesure où
celle-ci fut déjà exposée médiatiquement en 2019 pour les mêmes faits. La société
considérait également l’amende proposée comme étant disproportionnée.
Pourtant, considérant le chiffre d’affaires enregistré pour l’année 2018 pour la société
MONSANTO s’élevant à environ 12 milliards d’euros, il est possible de se questionner sur
les caractères proportionnés et dissuasifs de l’amende prononcée qui représente alors
0,003% du chiffre d’affaire. Les plafonds respectifs de l’article 83 du RGPD s’élevant
pourtant pour l’article 14 à 4% du chiffre d’affaires annuel mondial ou 20 000 000 euros et
pour l’article 28 à 2% du chiffre d’affaires annuel mondial ou 10 000 000 euros. Monsanto
avait donc atteint un plafond à 480 millions d’euros pour le manquement à l’article 14, et un
plafond à 240 millions d’euros pour le manquement à l’article 28.
La CNIL a probablement considéré que la publicité faite autour de cette décision,
additionnée à l’amende, représente une sanction efficace au regard de la gravité des
manquements reprochés.

Jade DELEBECQUE
Etudiante en Droit

Raphaël RAULT
Avocat Associé