Du fichage, oui, avec modération et proportionnalité. Du fichage occulte, jamais !


Fichier occulte de Monsanto – La pédagogie par le contre-exemple

 

Jeudi dernier Le Monde révélait l’existence d’un fichage par l’un des prestataires de MONSANTO de centaines de personnalités classées en fonction de leurs opinions sur le glyphosate, les OGM ou les pesticides en général.

Au lendemain de ces révélations le parquet ouvrait une enquête visant « les délits de « collecte de données personnelles par un moyen frauduleux, déloyal ou illicite », « enregistrement de données à caractère personnel sensible sans l’accord de l’intéressé et transfert illicite de données à caractère personnel » et de « traitement automatisé de données personnelles sans déclaration préalable à la CNIL »

Soit respectivement les délits incriminés aux articles 226-18, 226-19, 226-221-1 et 226-16 du code pénal.

Au-delà de la question éthique et du tollé suscité par ces révélations sur fond de débat public sur le glyphosate et une nouvelle condamnation retentissante de MONSANTO par les juridictions américaines, les faits constituent un parfait exemple de ce qu’il ne faut pas (plus) faire en matière de traitement de données personnelles !

En matière de communication ou d’affaires publiques, constituer des fichiers est un des outils de base du métier. Rien d’illégal à condition de respecter la loi. C’est l’occasion de reprendre les règles de traitement issues, de longue date, de la loi informatique et libertés et plus récemment du Règlement européen sur la protection des données – RGPD :

MONSANTO qui a manifestement déterminé les finalités et les moyens du traitement est Responsable de traitement. (article 4 du RGPD)

MONSANTO devait disposer d’un fondement licite. (article 6 du RGPD). Dans cette histoire il est notamment reproché à MONSANTO de traiter des données dites sensibles qui révèlent les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale d’une personne physique, ce qui est interdit par principe, sauf consentement de la personne ou encore sauf si ces données sont « manifestement rendues publiques par la personne concernée » ( article 9 du RGPD) »

En l’espèce il n’y a pas de trace de consentement et toutes les données n’avaient manifestement pas été rendues publiques par les personnes concernées, d’où le délit.

Avant le RGPD de tels traitements étaient soumis à déclaration auprès de la CNIL ce qui n’a pas été le cas ici – Re- délit.

 

Même si le consentement n’était pas nécessaire (données publiques ou non sensibles), il fallait au moins que MONSANTO puisse justifier d’un « intérêt légitime »,étant précisé que cet intérêt légitime n’est ni arbitraire, ni absolu.  Le RGPD fait, en effet, prévaloir « les intérêts ou les libertés et droits fondamentaux de la personne concernée » (article 6 f RGPD) .

L’intérêt légitime de MONSANTO pourrait être la poursuite de son objet social et la défense de son activité dans le cadre de sa campagne de relations publiques.

Toutefois, l’incidence d’un tel fichier sur les personnalités concernées laisse douter que la balance entre l’intérêt de MONSANTO et les droits fondamentaux des personnes concernées penche en faveur du Responsable de traitement.

 

Le premier enseignement du cas MONSANTO est donc l’impérative nécessité de justifier du fondement licite de son traitement. Des traitements similaires pratiqués par des représentants d’intérêts moins sulfureux devraient passer cet écueil à condition de l’exprimer « en des termes suffisamment clairs pour permettre l’application du critère de mise en balance des intérêts » selon l’avis du G29.

 

Le deuxième enseignement est une violation manifeste d’une des obligations principales du Responsable de traitement : l’obligation d’information.

Les articles 13 et 14 du RGPD imposent une obligation d’information extensive (base légale, finalités, types de données, durée de conservation…)  à la charge du responsable de traitement dans des délais très courts, soit au moment où les données sont collectées en cas de collecte directe, soit dans « un délai raisonnable après avoir obtenu les données à caractère personnel, mais ne dépassant pas un mois ».

La sanction est lourde : jusqu’à 20.000.000 euros ou 4 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.

 

En conclusion, si les fichiers établis par les représentants d’intérêts ne sont pas illégaux en principe, il convient de bien justifier de son intérêt légitime et, surtout, même s’il s’agit d’un fichier à usage interne, ne pas jamais oublier d’en informer les personnes concernées…

 

Il est 1 commentaire

Add yours

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.