La formation restreinte de la Cnil sanctionne ACCOR d'une amende de 600 000 euros !
Pourquoi ? Notamment pour non respect des droits des personnes concernées mais également pour avoir pré-coché la case relative au consentement à recevoir la newsletter.
Ce montant a fait l'objet d'une réévaluation suite à des objections pertinentes d'autorités concernées.
Accor possède également les chaînes d'hôtels tel que Ibis, Mercure, Novotel, 25 hours...
Les manquements
Dans cette sanction la prospection commerciale est au centre des attentions tout comme les droits des personnes.
Rappelons que la CNIL a fait de la prospection commerciale une thématique prioritaire de contrôle en 2022.
Prospection commerciale
Les faits sont les suivant :
Lorsqu’une personne réservait une chambre d’hôtel directement auprès du personnel d’un hôtel d’une des marques hôtelières du groupe ACCOR (sur place ou par téléphone) ou sur le site d’une des marques hôtelières du groupe (Ibis, Novotel, Mercure, Fairmont, Sofitel, Adagio etc.), elle était rendue destinataire des courriels de la société contenant la newsletter " All – Accor Live Limitless ", la case relative au consentement à recevoir la newsletter étant pré-cochée par défaut.
Dès lors, il est relevé l'absence de Consentement préalable, libre, spécifique et informé des personnes concernées conformément à l’article L. 34-5 du Code des postes et des communications électroniques (CPCE).
L'exception prévue à l'article L. 34-5 alinéa 4 du CPCE étant inapplicable du fait que la prospection commerciale en l'espèce ne concerne pas uniquement des produits ou services analogues fournis par la même personne physique ou morale mais également des offres promotionnelles de partenaires.
De plus, est constaté que, lors de la création d’un espace client, la société ne recueillait pas le consentement des personnes pour le traitement de leurs données à caractère personnel à des fins de prospection commerciale par courriers électroniques.
En effet, les données à caractère personnel utilisées par la société à des fins de prospection commerciale pouvaient être collectées depuis un formulaire de création d’un espace client, indépendamment d’une réservation, sur lequel figurait une case " pré-cochée " par défaut portant sur le consentement à recevoir de la prospection commerciale.
Or, la société doit recueillir le consentement préalable, libre, spécifique et informé des personnes créant un espace client à recevoir de la prospection commerciale.
Là encore, l'exception prévue à l'article L. 34-5 alinéa 4 du CPCE n'est pas applicable.
Effectivement, la création d'un espace client peut être antérieure à une réservation, dans ces conditions il n'existe pas de service préalable proposé et donc pas de services analogue mobilisable.
Information des personnes concernées
Plusieurs manquements sont relevés ici notamment au regard de l'information des personnes concernées :
Les formulaires permettant la création d’un compte client ou l’adhésion au programme de fidélité du groupe ACCOR ne comportaient pas les informations exigées par l’article 13 du RGPD
Les personnes concernées ne sont pas invitées à prendre connaissance des informations exigées à l'article 13 du RGPD via un lien hypertexte redirigeant vers la charte de protection des données personnelles de la société
L'information n'est donc pas "aisément accessible" comme le prévoit l'article 12 du Règlement. Effectivement, l'accès à la charte de protection des données personnelles s'effectue via un lien hypertexte disponible tout en bas de page. L'internaute devait donc rechercher l'information.
En plus de ces éléments susmentionnés, la base légale du traitement fait l'objet d'une attention particulière :
La société indique que la base légale du traitement en lien avec l'envoi de prospections commerciales est l'intérêt légitime ou l'exécution du contrat.
La formation restreinte estime que dans les hypothèses mentionnées, prospection commerciale tendant à promouvoir les produits et services de tiers, le recueil du consentement de la personne concernée s'impose, la base légale du traitement étant ainsi le consentement.
Par conséquent, la formation restreinte estime de l'ensemble des faits susmentionnés des manquements aux articles 12 et 13 du RGPD.
Tout savoir sur Le droit à l'information à l'égard des personnes concernées
Le droit d'accès
L'article 15.1 du RGPD prévoit le Droit d'accès des personnes concernées à leurs données à caractère personnel.
Lors de l'instruction menée, il est relevé qu'une plaignante a exercé son droit d'accès et que la société Accor n'a pas respectée son obligation de fournir dans le délai imparti une copie des données personnelles conformément à l'article 15 du RGPD.
La plaignante en question avait fait l'objet d'une suspension de son compte client à la suite d'une détection de connexion frauduleuse.
Néanmoins, la plaignante avait justifié de son identité, permettant la réouverture de son compte client.
Pour autant, la société Accor n'a pas fournie de réponse à la demande de droit d'accès.
Or, la formation restreinte est formelle, une fois le doute sur l'identité du demandeur levé, la demande de droit d'accès doit être respectée.
Ainsi, elle considère que le manquement à l'article 15 du RGPD est constitué.
Le droit d'opposition
Sur le manquement relatif à l’obligation de respecter le Droit d'opposition des personnes en application de l’article 21 du RGPD :
Est notamment relevé un dysfonctionnement du lien de désinscription figurant en bas des courriels de prospection adressés par la société.
Il en résulte :
l'outil de gestion des newsletters n’était pas informé par le référentiel clients des créations ou mises à jour de contacts et des désabonnements aux newsletters
une anomalie affectant la synchronisation des désabonnements entre le référentiel clients et l’outil qui gère l’envoi des newsletters
Ces anomalies ont eu pour conséquences d'empêcher un nombre non négligeable de personnes d'user efficacement de leur droit d'opposition.
Des manquements au regard de la sécurité des données
D'une part, la robustesse des mots de passe admis par la société pour l’accès au logiciel " Adobe Campaign " était trop faible, conduisant à un risque de compromission des données à caractère personnel qu’il contient.
Ainsi, un manquement relatif à l’obligation d’assurer la sécurité des données à caractère personnel est constitué.
D'autre part, dans des hypothèses de suspicion de connexion frauduleuse, le service client invite la personne concernée à envoyer une copie de sa pièce d'identité via un courriel.
Or, dans ces conditions, la transmission présente un risque pour la confidentialité des données transmises.
Effectivement, et la CNIL recommande déjà de mettre en place du chiffrement avant transmission.
Elle préconise également de transmettre le mot de passe de déchiffrement via un autre canal.
Ainsi, les éléments susmentionnés amènent la formation restreinte à considérer un manquement à l'article 32 du RGPD.
La sanction
En ce qui concerne la sanction financière, la CNIL a été obligée de revoir l'amende à la hausse.
En effet, sa proposition de sanction financière a fait l'objet d'objections par des autorités concernées.
Le Le Comité européen de la protection des données a par la suite demandé à la CNIL de réexaminer le montant de l'amende.
L'objectif recherché étant que le montant de l'amende ait un effet dissuasif.
In fine, la société Accor s'est vue infliger une amende de 600 000 euros :
100 000 euros au titre du manquement de la société à l’article L. 34-5 du CPCE ;
500 000 euros au titre des manquements de la société aux articles 12.1, 12.3, 13, 15.1, 21.2 et 32 du RGPD.
La décision fait également l'objet d'une publication publique sur le site de la CNIL et également sur le site Légifrance.
La délibération n’identifiera plus nommément la société à l’expiration d’un délai de deux ans à compter de sa publication.