Un traitement de données à caractère personnel, mis en œuvre au moyen d’une collecte indirecte, dont l’objet est de recenser des personnes influentes auprès desquelles une entité souhaite représenter ses intérêts peut être fondé sur l’intérêt légitime.
Pour autant, le fait que les données traitées soient publiques, que ces personnes influentes puissent raisonnablement s’attendre à être contactées et que le fichier élaboré n’ait pas été exploité ne constitue pas un motif de nature à exempter le responsable du traitement de son obligation d’information. De surcroit, il se déduit de la possession d’une information de contact (adresse, numéro de téléphone ou adresse email) que le responsable du traitement est en mesure de les informer de manière individuelle. En conséquence, l’exception à l’obligation d’information prévue à l’article 14-5, b) du RGPD doit être écartée.
Tels sont les principaux enseignements de la délibération de la formation restreinte de la Cnil prononçant une sanction pécuniaire à l’encontre d’une société spécialisée dans les biotechnologies agricoles (Cnil, 26 juillet 2021, Délibération SAN-2021-012).
Les faits
Il résulte de la délibération qu’en vertu d’un contrat cadre de prestation de services, complété par trois avenants et quatre cahiers des charges, la société sanctionnée a confié à une société tierce (Ci-après « société spécialisée »), exerçant des activités liées aux relations publiques, une mission de représentation d’intérêts concernant l’utilisation du glyphosate en Europe et dans le monde entre 2016 et mai 2019.
La réalisation de cette mission a impliqué la mise en œuvre d’un traitement de données à caractère personnel relatives à des personnalités impliquées dans le débat sur le renouvellement de l’autorisation d’utilisation du glyphosate en Europe. Une liste de 201 personnes résidant sur le territoire français a ainsi été constituée (membres d’associations de protection de l’environnement, personnalités politiques, membres d’administrations, journalistes, universitaires, agriculteurs). Pour chacune des personnes recensées sur la liste, les données suivantes étaient traitées : organisme de rattachement, site Internet, poste occupé, adresse professionnelle, numéro de téléphone fixe professionnel, numéro de téléphone portable, adresse de messagerie électronique professionnelle, compte Twitter.
A ces données s’ajoutaient une note correspondant à l’évaluation de l’influence, de la crédibilité et du soutien de la personne à la société sanctionnée, ainsi que des commentaires.
Enfin, la délibération relève que la société spécialisée avait confié à une autre société la mission d’identifier les personnes influentes dans le débat en France, de réaliser une veille et de produite des notes d’analyses.
A la suite de sept plaintes, un contrôle sur pièces a été diligenté auprès de chacune des sociétés concernées (société sanctionnée et deux sociétés prestataires). Une audition de représentants de la société spécialisée dans les relations publiques a également été organisée.
La présidente de la Cnil a ensuite décidé de désigner une rapporteure, laquelle a fait signifier à l’une seulement des sociétés concernées un rapport au terme duquel une proposition de sanction pécuniaire rendue publique était formulée.
Questions sur la qualification de responsable du traitement dans le secteur de la représentation d’intérêts
La société sanctionnée contestait la qualification de responsable du traitement retenue par la rapporteure. Après une analyse de plusieurs éléments, la formation restreinte de la Cnil a confirmé cette qualification.
La formation restreinte a d’abord retenu que la société sanctionnée poursuivait un objectif précis, à savoir favoriser et obtenir le renouvellement de l’autorisation de l’utilisation du glyphosate. De plus, cette société avait défini les moyens d’y parvenir. Parmi ces derniers figuraient la réalisation d’une cartographie de personnalités impliquées dans le débat ce sujet et le recours à une société spécialisée dans les activités liées aux relations publiques.
Ensuite, il a été relevé que la société spécialisée avait été contractuellement chargée de dresser la liste des personnalités parties prenantes dans le débat sur le renouvellement de l’autorisation de l’utilisation du glyphosate.
Toutefois, la délibération de la formation restreinte de la Cnil ne permet pas particulièrement d’identifier les indices factuels de ce que la société sanctionnée exerçait concrètement une influence sur le traitement de données à caractère personnel mis en œuvre par la société spécialisée afin de constituer la liste des parties prenantes.
