Dans le cadre d’un contrat de prestation de services de lobbying conclu entre une agence de relations publiques et son client, ce dernier doit être qualifié de responsable de traitement de données personnelles (fichier des personnes exerçant une influence sur l’interdiction du glyphosate). Affaire MonsantoEn l’occurrence, il ressort de plusieurs échanges intervenus entre la société MONSANTO et son agence de relations publiques (FLEISHMAN-HILLARD devenue OMNICOM PUBLIC RELATIONS GROUP (OPRG) , que la société a été étroitement associée à l’identification et au recensement des parties prenantes impliquées dans le débat sur le glyphosate, activité qui s’est notamment concrétisée par l’élaboration du fichier de données personnelles en question. Pouvoir de direction du clientPar ailleurs, les échanges très réguliers entre les deux sociétés ont fait apparaître que la société MONSANTO formulait des demandes très précises sur ce qu’elle considérait devoir être pris en compte par la société FLEISHMAN-HILLARD dans la réalisation de ses missions et d’autres messages sont relatifs à l’organisation de réunions impliquant des représentants des deux sociétés. La CNIL a ainsi établi l’implication de la société MONSANTO dans le suivi des tâches réalisées par la société FLEISHMAN-HILLARD, et notamment l’organisation d’échanges quotidiens entre les équipes, de points hebdomadaires, mensuels et trimestriels permettant à la société MONSANTO de suivre l’avancée des tâches confiées à FLEISHMAN-HILLARD et la livraison du travail réalisé ou en cours de réalisation. Ces échanges démontrent que la société FLEISHMAN-HILLARD rendait compte à la société MONSANTO de la progression de la campagne liée au renouvellement du glyphosate et des actions menées dans ce cadre, et surtout que cette dernière exerçait un pouvoir de direction sur les activités de la société FLEISHMAN-HILLARD, la privant ainsi de l’autonomie dont jouit normalement un responsable de traitement. Sous-traitance de données personnellesCes éléments démontrent que la société FLEISHMAN-HILLARD a agi en tant que sous-traitant de la société MONSANTO, au sens de l’article 4(8) du RGPD. Notions de responsable de traitement et de sous-traitantLes notions de responsable de traitement et de sous-traitant sont éclairées par le Comité européen de la protection des données ( « CEPD » ) dans ses lignes directrices 07/2020 adoptées le 2 septembre 2020 et soumises à consultation publique. Le CEPD y indique que « Déterminer les finalités et les moyens revient à décider respectivement du »pourquoi« et du »comment » du traitement : s’agissant d’une opération de traitement particulière, le responsable du traitement est l’acteur qui a déterminé pourquoi le traitement a lieu (c’est-à-dire « dans quel but » ou « pour quel objectif » ) et comment cet objectif doit être atteint (c’est-à-dire quels moyens doivent être utilisés pour atteindre l’objectif). Une personne physique ou morale qui exerce une telle influence sur le traitement des données à caractère personnel participe ainsi à la détermination des finalités et des moyens de ce traitement conformément à la définition de l’article 4, paragraphe 7, du RGPD. Le responsable du traitement doit décider à la fois de la finalité et des moyens de traitement décrits ci-dessous. Par conséquent, le responsable du traitement ne peut pas déterminer uniquement la finalité. Il doit également prendre des décisions sur les moyens du traitement. Inversement, la partie agissant en tant que sous-traitant ne peut jamais déterminer la finalité du traitement » (traduction libre). Il résulte de la jurisprudence de la CJUE que le fait de recourir à un traitement de données personnelles qui a été conçu par un autre acteur et sur lequel le commanditaire ne peut qu’effectuer certains paramétrages (CJUE, 5 juin 2018, Wirtschaftsakademie Schleswig-Holstein, C-210/16), voire aucun paramétrage (CJUE, 29 juillet 2019, Fashion ID GmbH & Co. KG, C-40/17) ne dispense pas celui qui a recours à ce traitement de sa qualité de responsable de traitement. La Cour précise également qu’ « une personne physique ou morale qui influe, à des fins qui lui sont propres, sur le traitement de données à caractère personnel et participe de ce fait à la détermination des finalités et des moyens de ce traitement, peut être considérée comme étant responsable du traitement, au sens de l’article 2, sous d), de la directive 95/46 » (CJUE, 10 juillet 2018, Tietosuojavaltuutettu/Jehovan todistajat, C-25/17). Le Droit d’accès indifférentPrécision utile : le fait pour la société FLEISHMAN-HILLARD d’avoir répondu à des demandes de droits d’accès n’emporte pas pour autant la qualification de responsable de traitement. En effet, l’article 28-3-e du RGPD prévoit que le sous-traitant « aide le responsable du traitement, par des mesures techniques et organisationnelles appropriées, dans toute la mesure du possible, à s’acquitter de son obligation de donner suite aux demandes dont les personnes concernées le saisissent en vue d’exercer leurs droits ». Ainsi, au regard des spécificités du traitement, le sous-traitant peut répondre lui-même aux demandes des personnes si cette mesure permet un meilleur respect des droits des personnes. Il est d’ailleurs courant que ce soit le sous-traitant qui soit le plus à même de traiter les demandes d’exercice de droit. ___________________________________________________________________________________________ Délibération de la formation restreinte CNIL n°SAN-2021-012 du 26 juillet 2021 concernant la société MONSANTO COMPANY La Commission nationale de l’informatique et des libertés, réunie en sa formation restreinte composée de Monsieur Alexandre LINDEN, président, Monsieur Philippe-Pierre CABOURDIN, vice-président, Madame Anne DEBET, Monsieur Bertrand du MARAIS et Madame Christine MAUGÜE, membres ; Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des données à caractère personnel et à la libre circulation de ces données ; Vu la loi no 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés modifiée, notamment ses articles 20 et suivants ; Vu le décret no 2019-536 du 29 mai 2019 pris pour l’application de la loi no 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ; Vu la délibération no 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l’informatique et des libertés ; Vu les saisines n°19009370, 19009429, 19009432, 19009439, 19009604, 19009666, 19017095 ; Vu la décision n° 2019-098C du 13 mai 2019 de la présidente de la Commission nationale de l’informatique et des libertés de charger le secrétaire général de procéder ou de faire procéder à une mission de vérification des traitements mis en œuvre par la société FLEISHMAN-HILLARD, devenue, à partir du 1er janvier 2017, la société OMNICOM PUBLIC RELATIONS GROUP ; Vu la décision n° 2019-099C du 13 mai 2019 de la présidente de la Commission nationale de l’informatique et des libertés de charger le secrétaire général de procéder ou de faire procéder à une mission de vérification des traitements mis en œuvre par la société PUBLICIS CONSULTANTS ; Vu la décision n° 2019-111C du 26 juin 2019 de la présidente de la Commission nationale de l’informatique et des libertés de charger le secrétaire général de procéder ou de faire procéder à une mission de vérification des traitements mis en œuvre par la société MONSANTO COMPANY ; Vu la décision de la présidente de la Commission nationale de l’informatique et des libertés portant désignation d’un rapporteur devant la formation restreinte, en date du 5 novembre 2020 ; Vu le rapport de Madame Valérie PEUGEOT, commissaire rapporteure, notifié, à la demande des sociétés, à la société BAYER CROPSCIENCE, venant aux droits de la société MONSANTO COMPANY le 15 février 2021 ; Vu les observations écrites versées par le conseil de la société MONSANTO COMPANY le 15 mars 2021 ; Vu la réponse du rapporteur à ces observations notifiée au conseil de la société MONSANTO COMPANY le 9 avril 2021 ; Vu les nouvelles observations écrites versées par le conseil de la société MONSANTO COMPANY, reçues le 5 mai 2021 ; Vu les observations orales formulées lors de la séance de la formation restreinte ; Vu les autres pièces du dossier ; Étaient présents, lors de la séance de la formation restreinte du 20 mai 2021 : — Madame Valérie PEUGEOT, commissaire, entendue en son rapport ; En qualité de représentants de la société MONSANTO COMPANY : [ …] En qualité d’interprète : […] La société MONSANTO ayant eu la parole en dernier ; La formation restreinte a adopté la décision suivante : I. Faits et procédure 1. La société MONSANTO COMPANY (ci-après « la société MONSANTO » ) est une société américaine spécialisée dans les biotechnologies agricoles, dont le siège est situé au 800 North Lindbergh Boulevard à SAINT-LOUIS, dans le MISSOURI (63167) aux ETATS-UNIS. Le groupe MONSANTO a fait l’objet au mois de juin 2018 d’une acquisition par le groupe pharmaceutique et agrochimique allemand BAYER CROPSCIENCE. 