Monsanto fiche ses opposants. Que dit le GDPR ?

Publié le par - 2952 vues

Monsanto (intégré depuis dans Bayer), est le producteur du très controversé herbicide Roundup à base de glyphosate. Ce produit, suspecté d’être extrêmement nocif, bénéficie d’un lobby très actif. La presse révèle l’existence d’un fichier secret comportant le nom des opposants au glyphosate.

Le glyphosate est un herbicide total (non sélectif) absorbé par les feuilles et à action généralisée. Autrefois exclusivement produit par Monsanto (à partir de 1974, sous la marque Roundup), son brevet est passé dans le domaine public en 2000, de sorte que d’autres entreprises le produisent désormais.

Les opposants au glyphosate lui prêtent des effets cancérigènes sur l’homme et dénoncent les effets néfastes sur l’environnement (notamment sur certains insectes et de façon indirecte les oiseaux qui s’en nourrissent).

Plusieurs pays l’interdisent, d’autres en limitent l’utilisation. Les agences internationales le classent dans les produits probablement cancérogènes (Centre international de recherche sur le cancer, qui dépend de l’OMS).

Le glyphosate, c’est aussi une industrie de plusieurs milliards de dollars par an, qui le défend bec et ongle et s’assure le concours de nombreuses agences de lobby.

Un fichage secret ?

France 2 vient de révéler l’existence d’un fichier d’environ 200 personnes : « journalistes, chercheurs, membres de cabinets ministériels, responsables agricoles et syndicaux ont fait l’objet d’un suivi méticuleux et d’un classement en fonction de leur porosité plus ou moins grande aux arguments du groupe racheté par Bayer pour 63 milliards de dollars en 2018 ».

On trouve une cible prioritaire avec 74 noms classés selon quatre couleurs : les alliés en bleu, les potentiels alliés en vert, les personnes à éduquer en jaune et les opposants à surveiller en rouge. » explique la presse.

Enfin, s’y ajoute un système de notation de zéro à cinq selon le niveau de soutien.

Ce fichier serait l’œuvre d’une agence de lobby (FleishmanHillard) chargée par Monsanto de l’aider dans sa « communication institutionnelle » (synonyme de lobby).

Est-ce licite ?

Un traitement de données personnelles n’est licite que si, et dans la mesure où, au moins une des conditions prévues à l’article 6 GDPR est prévue. Une première interrogation se pose donc dans le cas présent.

Parmi ces conditions, outre le consentement,  figure celle-ci :

« f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant. »

Même si on peut en discuter à l’infini, il n’est pas déraisonnable de défendre l’idée que la constitution d’un fichier amis/opposants entre dans le cadre de l’intérêt légitime de Monsanto. Dès l’instant où l’activité de la société comporte un important volet régulatoire dans lequel des tiers interviennent pour soutenir ou contester les décisions des autorités publiques, il ne parait pas anormal que la société tente d’y voir clair en créant pareil traitement. Son « intérêt légitime » semble bel et bien présent. Du reste, ne soyons pas naïfs, dans le cadre de finalités de lobbying et de la gestion des relations publiques d’une entreprise, ce type de traitement est assez ordinaire, ce qui, il est vrai, ne les rend pas automatiquement licites.

Il faut bien entendu prendre en compte les intérêts de la personne fichée, mais il est défendable de soutenir que le fichier n’est pas, a priori, une atteinte inacceptable aux droits et libertés des personnes concernées dans la mesure où celles-ci sont (selon les informations disponibles) des personnes qui ont publiquement pris position contre Monsanto, participent au débat devenu public quant à la nocivité du produit, et peuvent s’attendre à ce que Monsanto soit au courant, voire enregistre une trace de ces interventions et en déduise un profil de type soutien/opposant.

