Dans une décision du 3 août 2022, la CNIL a condamné la société ACCOR au paiement d’une amende de 600.000 €, notamment pour avoir procédé à des opérations de prospection commerciale sans recueillir le consentement des personnes concernées et avoir méconnu les droits conférés auxdites personnes par le RGPD.
Entre 2018 et 2019, la CNIL a été saisie de plusieurs plaintes faisant état d’une absence de prise en compte satisfaisante de la part de la société d’hôtellerie ACCOR, (i) du droit d’opposition à la réception de courriels de prospection commerciale et (ii) du droit d’accès exercé par les personnes concernées.
Ces éléments ont déclenché un contrôle de la CNIL en ligne, puis dans les locaux d’ACCOR.
La CNIL a, dans un premier temps, relevé sa compétence en tant qu’autorité chef de file concernant les traitements transfrontaliers menés par ACCOR, ayant considéré que l’établissement principal d’ACCOR se trouvait en France.
1. La CNIL reprochait à ACCOR d’avoir réalisé des opérations de prospection commerciale concernant ses clients, pour des produits et services proposés par des sociétés « partenaires ». Le consentement était recueilli au moyen d’une case pré-cochée par défaut.
La CNIL a considéré que le consentement aurait dû être libre, spécifique et informé. Or, compte tenu du pré-cochage de la case, ce consentement à la prospection commerciale pour des sociétés tierces ne pouvait être considéré comme valablement donné par l’utilisateur.
Par ailleurs, cette case pré-cochée était également proposée aux utilisateurs du site se créant un compte client, quand bien même ces utilisateurs n’avaient pas acheté de produits ou services. ACCOR ne pouvait donc se prévaloir de l’exception de l’article L 34-5 du Code des postes et communications électroniques (CPCE) s’agissant de la prospection de ses clients pour des « produits et services analogues » à ceux déjà achetés.
Il y avait donc là, à plusieurs titres, manquements aux obligations de l’article L 34-5 du CPCE.
2. Par ailleurs, la CNIL a considéré que les mentions d’information n’étaient « pas « aisément accessibles » pour [les personnes concernées], en ce que, lors de la création d’un compte, l’accès à la « charte de protection des données personnelles » de la société n’était organisé que via un lien hypertexte disponible tout en bas des pages du site internet, ce qui nécessitait que l’internaute fasse défiler la page dans son intégralité et recherche l’information, en méconnaissance de l’article 12 du RGPD ».
La CNIL y a vu un manquement aux articles 12 et 13 du RGPD.
3. Le défaut de réponse satisfaisante apportée par ACCOR à plusieurs demandes d’exercice des droits d’accès émanant de clients a également été relevé par la CNIL, en violation de l’article 15 du RGPD. Le dysfonctionnement du lien de désinscription à la newsletter d’ACCOR, pendant plusieurs mois, a également caractérisé un manquement à l’article 21 du RGPD sur le droit d’opposition.
4. Enfin, la CNIL, lors de son contrôle sur place, a constaté que « l’utilisation d’un mot de passe composé de huit caractères contenant seulement deux types de caractères (sept lettres majuscules et un caractère spécial) permettait d’accéder à l’outil de gestion l’envoi des communications aux clients », ce qui constitue des mesures « insuffisantes » et qui « ne permettent pas d’assurer la sécurité des données à caractère personnel ».
De plus, lorsque le compte d’un client était suspendu en raison d’une suspicion de connexion frauduleuse, le service client invitait la personne concernée à transmettre la copie de sa pièce d’identité en pièce jointe d’un courriel. Cet envoi par mail ne permet pas, pour la CNIL, de se « prémunir contre son interception par un tiers ». Elle estime, en effet « que la pratique consistant en la transmission de données non chiffrées par courriel électronique génère un risque important pour la confidentialité des données transmises ».
La CNIL a qualifié ces pratiques de manquements à l’article 32 du RGPD.
Malgré (i) la mise en conformité d’ACCOR avec « l’ensemble des manquements relevés », (ii) l’absence de « caractère structurel » de certains de ces manquements, (iii) la pleine coopération d’ACCOR avec la CNIL, (iv) la baisse du chiffre d’affaires d’ACCOR en 2020 et 2021 et (v) le contexte économique lié à la crise sanitaire de la Covid-19, la CNIL a prononcé une amende administrative de 600.000 € à l’encontre d’ACCOR, dont 100.000 € au titre des manquements à l’article L34-5 du CPCE.
Lien vers la décision : ici