2. La société MONSANTO demeure cependant une entité distincte, détenue à 100% par la société BAYER, et qui conserve la personnalité morale et la même dénomination sociale. 3. Au cours du mois de mai 2019, un article paru dans le journal « Le Monde » ainsi que deux documentaires diffusés sur la chaîne « France 2 » ont révélé qu’entre 2016 et 2017, les sociétés FLEISHMAN-HILLARD (devenue la société OMNICOM PUBLIC RELATIONS GROUP) et la société PUBLICIS CONSULTANTS avaient constitué, pour le compte de la société MONSANTO, des fichiers contenant les données à caractère personnel de plus de 200 personnalités politiques françaises et européennes ou appartenant à la société civile dont des journalistes, des militants de la cause écologiste, des scientifiques et des agriculteurs, dans le cadre de la campagne pour le renouvellement de l’autorisation d’utilisation du glyphosate par la Commission européenne. 4. Entre les mois de mai et septembre 2019, la Commission nationale de l’informatique et des libertés (ci-après « la CNIL » ou « la Commission » ) a été saisie de sept plaintes (saisines n° 19009370, 19009429, 19009432, 19009439, 19009604, 19009666, 19017095) à l’encontre de la société dans lesquelles les plaignants indiquaient notamment qu’ils n’avaient pas été informés de l’existence de ce traitement de leurs données à caractère personnel. 5. En application des décisions n° 2019-098C et n° 2019-099C du 13 mai 2019 et n° 2019-111C du 26 juin 2019 de la présidente de la Commission, une délégation de la CNIL a mené les opérations de contrôle suivantes : — un contrôle sur pièces, par l’envoi d’un courrier de demande de pièces le 15 mai 2019 à la société FLEISHMAN-HILLARD (devenue la société OMNICOM PUBLIC RELATIONS GROUP le 1er janvier 2017) ; — une audition de la société FLEISHMAN-HILLARD le 21 janvier 2020 ; — un contrôle sur pièces, par l’envoi d’un courrier de demande de pièces le 14 mai 2019, à la société PUBLICIS CONSULTANTS ; — un contrôle sur pièces, par l’envoi d’un questionnaire le 6 août 2019, à la société MONSANTO. 6. Ces missions avaient pour objet de vérifier le respect par ces sociétés de l’ensemble des dispositions de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés (ci-après « la loi Informatique et Libertés » ou « la loi du 6 janvier 1978 » ) et du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (ci-après « le RGPD » ou « le Règlement » ). En particulier, il s’est agi de procéder à des investigations en lien avec le traitement effectué à la demande de la société MONSANTO et dans le cadre d’une mission globale de représentation d’intérêts, par la société FLEISHMAN-HILLARD, consistant à collecter et organiser des données à caractère personnel en vue d’accomplir une mission de représentation d’intérêts concernant l’utilisation du glyphosate en Europe et dans le monde. 7. Il ressort des investigations menées par la délégation de contrôle de la CNIL que, par un contrat cadre de prestation de services en date du 18 juillet 2013, complété par trois avenants et quatre cahiers des charges, la société MONSANTO a confié à la société FLEISHMAN-HILLARD – devenue le 1er janvier 2017 la société OMNICOM PUBLIC RELATIONS GROUP (OPRG) – une mission de représentation d’intérêts concernant l’utilisation du glyphosate en Europe et dans le monde, à compter de 2016 et jusqu’au 31 mai 2019. 8. En effet, parmi ses activités, la société développe et commercialise des produits phytosanitaires. Le plus connu d’entre eux est le RoundUp, dont l’une des substances actives est le glyphosate. En vue du renouvellement de l’autorisation du glyphosate par la Commission européenne, intervenu finalement le 27 novembre 2017, la société MONSANTO a mené une importante campagne de représentation d’intérêts, notamment à l’aide des sociétés FLEISHMAN-HILLARD et PUBLICIS. 9. Dans le cadre de cette prestation, la société FLEISHMAN-HILLARD a procédé à l’identification et au recensement d’informations relatives à des personnalités impliquées dans le débat sur le renouvellement de l’autorisation d’utilisation du glyphosate en Europe, qui s’est notamment concrétisé par l’élaboration et la tenue d’une liste des « parties prenantes » intervenant dans le cadre de cette campagne. Ce fichier, intitulé « French Monsanto stakeholders database – cultivating trust » , comportait une liste de 201 personnes résidant en France, dont des membres d’associations de protection de l’environnement, d’associations d’agriculteurs, d’associations dans le domaine de la santé, d’organisations professionnelles, des personnalités politiques, des membres d’administrations, des journalistes, des universitaires et des agriculteurs. Pour chacune de ces personnes, les informations suivantes étaient renseignées : organisme de rattachement et site web, poste occupé, adresse professionnelle, numéro de téléphone fixe professionnel, numéro de téléphone portable, adresse de messagerie électronique professionnelle et, le cas échéant, compte « Twitter » . 10. En outre, une note allant de 1 à 5 était attribuée à chaque personne, afin d’évaluer son influence, sa crédibilité et son soutien à la société MONSANTO sur six sujets, en l’occurrence l’agriculture, les pesticides, les organismes génétiquement modifiés, l’environnement, l’alimentation et la santé. 11. Le fichier comportait également une zone de commentaire libre dans laquelle pouvaient être indiqués les évènements auxquels ces personnes avaient assisté ou qu’elles avaient organisé, les personnes avec qui elles travaillaient, les contacts qu’elles avaient eus avec des représentants de la société MONSANTO ou encore les articles qu’elles avaient publiés au sujet du glyphosate. 12. En outre, entre 2016 et 2017, la société FLEISHMAN-HILLARD a notamment chargé la société PUBLICIS CONSULTANTS, pour le compte de la société MONSANTO, d’identifier les personnes influentes dans le débat public en France, de produire des notes d’analyse relatives aux tendances électorales en France et de procéder à une veille des médias sur l’actualité législative et politique française en lien avec le débat sur le renouvellement de l’autorisation d’utilisation du glyphosate en Europe. La société FLEISHMAN-HILLARD a mis fin à la mission de la société PUBLICIS CONSULTANTS au mois d’avril 2017. 13. Afin d’instruire ces éléments, la présidente de la Commission a désigné Madame Valérie PEUGEOT en qualité de rapporteure, le 5 novembre 2020, sur le fondement de l’article 22 de la loi du 6 janvier 1978 modifiée. 14. À l’issue de son instruction, la rapporteure a fait signifier par huissier de justice à la société MONSANTO, le 15 février 2021, un rapport détaillant les manquements au RGPD qu’elle estimait constitués en l’espèce. Était également jointe au rapport une convocation à la séance de la formation restreinte du 1er avril 2021, indiquant à la société qu’elle pouvait produire ses observations en réponse au plus tard le 16 mars 2021. 15. Ce rapport proposait à la formation restreinte de la Commission de prononcer à l’encontre de la société MONSANTO une amende administrative. Il proposait également que cette décision soit rendue publique et ne permette plus d’identifier nommément la société à l’expiration d’un délai de deux ans à compter de sa publication. 16. Le 15 mars 2021, la société a produit des observations en réponse. Le 23 mars 2021, la rapporteure a demandé au président de la formation restreinte, sur le fondement de l’article 40, alinéa 4, du décret n° 2019-536 du 29 mai 2019 pris pour l’application de la loi Informatique et Libertés (ci-après « le décret du 29 mai 2019 » ), un délai supplémentaire pour répondre aux observations de la société, qui lui a été accordé le 25 mars 2021. Cette information a été portée à la connaissance de la société le jour même. Elle a également été informée de ce que la séance de la formation restreinte initialement prévue le 1er avril était reportée à une date ultérieure. 