Délibération CNIL/Monsanto - Point d'information

Cabinet
Notre Actu
Cabinet

Aux termes d’une délibération du 26 juillet concernant la société MONSANTO COMPANY, la Commission Nationale de l’Informatique et des Libertés (CNIL), et c’est une bonne nouvelle, confirme qu’un traitement de données à caractère personnel, consistant en la collecte d’informations visant à recenser les personnes influentes auprès desquelles une entreprise souhaite représenter ses intérêts peut, sous réserve de certaines conditions, être réalisé sur le fondement de l’intérêt légitime poursuivi par le responsable de traitement.

En l’espèce, la CNIL note que les personnes dont les données figuraient dans le fichier litigieux avaient pris part au débat public sur l’utilisation du glyphosate ou des sujets en lien avec cette thématique et pouvaient donc raisonnablement s’attendre à ce que la société MONSANTO, ou plus généralement des organismes ayant pour activité la représentation d’intérêts, s’intéressent à leur positionnement dans le débat lié au glyphosate, et traite leurs coordonnées professionnelles ainsi que les informations relatives à leurs prises de position publiques, données publiquement et licitement accessibles, afin de connaître et comprendre leurs positions et éventuellement d’entrer en contact avec elles.

La CNIL rappelle que le responsable de traitement qui met en œuvre un tel traitement doit s’assurer du respect des obligations prévues par le RGPD et notamment de l’obligation d’information des personnes afin notamment que celles-ci puissent exercer leurs droits. Ce qui interroge, sur ce point, c’est que la CNIL ajoute que cette information « contribue ainsi à rendre davantage transparente l’activité de représentation d’intérêts ». Or l’objet du RGPD n’est pas, fût-ce en période pré-électorale, d’accroître la transparence de la vie publique, domaine réservé par la loi à la HATVP.

Aux termes de l’article 4 (7) du RGPD, le responsable de traitement est la personne qui détermine, seule ou conjointement avec d’autres, les finalités du traitement mis en œuvre, c’est-à-dire le résultat attendu ou recherché ou encore le « pourquoi » du traitement, et les moyens de ce traitement, c’est-à-dire la façon de parvenir à ce résultat ou encore le « comment » du traitement. Autrement dit, le responsable du traitement doit décider à la fois du but ou de l’objectif du traitement et des moyens qui doivent être mis en œuvre pour atteindre ce but ou cet objectif. Le responsable du traitement ne peut pas déterminer uniquement la finalité. Il doit également prendre des décisions sur les moyens du traitement. Le sous-traitant ne peut, quant à lui, jamais déterminer la finalité du traitement.

Pour identifier le responsable du traitement dans cette affaire, la CNIL analyse les échanges entre Monsanto et son cabinet de conseil. Elle considère que ces échanges démontrent en l’espèce que le cabinet de conseil était privé de l’autonomie dont jouit normalement un responsable de traitement compte tenu du pouvoir de direction qu’exerçait Monsanto sur ses activités, et ne pouvait dès lors être que sous-traitant. A cet égard, la CNIL précise que le fait de répondre aux demandes d’exercice de droit des personnes concernées par le traitement n’est pas un critère pour déterminer le responsable du traitement et qu’il est « courant que ce soit le sous-traitant qui soit le plus à même de traiter ces demandes ».

La CNIL rappelle que la responsabilité de s’assurer que l’information prévue par l’article 14 du RDGP a bien été délivrée aux personnes concernées incombe au responsable de traitement et non au sous-traitant. En effet, conformément à cet article, il appartient au responsable du traitement de fournir aux personnes concernées, lorsque les données à caractère personnel n'ont pas été collectées auprès d’elles « notamment, [son] identité et [ses] coordonnées […] (et le cas échéant les coordonnées du délégué à la protection des données), les finalités du traitement, sa base juridique, les catégories de données à caractère personnel concernées, le cas échéant les destinataires ou les catégories de destinataires des données, le fait que le responsable du traitement a l'intention d'effectuer un transfert des données vers un pays tiers ainsi que, si cela est nécessaire pour garantir un traitement équitable et transparent, la durée de conservation des données, l'existence des différents droits dont bénéficient les personnes, l’existence du droit de retirer son consentement à tout moment et le droit d’introduire une réclamation auprès d'une autorité de contrôle, la source d’où proviennent les données et l’existence éventuelle d’une prise de décision automatisée ».

Quant aux modalités de cette information, la CNIL précise que le responsable du traitement doit fournir ces informations "dans un délai raisonnable après avoir obtenu les données à caractère personnel, mais ne dépassant pas un mois, eu égard aux circonstances particulières dans lesquelles les données à caractère personnel sont traitées ou s'il est envisagé de communiquer les informations à un autre destinataire, au plus tard lorsque les données à caractère personnel sont communiquées pour la première fois".

La CNIL, qui évoque les informations de contact (adresse, numéro de téléphone, adresse de messagerie électronique) des personnes concernées présentes dans le fichier litigieux, semble considérer en l’espèce que cette information devait prendre une forme individuelle. Est-ce toujours le cas ? Quelle forme doit prendre l’information des personnes concernées sur le fondement de l’article 14 du RGPD (individuelle ? expresse ? etc…).

Le Cabinet Samman se rapproche de la CNIL avec les organisations représentatives pour comprendre la décision de la CNIL en l’espèce, et clarifier les obligations des professionnels des affaires publiques en la matière.