Accueil
Le quotidien du droit en ligne
Envoyer à un ami-A+A
Article

L’activité de lobbying de Monsanto sanctionnée par la CNIL

Régulièrement à la une de l’actualité juridique en matière de droit de la santé, c’est cette fois en raison de plusieurs violations du droit des données à caractère personnel que la société Monsanto, propriété du groupe allemand Bayer, a fait l’objet d’une condamnation par la CNIL à hauteur de 400 000 €.

par Isabelle Gavanon et Valentin Le Marecle 7 septembre 2021

Spécialisée dans les biotechnologies agricoles, Monsanto est intéressée au premier chef par le sujet du renouvellement du glyphosate à l’étude par la Commission européenne. Dans ce contexte, elle a souhaité élaborer à des fins de représentation d’intérêts (lobbying) une liste de personnalités politiques ou issues de la société civile actives dans ce domaine, et a ainsi confié, en particulier à une autre société Fleishman-Hillar, le soin de constituer un fichier de deux cents personnes contenant de nombreuses données personnelles les concernant.

À l’issue de ses investigations, la CNIL a conclu au non-respect de deux dispositions du Règlement général sur la protection des données (UE) 2016/679 du 27 avril 2016 (RGPD) et déclenché à ce titre une procédure de sanction à l’encontre de Monsanto.

L’affirmation logique de la qualité de responsable de traitement de Monsanto

Afin d’atténuer au maximum sa responsabilité, Monsanto a naturellement tenté de faire valoir que, s’agissant du fichier de données personnelles élaboré à des fins de lobbying, Fleishman-Hillar devrait être qualifiée de responsable de traitement car cette dernière aurait « construit le fichier de manière autonome, selon une méthodologie qu’elle a elle-même définie » puis « proposé à la société Monsanto » (pt 30). Cependant, il ressort des constatations de la CNIL une implication étroite de Monsanto dans la constitution de cette liste en tant que donneuse d’ordres, les échanges entre les deux sociétés révélant l’exercice un pouvoir de direction de Monsanto sur le prestataire de services. Aux termes de la définition visée en article 4.7 du RGPD, Monsanto a déterminé les moyens et finalités du traitement de données personnelles et doit donc à ce titre être qualifiée de responsable de traitement.

En tout état de cause, la CNIL rappelle que la Cour de justice de l’Union européenne (CJUE), dans un arrêt Wirtschaftsakademie du 5 juin 2018 (CJUE 5 juin 2018, aff. C-210/16, D. 2018. 1208 ; ibid. 2270, obs. J. Larrieu, C. Le Stanc et P. Tréfigny ; ibid. 2019. 1016, obs. S. Clavel et F. Jault-Seseke ; ibid. 1673, obs. W. Maxwell et C. Zolynski ), a récemment conclu à la possibilité de retenir la qualification de responsable de traitement pour le commanditaire d’un traitement de données n’effectuant que peu, voire aucun paramétrage sur les opérations techniques.

Le fait pour Monsanto de n’avoir prétendument fait aucun usage de la liste n’a pas d’impact sur la qualification des parties.

Logiquement, Fleishman-Hillard étant considérée comme sous-traitant pour avoir réalisé un...

Il vous reste 75% à lire.

Vous êtes abonné(e) ou disposez de codes d'accès :