17. Le 23 mars 2021, la société a formulé une demande pour que la séance de la formation restreinte se tienne à huis clos, demande qui a été rejetée par le président de la formation restreinte, par courrier du 8 avril 2021. 18. La rapporteure a répondu aux observations de la société le 9 avril 2021. Le même jour, le secrétaire général de la CNIL a informé la société que la séance de formation restreinte se tiendrait le 20 mai 2021. 19. Le 5 mai 2021, la société a présenté de nouvelles observations en réponse à celles du rapporteur. 20. La société et la rapporteure ont présenté des observations orales lors de la séance de la formation restreinte. II. Motifs de la décision A. Sur le grief tiré de l’impartialité de la procédure 21. La société MONSANTO reproche à la rapporteure d’avoir fait preuve de partialité dans son instruction dans la mesure où son rapport de sanction serait essentiellement fondé sur les déclarations de la société FLEISHMAN-HILLARD et où certains documents communiqués à la CNIL par les sociétés FLEISHMAN-HILLARD et PUBLICIS lors des contrôles ne lui auraient pas été transmis. Elle souligne également que ni les services de la CNIL ni la rapporteure n’ont procédé à son audition alors que la société FLEISHMAN-HILLARD a été entendue par la délégation de contrôle de la CNIL. Elle souligne en outre que la société FLEISHMAN-HILLARD avait tout intérêt à imputer la responsabilité du traitement mis en œuvre à la société MONSANTO. 22. La société reproche également à la rapporteure de n’avoir retenu à son encontre que des éléments à charge et d’avoir écarté des débats certains documents. Elle note en outre que certaines pièces annexées au rapport de la rapporteure ont partiellement été occultés, la privant ainsi du droit à préparer efficacement sa défense. En particulier, la société se plaint de ce que l’étude d’impact réalisée par la société FLEISHMAN-HILLARD ne lui a pas été communiquée. Elle note encore que le rapport d’audit réalisé par la société SIDLEY à la suite de la publication des articles de presse et de la diffusion des reportages, audit qui a été réalisé à la demande de la société BAYER CROPSCIENCE et dont le rapport démontre l’absence du fichier litigieux au sein du système d’information de la société MONSANTO, n’est pas discuté par la rapporteure. 23. En premier lieu, la formation restreinte note que le procès-verbal d’audition des représentants de la société FLEISHMAN-HILLARD, réalisée par la délégation de contrôle de la CNIL le 21 janvier 2020, fait partie des pièces annexées au rapport de sanction qui a été notifié à la société le 15 février 2021 de même que toutes les autres pièces sur lesquelles la rapporteure a fondé son analyse et sa proposition dans le cadre de la procédure. Ainsi, comme le prévoit l’article 40 du décret no 2019 536 du 29 mai 2019, la société a eu la possibilité de formuler des observations écrites en réponse au rapport de la rapporteure et donc de remettre en cause toute déclaration formulée par la société FLEISHMAN-HILLARD qu’elle estimait erronée ou mensongère. Au demeurant, la formation restreinte souligne que la société a également eu la possibilité de produire de nouvelles observations en réponse à celles de la rapporteure et, qu’enfin, elle a pu développer ses arguments au cours de la séance de la formation restreinte du 20 mai 2021, conformément à l’article 42 du décret précité. La société MONSANTO a donc pu faire valoir ses observations à différents stades de la procédure, conformément aux dispositions applicables. 24. En deuxième lieu, la formation restreinte note que le choix de la rapporteure d’annexer à son rapport de sanction seulement les éléments utiles à la caractérisation des manquements qu’elle estimait devoir être reprochés à la société, et non l’ensemble des éléments recueillis dans le cadre des procédures de contrôle, n’entrave aucunement les droits de la défense de la société. En effet, d’une part, la rapporteure a pu librement considérer que certains documents n’étaient pas utiles à sa démonstration et, d’autre part, comme expliqué au point précédent, la procédure contradictoire organisée par la loi « Informatique et Libertés » et le décret pris pour son application ont permis à la société de produire tout document qu’elle estimait utile à sa défense. 25. S’agissant du fait que certains documents communiqués par la rapporteure comporte des occultations, la formation restreinte note que la rapporteure a indiqué que ces occultations portaient sur des informations protégées par le secret des affaires, sans lien avec la présente procédure, ou sur des données à caractère personnel. La formation restreinte note par ailleurs qu’à l’occasion de sa réponse aux observations de la société en date du 9 avril 2021, la rapporteure a finalement communiqué à la société plusieurs de ces documents dans leur version intégrale. 26. La formation restreinte rappelle au demeurant qu’elle n’a pas été rendue destinataire des versions non occultées de ces documents, de sorte qu’elle n’a connaissance d’aucun élément supplémentaire qui n’aurait pas été communiqué à la société dans le cadre de la procédure. En tout état de cause, la formation restreinte précise que les occultations en question n’ont nullement dénaturé sa compréhension du dossier et n’ont pas eu d’incidence sur sa prise de décision. 27. En troisième lieu, s’agissant de l’absence d’audition de la société, la formation restreinte relève tout d’abord qu’un contrôle sur pièces de la société MONSANTO a été réalisé par une délégation de la CNIL, qui s’est traduit par l’envoi d’un questionnaire l’interrogeant sur la mise en œuvre du traitement en question, auquel la société a répondu. La formation restreinte observe ainsi que la société a bien été entendue en cours de la procédure, dans le respect des dispositions légales applicables, le contrôle sur pièces constituant l’une des quatre formes de contrôle prévues par l’article 19 de la loi Informatique et Libertés. Ensuite, elle rappelle que l’audition par le rapporteur de l’organisme contre lequel une procédure de sanction a été initiée n’est qu’une faculté qui est offerte au rapporteur par l’article 39 du décret précité et non une étape obligatoire de la procédure. La formation restreinte relève en outre que la société n’a pas non plus sollicité d’audition directement auprès de la rapporteure. Au vu de ce qui précède, la formation restreinte considère que la procédure suivie dans la présente procédure n’est pas entachée d’irrégularité. B. Sur la qualité de responsable de traitement de la société MONSANTO 28. Aux termes de l’article 4 (7) du RGPD, le responsable de traitement est défini comme étant « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ». 29. La rapporteure considère qu’en l’espèce, la société MONSANTO doit être regardée comme le responsable du traitement en question dans la mesure où elle est la personne pour le compte de laquelle le traitement est mis en œuvre, qui détermine pourquoi le traitement a lieu et comment son objectif doit être atteint. En effet, le fichier en cause avait pour objet de permettre à la société MONSANTO d’identifier et de recenser les parties prenantes du secteur afin de mettre en place une stratégie de communication ciblée en faveur du renouvellement de l’autorisation du glyphosate par la Commission européenne. Elle rappelle ainsi que c’est pour atteindre cet objectif qu’elle a décidé de confier à la société FLEISHMAN-HILLARD l’ensemble des activités liées aux relations publiques et à la réputation de l’entreprise et, plus particulièrement à compter de 2016, une mission de représentation d’intérêts concernant l’utilisation du glyphosate en Europe et dans le monde et que c’est dans le cadre de cette mission que le fichier nommé « 20160822 French Monsanto stakeholders database – cultivating trust » a été établi. 30. En défense, la société estime que la responsabilité du traitement incombait exclusivement à la société FLEISHMAN-HILLARD et que la rapporteure confond les notions de bénéficiaire d’un service et celle de responsable de traitement. Elle souligne que c’est la société FLEISHMAN-HILLARD qui, en sa qualité d’entreprise spécialisée en matière de conseil et de relations publiques, a construit le fichier de manière autonome, selon une méthodologie qu’elle a elle-même définie, puis qui l’a proposé à la société MONSANTO. 