Si une base de licéité pourrait donc être présente in abstracto, encore faut-il vérifier in concreto que le reste du GDPR est respecté. Notamment : les données sont-elles pertinentes ? minimisées ? les personnes sont-elles informées ? Le traitement, bien qu’acceptable sur le plan des principes, pourrait en effet violer dans sa mise en œuvre les droits des personnes concernées, ce qui créerait une violation objective du GDPR mais pourrait aussi avoir pour conséquence de faire prévaloir leurs droits fondamentaux dans la mise en balance des intérêts. C’est là que se situe le problème en l’espèce, notamment en raison du caractère secret de l’initiative.

Quelles données ?

Selon les journaliste ayant révélé l’histoire, le fichier contient un système de notation qui peut constituer du profilage au sens du GDPR. Il faudra voir comment la notation s’établit car ce genre de démarche est un exercice délicat sur le plan juridique. Notamment il faut qu’elle soit établie sur une base (un algorithme ?) aussi objective que possible, qu’elle soit alimentée par des informations vérifiables, qu’elle ne se transforme pas en décision automatisée, etc.

Par ailleurs, les données doivent être exactes et, si nécessaire, tenues à jour ; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder.

L’exactitude est un débat sans fin dans les systèmes de notation : à partir de quand une note est-elle exacte ?

Enfin, il faudra aussi voir la liste des données qui figurent dans le fichier. En effet, seules peuvent être traitées des données adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données).

En outre, en pratique, il n’est pas rare qu’un fichier « ami/opposant » contienne des informations disproportionnées, par exemple concernant les habitudes de vie de la personne concernée, ses points faibles (qui sont autant de points de pression), son entourage familial, son passé, etc. ou contienne des données sensibles comme l’appartenance syndicale, le bord politique ou encore des données liée à la santé (exemple : « pas dangereux car très occupé à soigner son cancer ») ou la vie sexuelle (exemple : « apprécie les relations extra-conjugales »). Les fichiers d’opposants font rarement dans la dentelle quant aux données traitées, qui en deviennent disproportionnées ; il faudra voir ce qu’il en est pour le fichier Monsanto dont on ne sait pas grand-chose à l’heure actuelle.

L’information et la transparence

Le principe est connu : les données à caractère personnel doivent être :

  • traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence);
  • collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités (limitation des finalités);

Pour assurer la transparence et permettre aux personnes fichées d’exercer leurs droits, le règlement prévoit que lorsque n’ont pas été collectées auprès de la personne concernée – ce qui est vraisemblablement le cas pour la plupart des personnes concernées – le responsable du traitement fournit à celle-ci (au moins) toutes les informations suivantes:

  1. l’identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement;
  2. le cas échéant, les coordonnées du délégué à la protection des données;
  3. les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement;
  4. les catégories de données à caractère personnel concernées;
  5. le cas échéant, les destinataires ou les catégories de destinataires des données à caractère personnel;
  6. le cas échéant, le fait que le responsable du traitement a l’intention d’effectuer un transfert de données à caractère personnel à un destinataire dans un pays tiers.

C’est là que le fichier Monsanto laisse supposer une violation importante du GDPR : les personnes concernées ne semblent pas avoir été prévenues.

Or, les hypothèses dans lesquelles on peut se passer de cette information obligatoire sont très limitées (la fourniture de telles informations se révèle impossible ou exigerait des efforts disproportionnés ou dans la mesure où cela est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs du traitement. En pareils cas, le responsable du traitement prend des mesures appropriées pour protéger les droits et libertés ainsi que les intérêts légitimes de la personne concernée, y compris en rendant les informations publiquement disponibles).

Il sera difficile pour Monsanto de défendre qu’il lui était impossible ou disproportionné de fournir ces informations. Il sera aussi difficile d’expliquer que sans le secret, il était impossible d’atteindre l’objectif poursuivi. Monsanto n’est pas la CIA tout de même.

L’affaire devrait servir de piqûre de rappel pour toutes les agences de lobbying et communication : les fichiers de contacts, d’amis, d’opposants, de soutiens, de contributeurs, etc. doivent respecter le GDPR et à tout le moins être signalés aux personnes concernées.

Droit & Technologies

Soyez le premier au courant !

Inscrivez-vous à notre lettre d’informations

close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK