Le contexte

La CNIL ainsi que plusieurs autres autorités européennes de protection des données ont été saisies de plaintes relatives aux difficultés rencontrées par des personnes pour exercer leurs droits auprès de la société ACCOR, un groupe hôtelier français.

Les contrôles de la CNIL ont notamment permis de constater que lorsqu’une personne procédait à une réservation directement auprès du personnel d’un hôtel ou sur le site d’une des marques hôtelières du groupe ACCOR, elle était automatiquement rendue destinataire d’une newsletter comportant des offres commerciales de partenaires, la case relative au consentement à recevoir la newsletter étant précochée par défaut.

La CNIL a également constaté que des anomalies techniques, qui se sont reproduites pendant plusieurs semaines, ont empêché un nombre significatif de personnes de s’opposer efficacement à la réception des messages de prospection.

Les traitements en question étant mis en œuvre dans de nombreux pays de l’Union européenne, la CNIL a soumis un projet de décision aux autorités de protection des données concernées. Une de ces autorités étant en désaccord avec ce projet, le Comité européen de la protection des données (CEPD) a été saisi pour se prononcer sur le différend. À la suite de cette procédure, le CEPD a enjoint à la CNIL de réexaminer le montant de l’amende et de l’augmenter afin que la mesure prise soit davantage dissuasive.

La formation restreinte (organe de la CNIL chargé de prononcer des sanctions) a, en conséquence, prononcé à l’encontre de la société ACCOR une amende de 600 000 euros rendue publique.

La CNIL a notamment pris en compte le nombre de manquements reprochés à la société, le fait que ces manquements portent sur plusieurs principes fondamentaux de la protection des données personnelles et qu’ils constituent une atteinte substantielle aux droits des personnes, ainsi que le nombre de personnes concernées et la situation financière de la société.
Les manquements sanctionnés

La CNIL a retenu à l’encontre de la société ACCOR un manquement à la législation française et quatre manquements au RGPD, ces derniers seuls ayant été soumis à la coopération européenne :

Un manquement à l’obligation de recueillir le consentement de la personne concernée pour traiter ses données à des fins de prospection commerciale (article L. 34-5 du Code des postes et des communications électroniques).
Un manquement à l’obligation d’informer les personnes (art. 12 et 13 du RGPD) : la société ne fournissait pas aux personnes concernées, de manière accessible, les informations nécessaires lors de la création d’un compte client ou lors de l’adhésion au programme de fidélité du groupe ACCOR. La société ne mentionnait pas non plus le consentement comme base légale du traitement, pour la prospection tendant à promouvoir les produits ou services de tiers.
Un manquement à l’obligation de respecter le droit d’accès des personnes aux données les concernant (art. 12 et 15 du RGPD), puisque la société n’a pas donné suite aux demandes formulées par une plaignante dans les délais.
Un manquement à l’obligation de respecter le droit d’opposition des personnes concernées (art. 12 et 21 du RGPD), la société n’ayant pas pris en compte les demandes des plaignants visant à ce que plus aucun message de prospection commerciale ne leur soit adressé, en raison de dysfonctionnements.
Un manquement à l’obligation d’assurer la sécurité des données personnelles (art. 32 du RGPD), car la société permettait l’utilisation des mots de passe insuffisamment robustes. La CNIL reproche également à la société d’avoir invité une personne à transmettre sa pièce d’identité par courriel, sans que les données en cause ne soient chiffrées.

La société s’est mise en conformité avec l’ensemble des manquements relevés lors de la procédure.

La délibération

Délibération de la formation restreinte n°SAN-2022-017 du 3 août 2022 concernant la société ACCOR SA

Texte reference

Pour approfondir
– La procédure de sanction
– Conformité RGPD : comment recueillir le consentement des personnes ?
– Comment informer les personnes et assurer la transparence ?
– Respecter les droits des personnes
– Professionnels : comment répondre à une demande de droit d’accès ?
– Sécurité des données
– Authentification par mot de passe : les mesures de sécurité élémentaires

Les textes de référence
– Article L. 34-5 du code des postes et des communications électroniques (prospection commerciale) - Légifrance
– Article 12 du RGPD (modalités de l’exercice des droits de la personne concernée)
– Article 13 du RGPD (informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée)
– Article 15 du RGPD (droit d’accès de la personne concernée)
– Article 21 du RGPD (droit d’opposition de la personne concernée)
– Article 32 du RGPD (sécurité du traitement)