31. La société souligne que c’est en raison de l’expertise de la société FLEISHMAN-HILLARD qu’elle a fait appel à ses services et que la constitution de listes de noms est une pratique courante dans ce secteur d’activités. Elle rappelle qu’elle n’a jamais donné d’instructions à la société FLEISHMAN-HILLARD quant à la façon d’effectuer cette mission et qu’elle n’a fait que réagir aux propositions faites par cette dernière. 32. La société MONSANTO explique en outre que, insatisfaite du résultat obtenu, elle n’a jamais utilisé le fichier en question. Or, elle note que si elle avait agi en tant que responsable de traitement, elle aurait demandé à la société FLEISHMAN-HILLARD de modifier le fichier à sa convenance afin d’obtenir un résultat correspondant davantage à ses attentes. 33. La société indique en outre que la société FLEISHMAN-HILLARD se présente sur son site internet comme le responsable de traitement des données traitées dans le cadre des missions qui lui sont confiées par ses clients. Elle rappelle également que c’est la société FLEISHMAN-HILLARD qui a répondu aux demandes d’exercice des droits des personnes concernées en lien avec le traitement en cause. 34. En premier lieu, la formation restreinte rappelle que le responsable de traitement est la personne qui détermine les finalités du traitement mis en œuvre, c’est-à-dire le résultat attendu ou recherché, et les moyens de ce traitement, c’est-à-dire la façon de parvenir à ce résultat. 35. Les notions de responsable de traitement et de sous-traitant sont éclairées par le Comité européen de la protection des données (ci-après « le CEPD » ) dans ses lignes directrices 07/2020 adoptées le 2 septembre 2020 et soumises à consultation publique. Le CEPD y indique que « Déterminer les finalités et les moyens revient à décider respectivement du »pourquoi« et du »comment » du traitement : s’agissant d’une opération de traitement particulière, le responsable du traitement est l’acteur qui a déterminé pourquoi le traitement a lieu (c’est-à-dire « dans quel but » ou « pour quel objectif » ) et comment cet objectif doit être atteint (c’est-à-dire quels moyens doivent être utilisés pour atteindre l’objectif). Une personne physique ou morale qui exerce une telle influence sur le traitement des données à caractère personnel participe ainsi à la détermination des finalités et des moyens de ce traitement conformément à la définition de l’article 4, paragraphe 7, du RGPD. Le responsable du traitement doit décider à la fois de la finalité et des moyens de traitement décrits ci-dessous. Par conséquent, le responsable du traitement ne peut pas déterminer uniquement la finalité. Il doit également prendre des décisions sur les moyens du traitement. Inversement, la partie agissant en tant que sous-traitant ne peut jamais déterminer la finalité du traitement » (traduction libre). 36. En l’espèce, il n’est pas contesté que la société MONSANTO poursuivait un objectif précis, en l’occurrence favoriser et obtenir le renouvellement de l’autorisation par la Commission européenne de l’utilisation du glyphosate. C’est afin d’atteindre cet objectif que la société a décidé que le moyen d’y parvenir était de lancer une campagne de représentation d’intérêts pour les besoins de laquelle il était nécessaire d’établir la cartographie des parties prenantes dans le débat sur le renouvellement de l’autorisation de l’utilisation du glyphosate dans l’Union européenne. C’est pour parvenir à ce résultat que la société MONSANTO a fait appel à la société FLEISHMAN-HILLARD, société spécialisée dans les activités liées aux relations publiques. 37. La formation restreinte relève que par un contrat cadre de prestation de services en date du 18 juillet 2013 (pièce n° 14 annexée au rapport de sanction), la société MONSANTO a, entre autres, confié à la société FLEISHMAN-HILLARD, en tant qu’agence de relations publiques et de conseil en communication stratégique, des missions liées à la réputation de l’entreprise. A compter de la signature le 5 août 2016 de l’avenant n°13 (pièce n° 17 annexée au rapport de sanction), la société FLEISHMAN-HILLARD a été plus particulièrement chargée d’établir la liste des « parties prenantes » ( « stakeholders » ) dans le cadre de la campagne pour le renouvellement de l’autorisation du glyphosate en Europe. 38. La nécessité pour la société MONSANTO de disposer d’une telle cartographie ressort explicitement de l’avenant n°13 lequel comporte une section « Suivi des parties prenantes à la réglementation » (traduction libre) où la société FLEISHMAN-HILLARD indique que son « objectif est d’ajouter une strate supplémentaire à la cartographie des parties prenantes afin d’avoir une image plus claire de qui discute actuellement du glyphosate, ce qu’ils en disent et où ils le disent » (traduction libre). Cette demande a été reprise dans l’avenant n° 7 en date du 15 octobre 2016 (pièce n° 16 annexée au rapport de sanction), lequel a été renouvelé à de nombreuses reprises jusqu’au 31 mai 2019. Il apparaît ainsi que la société FLEISHMAN-HILLARD était explicitement tenue d’établir la liste des parties prenantes dans le cadre de la campagne pour le renouvellement de l’autorisation du glyphosate en Europe. 39. En deuxième lieu, la formation restreinte constate que, contrairement à ce que soutient la société MONSANTO, il ressort de plusieurs échanges intervenus entre les deux sociétés par voie électronique que la société MONSANTO a été étroitement associée à l’identification et au recensement des parties prenantes impliquées dans le débat sur le glyphosate, activité qui s’est notamment concrétisée par l’élaboration du fichier en question. Par ailleurs, les échanges très réguliers entre les deux sociétés font apparaître que la société MONSANTO formulait des demandes très précises sur ce qu’elle considérait devoir être pris en compte par la société FLEISHMAN-HILLARD dans la réalisation de ses missions et d’autres messages sont relatifs à l’organisation de réunions impliquant des représentants des deux sociétés. Les pièces annexées au rapport de sanction attestent ainsi de l’implication de la société MONSANTO dans le suivi des tâches réalisées par la société FLEISHMAN-HILLARD, et notamment l’organisation d’échanges quotidiens entre les équipes, de points hebdomadaires, mensuels et trimestriels permettant à la société MONSANTO de suivre l’avancée des tâches confiées à FLEISHMAN-HILLARD et la livraison du travail réalisé ou en cours de réalisation. 40. La formation restreinte considère que ces échanges démontrent que la société FLEISHMAN-HILLARD rendait compte à la société MONSANTO de la progression de la campagne liée au renouvellement du glyphosate et des actions menées dans ce cadre, et surtout que cette dernière exerçait un pouvoir de direction sur les activités de la société FLEISHMAN-HILLARD, la privant ainsi de l’autonomie dont jouit normalement un responsable de traitement. Ces éléments démontrent que la société FLEISHMAN-HILLARD a agi en tant que sous-traitant de la société MONSANTO, au sens de l’article 4(8) du RGPD. 41. La formation restreinte note enfin que la circonstance que la société MONSANTO indique ne pas avoir finalement utilisé le fichier établi par FLEISHMAN-HILLARD, point qu’il n’a pas été possible de vérifier dans le cadre des contrôles de la CNIL, est sans incidence sur le fait que c’est bien elle qui, par les directives données à FLEISHMAN-HILLARD, a défini en amont les finalités et les moyens du traitement qui a été mis en œuvre en vue notamment d’établir ce fichier. 42. En troisième lieu, la formation restreinte considère qu’il ne saurait être déduit du seul fait que la société FLEISHMAN-HILLARD ait proposé à la société MONSANTO une stratégie de suivi des parties prenantes que celle-ci puisse être qualifiée de responsable de traitement. 