Il est relevé que la société sanctionnée :
- était « associée à l’identification et au recensement des parties prenantes (…) »,
- qu’elle formulait « des demandes très précises sur ce qu’elle considérait devoir être pris en compte [par la société spécialisée] dans la réalisation de ses missions »,
- était représentée à des réunions,
- participait à des échanges quotidiens, à des points hebdomadaires, mensuels et trimestriels lui permettant de suivre l’avancée des missions confiées à la société spécialisée.
Toutefois, ces éléments ne sont-ils pas le reflet d’une relation client-prestataire ? Le fait qu’un client suive la progression des prestations confiées à un tiers et que des échanges soient fréquemment organisés entre leurs équipes est-il réellement à prendre en compte dans le cadre de la qualification du responsable du traitement ?
Autrement dit, tels qu’ils sont énoncés dans la délibération de la Cnil, ces éléments ne permettent pas au lecteur de comprendre quelles instructions, non sur la prestation contractualisée, mais sur le traitement de données à caractère personnel mis en œuvre (constitution de la liste des parties prenantes) la société sanctionnée formulait.
Sans être exhaustif, la société sanctionnée formulait-elle des exigences quant aux données à faire figurer dans le fichier et celles à exclure ? Déterminait-elle les modalités d’enrichissement des données le cas échéant ? Indiquait-elle à la société spécialisée quelles étaient les sources de données à utiliser ? Les critères d’évaluation et la pondération de ces critères dans la note attribuée aux personnes concernées avaient-ils été définis par la société sanctionnée ?
Par ailleurs, le rôle de la société spécialisée ne semble pas avoir retenu l’attention de la formation restreinte de la Cnil. A cet égard, le fait qu’elle ait, elle-même chargé une autre société notamment d’identifier les personnes influentes dans le débat public en France n’est pas discuté. En outre, la formation restreinte souligne que le fait que la société spécialisée ait proposé à la société sanctionnée une stratégie de suivi des parties prenantes au débat sur l’utilisation du glyphosate ne permet pas à lui seul de la qualifier de responsable du traitement. Toutefois, la délibération ne permet pas de savoir quelle incidence sur le traitement de données à caractère personnel cette stratégie aurait pu avoir, ni que ladite stratégie n’a eu aucuns impacts sur les caractéristiques dudit traitement. En revanche, selon l’autorité de contrôle, l’acceptation de cette stratégie et la contractualisation de la prestation sont à prendre en compte pour définir la qualification de la société sanctionnée.
La formation restreinte examine aussi l’impact de la gestion des demandes de droit sur la qualification de responsable du traitement. A cet égard, elle retient (sans surprise) que le fait pour une société de répondre à des demandes d’exercice de droit (en l’espèce, de droit d’accès) n’emporte pas pour autant la qualification de responsable du traitement. Cette action peut être l’expression du respect de l’obligation contractuelle du sous-traitant d’aider le responsable du traitement à s’acquitter de son obligation de donner suites aux demandes formulées par les personnes concernées (RGPD, article 28-3, e)). En revanche, de façon surprenante, la formation restreinte de la Cnil énonce laconiquement qu’il est courant que le sous-traitant soit le plus à même de traiter les demandes d’exercice de droit.
En dernier lieu, il convient de souligner que la formation restreinte de la Cnil affirme que :
« Il résulte de la jurisprudence de la Cour de justice de l’Union européenne (CJUE) que le fait de recourir à un traitement de données personnelles qui a été conçu par un autre acteur et sur lequel le commanditaire ne peut qu’effectuer certains paramétrages (CJUE, 5 juin 2018, Wirtschaftsakademie Schleswig-Holstein, C-210/16), voire aucun paramétrage (CJUE, 29 juillet 2019, Fashion ID GmbH & Co. KG, C-40/17) ne dispense pas celui qui a recours à ce traitement de sa qualité de responsable de traitement. ». Est-ce à dire qu’en l’espèce la société spécialisée aurait pu être regardée comme ayant « conçu » le traitement mis en œuvre ?
