Accueil //Blog //RGPD //Zoom sur //[DÉLIBÉRATION COMMENTÉE] CNIL vs. Monsanto, 26 juillet 2021

Résumé des faits

Après les révélations des médias concernant la détention par la société MONSANTO d’un fichier contenant des données personnelles de personnalités politiques ou appartenant à la société civile et après avoir reçu des plaintes émanant notamment de personnes concernées par ce fichier, la CNIL a effectué des contrôles auprès de la société.

La CNIL a sanctionné la société d’une amende publique de 400 000 euros pour plusieurs manquements, notamment pour ne pas avoir informé les personnes concernées de l’enregistrement de leurs données dans ce fichier.

Motifs de la sanction / Manquements

  • Non-respect de l’article 14 du RGPD : absence d’une information conforme des personnes concernées.
  • Non-respect de l’article 28 du RGPD : absence d’encadrement par un acte juridique formalisé des traitements effectués pour le compte du responsable de traitement.

Que retenir de la décision ?

  • L’envoi d’une réponse à la personne concernée dans le cadre du traitement d’une demande d’exercice de droit n’emporte pas la qualification de responsable de traitement. Cette action rentre dans le cadre de l’obligation à la charge du sous-traitant d’aider le responsable de traitement à s’acquitter de son obligation de donner suite aux demandes d’exercice de droit.
  • Le caractère publique des données personnelles ne permet pas d’exempter le responsable de traitement de son obligation d’information.
  • La responsabilité de s’assurer de la bonne transmission de l’information aux personnes concernées est à la charge du responsable de traitement, non du sous-traitant.

Les + de Data Legal Drive

  • Des plaintes adressées à la CNIL par les personnes concernées peuvent aboutir à un contrôle de la société sur le respect effectif des exigences liées à la règlementation sur les données personnelles.
  • La création de fichiers de contacts à des fins de lobbying n’est pas en soi illégale. Des obligations liées à la protection des données des personnes concernées doivent toutefois être respectées : les données contenues dans les fichiers doivent avoir été collectées légalement et les personnes concernées doivent être informées de l’existence du fichier.
  • Le droit à l’information constitue un droit essentiel en ce que son non-respect peut avoir des conséquences sur les personnes concernées qui ne pourraient par exemple pas exercer les différents droits dont elles bénéficient.

Délibération complète de la CNIL

Consulter

À lire aussi