43. La formation restreinte souligne au contraire que c’est le fait pour la société MONSANTO, société donneuse d’ordre, de décider d’accepter la proposition faite par la société FLEISHMAN-HILLARD, et de lui demander contractuellement de réaliser des opérations pour son compte en tant que prestataire, qui a permis au traitement d’exister. En effet, si la société MONSANTO avait refusé cette proposition, la société FLEISHMAN-HILLARD n’aurait pas mis en œuvre ce traitement. Il résulte de la jurisprudence de la Cour de justice de l’Union européenne (CJUE) que le fait de recourir à un traitement de données personnelles qui a été conçu par un autre acteur et sur lequel le commanditaire ne peut qu’effectuer certains paramétrages (CJUE, 5 juin 2018, Wirtschaftsakademie Schleswig-Holstein, C-210/16), voire aucun paramétrage (CJUE, 29 juillet 2019, Fashion ID GmbH & Co. KG, C-40/17) ne dispense pas celui qui a recours à ce traitement de sa qualité de responsable de traitement. La Cour précise également qu’ « une personne physique ou morale qui influe, à des fins qui lui sont propres, sur le traitement de données à caractère personnel et participe de ce fait à la détermination des finalités et des moyens de ce traitement, peut être considérée comme étant responsable du traitement, au sens de l’article 2, sous d), de la directive 95/46 » (CJUE, 10 juillet 2018, Tietosuojavaltuutettu/Jehovan todistajat, C-25/17). 44. En dernier lieu, la formation restreinte considère que le fait pour la société FLEISHMAN-HILLARD d’avoir répondu à des demandes de droits d’accès n’emporte pas pour autant la qualification de responsable de traitement. En effet, l’article 28-3-e du RGPD prévoit que le sous-traitant « aide le responsable du traitement, par des mesures techniques et organisationnelles appropriées, dans toute la mesure du possible, à s’acquitter de son obligation de donner suite aux demandes dont les personnes concernées le saisissent en vue d’exercer leurs droits » . Ainsi, au regard des spécificités du traitement, le sous-traitant peut répondre lui-même aux demandes des personnes si cette mesure permet un meilleur respect des droits des personnes. Il est d’ailleurs courant que ce soit le sous-traitant qui soit le plus à même de traiter les demandes d’exercice de droit. La formation restreinte considère donc, compte tenu de ces éléments, que la société MONSANTO doit être qualifiée de responsable de traitement. C. Sur la compétence de la CNIL 45. L’article 55-1 du RGPD dispose que « chaque autorité de contrôle est compétente pour exercer les missions et les pouvoirs dont elle est investie conformément au présent règlement sur le territoire de l’Etat membre dont elle relève » . 46. L’article 8-2° de la loi Informatique et Libertés précise en outre que « la Commission nationale de l’informatique et des libertés (…) veille à ce que les traitements de données à caractère personnel soient mis en œuvre conformément aux dispositions de la présente loi et aux autres dispositions relatives à la protection des données personnelles prévues par les textes législatifs et réglementaires, le droit de l’Union européenne et les engagements internationaux de la France » . 47. Ainsi, la CNIL est compétente pour veiller, sur le territoire français, à ce que les traitements auxquels les dispositions du RGPD ou de la du 6 janvier 1978 modifiée s’appliquent soient mis en œuvre conformément aux dispositions de ces textes. 48. En premier lieu, l’article 3-1) du RGPD dispose « le présent règlement s’applique au traitement des données à caractère personnel effectué dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire de l’Union, que le traitement ait lieu ou non dans l’Union » . 49. Il en résulte que la CNIL est compétente pour veiller à la conformité aux dispositions du RGPD des traitements de données à caractère personnel mis en œuvre dans le cadre des activités d’un établissement d’un sous-traitant d’un responsable de traitement, lorsque cet établissement est situé en France. 50. En l’espèce, la formation restreinte relève qu’il ressort des pièces du dossier que la filiale de la société FLEISHMAN-HILLARD INC. basée à Paris, la société FLEISHMAN-HILLARD France (devenue OPRG), est notamment intervenue dans le traitement de données à caractère personnel correspondant à l’identification et à la cartographie des parties prenantes au débat sur le renouvellement de l’autorisation du glyphosate, qui s’est concrétisé par l’élaboration du fichier « French Monsanto stakeholders database – cultivating trust » (pièce n° 13 annexée au rapport de sanction). 51. La CNIL est dès lors compétente, sur le fondement de l’article 3-1) du RGPD, pour connaître du traitement des données à caractère personnel mis en œuvre dans le cadre de l’établissement du fichier « French Monsanto stakeholders database – cultivating trust » par la société FLEISHMAN-HILLARD France. 52. En second lieu, aux termes de l’article 3(2)(b) du RGPD, les dispositions du Règlement s’appliquent « au traitement des données à caractère personnel relatives à des personnes concernées qui se trouvent sur le territoire de l’Union par un responsable du traitement ou un sous-traitant qui n’est pas établi dans l’Union, lorsque les activités de traitement sont liées (…) au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union » . 53. Par ailleurs, l’article 3 de la loi Informatique et Libertés prévoit que « les règles nationales prises sur le fondement des dispositions du même règlement renvoyant au droit national le soin d’adapter ou de compléter les droits et obligations prévus par ce règlement s’appliquent dès lors que la personne concernée réside en France, y compris lorsque le responsable de traitement n’est pas établi en France » . 54. Il résulte de ces dispositions que la CNIL est compétente pour veiller au respect des dispositions de la loi Informatique et Libertés et du RGPD à l’égard des traitements de données à caractère personnel relatifs au suivi du comportement des personnes dès lors que ces personnes résident en France, en cas d’activité de suivi basée sur des profils individuels, quel que soit le lieu où le responsable de traitement est établi. 55. Au vu de ce qui précède, la formation restreinte relève que dans le cadre de sa mission de représentation d’intérêts pour le compte de la société MONSANTO, la société FLEISHMAN-HILLARD a procédé à la collecte et au traitement des données à caractère personnel des parties prenantes impliquées dans le débat sur le renouvellement de l’autorisation d’utilisation du glyphosate dans l’Union européenne. Le traitement ainsi mis en œuvre procède du suivi du comportement des personnes concernées au sens des dispositions de l’article 3-2)-b) du RGPD et ressort en conséquence du champ d’application territorial du RGPD et des dispositions de la loi Informatique et Libertés, indépendamment du lieu d’établissement du responsable de traitement. D. Sur l’applicabilité du RGPD aux faits de l’espèce 56. La rapporteure souligne que le traitement de données à caractère personnel correspondant à l’identification et à la cartographie des parties prenantes au débat sur le renouvellement de l’autorisation du glyphosate, qui s’est concrétisé notamment par l’élaboration du fichier « 20160822 French Monsanto stakeholders database – cultivating trust », a commencé en 2016 mais qu’il a continué jusqu’en 2019, soit postérieurement à l’entrée en application du RGPD, tel qu’il ressort explicitement du cahier des charges de l’avenant n° 7, signé le 15 octobre 2016 et renouvelé à de nombreuses reprises jusqu’en 2019. 57. La rapporteure estime que l’absence alléguée de modification du fichier après 2017 ne saurait prospérer dans la mesure où la modification n’est pas la seule opération de traitement pouvant prolonger la caractérisation des manquements. Elle note qu’aux termes de l’article 4(2) du RGPD, la conservation, la copie ou la consultation constituent des opérations de traitement. Elle rappelle sur ce point que la société MONSANTO a été destinataire du fichier en question et l’a conservé dans le cadre de l’archivage des emails de ses salariés. 58. Or la rapporteure note qu’a minima, la réception, et la consultation et la conservation d’un fichier comprenant des données à caractère personnel, établi dans le cadre d’un traitement dont les finalités et les moyens ont été définis par l’intéressé constitue bien, pour ce responsable de traitement, une opération de traitement. 59. La rapporteure considère dès lors que, la conservation du fichier par la société s’étant poursuivie sur une longue durée, certains des manquements commis par la société sont des manquements continus commencés avant l’entrée en application du RGPD mais continués après. 