D’une part, il se déduit de cette affirmation que l’utilisation d’un traitement dont les caractéristiques ont été définies par un tiers et sur lequel la société dite utilisatrice n’a que peu ou pas de marge de manœuvre l’expose quand même à devoir répondre de sa conformité, ainsi qu’aux sanctions prévues par le RGPD. D’autre part, la formation restreinte semble, en l’espèce, occulter le fait que les deux arrêts sur lesquels elle s’appuie ont abouti à la reconnaissance d’une responsabilité conjointe de traitement. En l’espèce, la conclusion de la formation restreinte est autre puisque le prestataire est expressément qualifié de sous-traitant. Ce dernier n’a donc pas à répondre des manquements retenus dans le cadre de la procédure de sanction.
Représentation d’intérêts et intérêt légitime
La formation restreinte de la Cnil indique qu’un traitement de données à caractère personnel visant à recenser des personnes influentes auprès desquelles une entité souhaite ensuite représenter ses intérêts peut être fondé sur l’intérêt légitime. Toutefois, conformément à l’article 6-1, f) du RGPD, il appartient au responsable du traitement de procéder à une mise en balance de son intérêt légitime et des intérêts, droits et libertés des personnes concernées pour vérifier et documenter que ces derniers ne prévalent pas.
Notons que la formation restreinte donne des indications intéressantes sur les attentes raisonnables des personnes concernées à prendre en compte dans le cadre de ladite mise en balance. En effet, il résulte de la délibération que :
« 75. En l’espèce, la formation restreinte note que les personnes dont les données figuraient dans le fichier litigieux pouvaient raisonnablement s’attendre à ce que la société MONSANTO, ou plus généralement des organismes ayant pour activité la représentation d’intérêts, s’intéressent à leur positionnement dans le débat lié au glyphosate, et traite leurs coordonnées professionnelles ainsi que les informations relatives à leurs prises de position publiques. ».
Ainsi, dans le cas de la représentation d’intérêts, la participation des personnes concernées au débat public, quelle que soit sa forme, peut justifier que des acteurs du secteur d’activité dans lequel elles sont intervenues traitent des données les concernant pour éventuellement les contacter.
Quelle application des exceptions à l’obligation d’information pour une collecte indirecte de données ?
Indépendamment de la question de la base légale du traitement, au titre de laquelle aucun manquement n’a été retenu à l’encontre de la société en cause, la formation restreinte de la Cnil rappelle que les responsables du traitement sont tenus à une obligation d’information des personnes concernées.
Cette obligation s’applique aussi en présence d’une collecte indirecte de données en vertu de l’article 14 du RGPD, sauf exceptions. En l’espèce, la formation restreinte de la Cnil procède à une interprétation stricte desdites exceptions. La formation restreinte de la Cnil écarte toute application de l’article 14-5 du RGPD en s’appuyant sur le contenu du fichier de données à caractère personnel constitué par la société spécialisée et dont la société mise en cause a eu communication. En effet, cette dernière disposait pour la quasi-totalité des personnes dont les données figuraient dans le fichier de plusieurs données professionnelles de contact (adresse email, numéro de téléphone, adresse postale). En conséquence, l’exception à l’obligation d’information pour cause d’impossibilité ou d’efforts disproportionnés ou compromission des objectifs du traitement n’a pas été retenue. D’ailleurs, la formation restreinte de la Cnil s’appuie également sur le fait qu’une information individuelle des personnes concernées est finalement intervenue en 2019 pour rejeter l’impossibilité d’information. L’exception tenant à l’éventuelle compromission des objectifs du traitement n’a pas non plus convaincu la formation restreinte compte tenu de l’environnement réglementaire encadrant l’activité de représentation d’intérêts.
Enfin, la formation restreinte rappelle que le caractère public des données traitées ne compte pas parmi les exceptions à l’obligation d’information définies par l’article 14-5 du RGPD.
De ce fait, il appartient aux responsables de traitements procédant à une collecte indirecte de données, dont des données de contact, de définir les modalités d’information des personnes concernées. La Cnil ne se prononce pas sur la délivrance d’une information générale, par exemple au moyen de la publication d’une politique de protection des données accessibles au public. Toutefois, cette seule information n’apparait pas suffisante à la satisfaction de l’obligation d’information puisque la formation restreinte s’est prononcée en faveur d’une information individuelle.