60. La société estime pour sa part que le RGPD n’est pas applicable aux faits de l’espèce dans la mesure où le fichier litigieux, nommé « 20160822 French Monsanto stakeholders database – cultivating trust » date, dans sa version la plus complète, du 22 août 2016. Elle relève que quand bien même la formation restreinte se fonderait sur les déclarations de la société FLEISHMAN-HILLARD, laquelle a indiqué à la CNIL que le fichier n’avait pas été mis à jour après le mois d’avril 2017, la loi applicable serait celle en vigueur à cette époque, et non le RGPD. Elle souligne d’ailleurs que les sociétés FLEISHMAN-HILLARD et PUBLICIS ne sont pas en mesure de produire ce fichier dans une version mise à jour après août 2016 ni même de retrouver des échanges à ce sujet. La société indique par ailleurs que les métadonnées du fichier démontrent que celui-ci a été mis à jour pour la dernière fois le 19 décembre 2016. 61. La société souligne ensuite que l’avenant n° 7 qui est venu compléter le contrat cadre de prestation de services conclu avec la société FLEISHMAN-HILLARD a été signé en octobre 2016, soit postérieurement à la création du fichier, et que cet avenant ne pouvait donc pas concerner la création du fichier en question. Elle relève par ailleurs que la poursuite ultérieure des relations commerciales avec la société FLEISHMAN-HILLARD n’implique pas que le traitement lié au fichier ait perduré, compte tenu de ce que les relations entre les deux sociétés ne se résumaient pas simplement à ce traitement. Enfin, elle fait valoir que le simple fait que le fichier en question ait pu être conservé dans l’’espace de stockage de la messagerie professionnelle d’un employé ne signifie pas pour autant que le traitement des données à caractère personnel contenues dans ce fichier aurait perduré. 62. La société considère donc que les faits litigieux se sont entièrement déroulés avant l’entrée en application du RGPD et que c’est, par conséquent, la loi Informatique et Libertés dans sa version en vigueur au 22 août 2016, voire au plus tard dans sa version en vigueur au mois d’avril 2017, qu’il convient d’appliquer aux faits de l’espèce. Cela implique selon la société que la CNIL aurait dû lui adresser une mise en demeure préalablement à l’engagement d’une procédure de sanction. 63. En premier lieu, la formation restreinte constate que la société MONSANTO a confié à la société FLEISHMAN-HILLARD une mission large de représentation d’intérêts impliquant un recensement d’informations relatives à des personnalités impliquées dans le débat sur le renouvellement de l’autorisation du glyphosate. Cette demande a été formulée dans le contrat cadre de prestation de services du 18 juillet 2013 puis dans l’avenant n° 13 du 5 août 2016, lequel prévoyait explicitement la réalisation d’une cartographie des parties prenantes au débat relatif au glyphosate. La formation restreinte souligne que cette demande d’identification des parties prenantes a été reprise dans un second avenant en date du 15 octobre 2016, identifié comme étant l’avenant no 7 , lequel a été renouvelé à de nombreuses reprises jusqu’en 2019, notamment les 1er septembre 2018 et 1er janvier 2019. 64. La tenue du fichier intitulé « French Monsanto stakeholders database – cultivating trust » , rassemblant des données à caractère personnel collectées par la société FLEISHMAN-HILLARD a donc été réalisée dans le cadre de la prestation d’identification, de recensement et de cartographie des parties prenantes qui, elle, a perduré jusqu’en 2019. 65. A cet égard, la formation restreinte considère que la circonstance que ce fichier ait été modifié pour la dernière fois au plus tard en avril 2017, soit antérieurement à l’entrée en application du RGPD, est sans effet sur la persistance du traitement des données personnelles, dès lors que le fichier concerné continue d’exister dans le système d’information de la société mise en cause, ou de l’un de ses prestataires agissant pour son compte, jusqu’à une date postérieure à l’entrée en application du RGPD. En l’espèce, le fichier a bien été conservé dans les archives de messagerie électronique d’un employé de la société MONSANTO. 66. La formation restreinte rappelle que la simple conservation constitue un traitement de données à caractère personnel. Ainsi, dès lors qu’en tant que responsable de traitement, la société MONSANTO a conservé, y compris avec un statut d’archivage intermédiaire, un fichier contenant des données à caractère personnel, dont elle avait elle-même demandé la réalisation, elle a de son propre fait prolonger l’existence de ce fichier au-delà de l’entrée en application du RGPD. 67. La formation restreinte souligne en outre que la création de ce fichier s’inscrit dans le cadre d’un objectif plus large d’identification, de recensement et de cartographie des parties prenantes au débat sur le renouvellement du glyphosate. Sur ce point, l’avenant n° 7, renouvelé notamment les 1er septembre 2018 et 1er janvier 2019, contient explicitement des instructions destinées à mettre à jour des cartographies des parties prenantes, ce qui correspond bien à l’objectif poursuivi par le fichier litigieux. 68. Ainsi, si les prestations demandées par la société MONSANTO à la société FLEISHMAN-HILLARD, concrétisées notamment par l’élaboration du fichier en question, ont commencé avant l’entrée en application du RGPD, elles ont, a minima, par le seul fait de la conservation de ce fichier, perduré après l’entrée en application de ce texte. 69. En second lieu, la formation restreinte relève que les manquements relatifs à l’information des personnes et à l’encadrement des relations entre le responsable de traitement et son sous-traitant sont des manquements continus qui ont persisté après l’entrée en application du RGPD. Elle souligne que si la société a procédé à l’information des personnes, par l’intermédiaire du cabinet SIDLEY en 2019, cette information est postérieure à l’entrée en application du RGPD et qu’elle n’a été effectuée qu’après la révélation des faits dans la presse. Or il appartenait à la société d’assurer, elle-même ou par l’intermédiaire de son sous-traitant, l’information des personnes, soit sous l’empire des dispositions applicables avant l’entrée en application du RGPD (notamment au moment de la constitution du fichier), soit en vertu du RGPD, pour régulariser la situation, après l’entrée en application de celui-ci. La formation restreinte note d’ailleurs que l’obligation d’informer les personnes dont les données n’ont pas été collectées auprès d’elles figurait déjà à l’article 32-III de la loi « Informatique et Libertés » dans sa version en vigueur au 5 août 2016, date à laquelle a été signé l’avenant n° 13 prévoyant l’élaboration du fichier. De même, bien qu’ayant un périmètre différent, l’obligation pour un responsable de traitement d’encadrer par un acte juridique ses relations avec son sous-traitant était prévue par l’article 35 de la loi « Informatique et Libertés » . 70. La formation restreinte rappelle sur ce point que dans sa décision du 1er mars 2021, Société Futura Internationale, no 437808, le Conseil d’Etat a confirmé que la CNIL pouvait sanctionner, sur le fondement du RGPD, un manquement continu commencé avant son entrée en application et continué après. En conséquence, la formation restreinte considère que la loi Informatique et Libertés , dans sa version antérieure à l’entrée en application du RGPD, puis le RGPD sont applicables aux faits de l’espèce. E. Sur le manquement à l’obligation d’informer les personnes concernées en application de l’article 14 du RGPD 71. L’article 14 du RGPD prévoit que lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée par le traitement, le responsable de traitement fournit à cette dernière les éléments visés à ce même article « dans un délai raisonnable après avoir obtenu les données à caractère personnel, mais ne dépassant pas un mois, eu égard aux circonstances particulières dans lesquelles les données à caractère personnel sont traitées ou s’il est envisagé de communiquer les informations à un autre destinataire, au plus tard lorsque les données à caractère personnel sont communiquées pour la première fois ». 72. La rapporteure relève que les personnes dont les données à caractère personnel ont été collectées et traitées en l’espèce n’ont été informées de ce traitement qu’en 2019, lorsque la société BAYER, après avoir racheté la société MONSANTO, a procédé à l’information des personnes par l’intermédiaire du cabinet SIDLEY. Elle estime qu’aucune des exceptions à l’obligation d’information des personnes prévues à l’article 14(5) du RGPD n’est mobilisable en l’espèce. 73. En défense, la société MONSANTO considère que, dans la mesure où elle n’exerçait aucun contrôle sur les données en question, il ne lui revenait pas de procéder à l’information des personnes concernées. Elle estime que cette obligation incombait à la société FLEISHMAN-HILLARD, qui avait le contrôle sur les données contenues dans le fichier. Elle explique qu’en tout état de cause, l’information des personnes n’aurait présenté que peu d’intérêt dans la mesure où les données en question étaient publiques, que les personnes concernées pouvaient raisonnablement s’attendre à ce que leurs données fassent l’objet d’un tel traitement et qu’elle n’a finalement jamais utilisé ce fichier. 74. En premier lieu, il apparaît à la formation restreinte qu’un traitement de données à caractère personnel, consistant en la collecte d’informations visant à recenser les personnes influentes auprès desquelles une entreprise souhaite représenter ses intérêts peut, sous réserve de certaines conditions, être réalisé sur le fondement de l’intérêt légitime poursuivi par le responsable de traitement. En effet, un traitement tel que celui en cause peut être justifié par la poursuite de l’intérêt légitime du responsable de traitement sous réserve que les intérêts et droits fondamentaux des personnes concernées ne prévalent pas sur les intérêts du responsable de traitement. Cette mise en balance entre les différents intérêts en présence impose notamment de prendre en compte les attentes raisonnables des personnes concernées quant à la nature des données collectées et la façon dont elles sont traitées pour la constitution du traitement litigieux, comme le prévoit le considérant 47 du RGPD. 75. En l’espèce, la formation restreinte note que les personnes dont les données figuraient dans le fichier litigieux pouvaient raisonnablement s’attendre à ce que la société MONSANTO, ou plus généralement des organismes ayant pour activité la représentation d’intérêts, s’intéressent à leur positionnement dans le débat lié au glyphosate, et traite leurs coordonnées professionnelles ainsi que les informations relatives à leurs prises de position publiques. 76. En effet, les personnes présentes dans le fichier en cause ont pris part au débat public sur l’utilisation du glyphosate ou des sujets en lien avec cette thématique, que ce soit notamment au travers de l’élaboration de décisions publiques, de leur influence sur la représentation ou la direction d’entreprises ou d’organisations publiques et privées notoirement impliquées sur les sujets écologiques et environnementaux ou encore d’une prise de position publique ou d’une participation active à ces débats. Dès lors, ces personnes pouvaient raisonnablement s’attendre à ce que des acteurs du secteur où elles sont intervenues collectent des informations les concernant à partir de données publiquement et licitement accessibles afin de connaître et comprendre leurs positions et éventuellement d’entrer en contact avec elles. 77. La formation restreinte relève que dans tous les cas, le responsable de traitement qui met en œuvre un tel traitement doit s’assurer du respect des obligations prévues par le RGPD et notamment de l’obligation d’information des personnes afin notamment que celles-ci puissent exercer leurs droits. 78. La formation restreinte rappelle ainsi qu’au titre de l’article 14 du RGPD, les informations que le responsable de traitement doit fournir à la personne concernée sont, notamment, l’identité et les coordonnées du responsable du traitement (et le cas échéant les coordonnées du délégué à la protection des données), les finalités du traitement, sa base juridique, les catégories de données à caractère personnel concernées, le cas échéant les destinataires ou les catégories de destinataires des données, le fait que le responsable du traitement a l’intention d’effectuer un transfert des données vers un pays tiers ainsi que, si cela est nécessaire pour garantir un traitement équitable et transparent, la durée de conservation des données, l’existence des différents droits dont bénéficient les personnes, l’existence du droit de retirer son consentement à tout moment et le droit d’introduire une réclamation auprès d’une autorité de contrôle, la source d’où proviennent les données et l’existence éventuelle d’une prise de décision automatisée. 79. La fourniture de ces informations permet l’exercice par la personne concernée de ses droits auprès du responsable de traitement. Elle contribue ainsi à rendre davantage transparente l’activité de représentation d’intérêts. 80. En second lieu, la formation restreinte rappelle qu’aux termes de l’article 14(5)(b) du RGPD, cette obligation d’information ne s’impose toutefois pas lorsque « la fourniture de telles informations se révèle impossible ou exigerait des efforts disproportionnés » ou lorsque le respect de cette obligation d’information « est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs dudit traitement » . 81. S’agissant des exceptions prévues par l’article 14(5)(b) précité, la formation restreinte relève que l’information des personnes figurant dans le fichier intitulé « French Monsanto stakeholders database – cultivating trust » n’aurait pas nécessité de la part de la société MONSANTO des efforts disproportionnés et était, en conséquence, nécessaire. La formation restreinte souligne d’abord que le fichier en cause concernait plus de 200 personnes et que la société disposait pour la quasi-totalité d’entre elles d’une information de contact telle qu’une adresse, un numéro de téléphone ou une adresse de messagerie électronique. 82. La formation restreinte rappelle à cet égard que, dans sa décision du 12 mars 2014, Société Pages Jaunes Groupe, n°353193, le Conseil d’Etat a considéré que l’information par le responsable de traitement de 25 millions de personnes concernées par la collecte de leurs données à caractère personnel n’était pas impossible et ne constituait pas un « effort disproportionné » , compte tenu de l’intérêt qui s’attache au respect des libertés et droits fondamentaux de ces personnes, dès lors notamment que le responsable de traitement disposait des coordonnées utiles pour les contacter. 83. La formation restreinte note d’ailleurs que les personnes concernées ont finalement été informées individuellement en 2019, par l’intermédiaire du cabinet SIDLEY, ce qui démontre qu’une information était tout à fait possible. 84. Il n’apparaît pas ensuite que la fourniture d’une information aux personnes concernées relative au traitement mis en œuvre aurait été susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs dudit traitement. En effet, la formation restreinte note que l’encadrement législatif de l’activité de représentant d’intérêts évolue vers une transparence accrue tant au niveau de l’Union européenne qu’au niveau national. Sur ce point, l’Association française des conseils en lobbying et affaires publiques définit d’ailleurs le lobbying comme « la représentation d’intérêts (…) au travers d’un partage d’information contradictoire et équilibré » , ce qui apparaît incompatible avec un exercice de cette activité de manière opaque, à l’insu des personnes concernées. 85. Enfin, la formation restreinte note que les circonstances invoquées par la société MONSANTO, à savoir que les données en question étaient publiques, que les personnes concernées pouvaient raisonnablement s’attendre à ce que leurs données fassent l’objet d’un tel traitement et que ce fichier n’a jamais été utilisé par la société, ne constituent pas des motifs de nature à exempter le responsable de traitement de son obligation d’information au regard des dispositions de l’article 14 du RGPD. En outre, contrairement à ce que soutient la société, la responsabilité de s’assurer que l’information a bien été délivrée aux personnes concernées incombe au responsable de traitement et non au sous-traitant. Dès lors, la formation restreinte considère que les faits précités constituent un manquement à l’article 14 du RGPD. F. Sur le manquement à l’obligation d’encadrer par un acte juridique formalisé les traitements effectués pour le compte du responsable de traitement 86. L’article 28 du Règlement prévoit que lorsqu’un traitement est effectué par un sous-traitant, ce traitement est régi par un contrat ou un autre acte juridique qui définit l’objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel, les catégories de personnes concernées ainsi que les obligations et les droits du responsable de traitement. Ce contrat prévoit en outre les conditions dans lesquelles le sous-traitant s’engage à effectuer pour le compte du responsable de traitement les opérations de traitement. 87. La rapporteure relève qu’en l’espèce, le traitement relatif à la cartographie entre parties prenantes a fait l’objet de plusieurs contrats et avenants successifs entre les sociétés MONSANTO et FLEISHMAN-HILLARD mais qu’aucun d’entre eux ne contient les informations prévues à l’article 28 du RGPD. 88. En défense, la société rappelle que, pour les motifs déja exprimés aux points 30 à 33, elle n’agissait pas en tant que responsable de traitement et que, par conséquent, l’obligation prévue par l’article 28 du RPGD ne lui est pas opposable. 89. La formation restreinte rappelle que pour les motifs exposés aux points 34 à 43, la société MONSANTO doit être regardée comme agissant en tant responsable de traitement et la société FLEISHMAN-HILLARD comme sous-traitant. 90. La formation restreinte constate que le traitement de données à caractère personnel en question, effectué par la société FLEISHMAN-HILLARD dans le cadre de la mission de représentation d’intérêts qui lui a été confiée par la société MONSANTO, trouve son origine dans le contrat cadre de prestation de services signé entre les deux sociétés le 18 juillet 2013. Ce contrat cadre a été complété par plusieurs avenants, en particulier par l’avenant n° 7, dont le cahier des charges a été régulièrement renouvelé jusqu’en mai 2019. 91. Or, la formation restreinte constate qu’aucun de ces actes conclus entre les deux sociétés à partir du 25 mai 2018, date à laquelle l’obligation contenue à l’article 28 du RGPD est devenue applicable, ne contient les informations prévues à cet article 28. Par conséquent, la formation restreinte considère que ces faits sont constitutifs d’un manquement à l’article 28 du RGPD. III. Sur les mesures correctrices et la publicité 92. Aux termes du III de l’article 20 de la loi du 6 janvier 1978 modifiée : « Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi, le président de la Commission nationale de l’informatique et des libertés peut également, le cas échéant après lui avoir adressé l’avertissement prévu au I du présent article ou, le cas échéant en complément d’une mise en demeure prévue au II, saisir la formation restreinte de la commission en vue du prononcé, après procédure contradictoire, de l’une ou de plusieurs des mesures suivantes : […]7° À l’exception des cas où le traitement est mis en œuvre par l’État, une amende administrative ne pouvant excéder 10 millions d’euros ou, s’agissant d’une entreprise, 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu. Dans les hypothèses mentionnées aux 5 et 6 de l’article 83 du règlement (UE) 2016/679 du 27 avril 2016, ces plafonds sont portés, respectivement, à 20 millions d’euros et 4 % dudit chiffre d’affaires. La formation restreinte prend en compte, dans la détermination du montant de l’amende, les critères précisés au même article 83 » . 93. L’article 83 du RGPD prévoit que « Chaque autorité de contrôle veille à ce que les amendes administratives imposées en vertu du présent article pour des violations du présent règlement visées aux paragraphes 4, 5 et 6 soient, dans chaque cas, effectives, proportionnées et dissuasives » , avant de préciser les éléments devant être pris en compte pour décider s’il y a lieu d’imposer une amende administrative et pour décider du montant de cette amende. 94. En défense, la société MONSANTO soutient que c’est la loi « Informatique et Libertés » – dans sa version en vigueur au 19 décembre 2016 ou, subsidiairement, dans sa version en vigueur en avril 2017 – qui est applicable aux faits de l’espèce et que, dès lors, une mise en demeure aurait nécessairement dû lui être notifiée avant que puisse être engagée une procédure de sanction, pouvant conduire au prononcé d’une amende administrative. 95. La société rappelle qu’outre le fait qu’elle n’a pas la qualité de responsable de traitement, les données figurant dans le fichier litigieux avaient toutes été rendues publiques par les personnes concernées. Elle considère dès lors que le préjudice subi par celles-ci est faible. 96. En outre, la société considère que le montant de l’amende proposé par le rapporteur est disproportionné au regard de la gravité des manquements reprochés mais aussi compte tenu des récentes délibérations de sanction rendues par la formation restreinte. 97. Enfin, s’agissant de la publicité de la sanction, la société souligne qu’elle a déjà été très exposée médiatiquement en 2019 pour les mêmes faits. Elle considère qu’une sanction publique provoquerait une nouvelle vague médiatique préjudiciable à son image. 98. En premier lieu, la formation restreinte relève que le manquement à l’obligation d’informer les personnes concernées a porté atteinte aux droits de ces dernières, dans la mesure où, n’ayant pas connaissance de ce que leurs données à caractère personnel étaient traitées par la société, ces personnes n’ont pas été mises en mesure de contrôler l’utilisation de leurs données dans ce cadre. Elle rappelle que l’obligation d’information constitue est une mesure centrale de protection des personnes, dans la mesure où elle permet l’exercice des droits. Elle note d’ailleurs que l’article 83(5) du RGPD prévoit que la méconnaissance de cette obligation peut être sanctionnée à hauteur de 20 millions d’euros ou de 4% de chiffre d’affaires, ce qui constitue le plafond d’amende le plus élevé. 99. En outre, la formation restreinte note qu’il n’a été mis fin au manquement que plusieurs années après la mise en œuvre du traitement en cause et uniquement après que plusieurs médias ont révélé l’existence du fichier litigieux. 100. La formation restreinte considère ensuite que le fait pour la société MONSANTO de ne pas avoir encadré par un acte juridique le traitement réalisé pour son compte par la société FLEISHMAN-HILLARD a contribué à accentuer le fait que les données à caractère personnel des personnes traitées dans ce cadre n’aient pas bénéficié de la protection offerte par le RGPD. En effet, l’article 28 du RGPD apporte différentes garanties concrètes en matière de protection des données, en prévoyant par exemple la mise en place de mesures de sécurité ou l’aide devant être apportée par le sous-traitant au responsable de traitement en matière d’exercice des droits. 101. En conséquence, la formation restreinte considère qu’il y a lieu de prononcer une amende administrative au regard des manquements aux articles 14 et 28 du RGPD. 102. En deuxième lieu, la formation restreinte rappelle qu’aux termes de l’article 83(1), les amendes prononcées doivent être effectives, proportionnées et dissuasives. Elle considère en particulier que la situation financière de la société doit être prise en compte pour la détermination de la sanction et notamment, en cas d’amende administrative, de son montant. Elle relève à ce titre que la société fait état d’un chiffre d’affaires pour l’année 2018 d’environ 12 milliards d’euros. En outre, elle observe que le traitement en cause a notamment été mis en œuvre dans l’objectif de défendre les intérêts économiques de la société. Au vu de ces éléments, la formation restreinte considère que le prononcé d’une amende de 400 000 euros apparaît justifié. 103. En dernier lieu, la formation restreinte considère que la publicité de la sanction se justifie au regard de la nature manquements relevés, de leur durée et de leur gravité. Elle estime par ailleurs que cette mesure permettra d’informer les personnes concernées des manquements sanctionnés, dans la mesure notamment où ces faits ont fait l’objet de plusieurs plaintes. PAR CES MOTIFS La formation restreinte de la CNIL, après en avoir délibéré, décide de : • prononcer à l’encontre de la société MONSANTO COMPANY une amende administrative d’un montant de 400 000 (quatre cent mille) euros ; • rendre publique, sur le site de la CNIL et sur le site de Légifrance, sa délibération, qui n’identifiera plus nommément la société à l’expiration d’un délai de deux ans à compter de sa publication. Le président Alexandre LINDEN Cette décision est susceptible de faire l’objet d’un recours devant le Conseil d’État dans un délai de quatre mois à compter de sa notification. |
S’abonner
Connexion
0 Commentaires
Le plus ancien