Dans un communiqué publié sur son site le 17 août, la Cnil (Commission nationale de l’informatique et des libertés) explique qu’elle a été saisie ainsi que plusieurs autres autorités européennes de protection des données de plaintes de personnes rencontrant des difficultés pour exercer leurs droits auprès d’Accor.
Le client en direct recevait automatiquement des propositions commerciales de partenaires
Lors des contrôles, la Cnil a constaté que lorsqu’une personne procédait à une réservation directement auprès du personnel d’un hôtel ou sur le site d’une des marques hôtelières du groupe Accor, elle était automatiquement rendue destinataire d’une newsletter comportant des offres commerciales de partenaires. Il est reproché au groupe hôtelier d’avoir pré-cocher par défaut la case relative au consentement à recevoir une newsletter comportant des offres commerciales de partenaires.
La Cnil a également constaté que des anomalies techniques, qui se sont reproduites pendant plusieurs semaines, ont empêché un nombre significatif de personnes de s’opposer efficacement à la réception des messages de prospection.
Une amende dissuasive de 600 000 €
Etant donné que ces traitements étaient mis en œuvre dans de nombreux pays de l’Union européenne la Cnil a soumis un projet de décision aux autorités de protection des données concernées. Une de ces autorités étant en désaccord avec ce projet, le Comité européen de la protection des données (CEPD) a été saisi pour se prononcer sur le différend. Le CEPD a alors enjoint à la Cnil d’augmenter le montant de l’amende afin qu’elle soit davantage dissuasive.
La formation restreinte (organe de la Cnil chargé de prononcer des sanctions) a, en conséquence, prononcé à l’encontre de la société Accor une amende de 600 000 euros rendue publique.
Pour fixer le montant de cette amende, la Cnil a notamment pris en compte le nombre de manquements reprochés à la société, le fait que ces manquements portent sur plusieurs principes fondamentaux de la protection des données personnelles et qu’ils constituent une atteinte substantielle aux droits des personnes, ainsi que le nombre de personnes concernées et la situation financière de la société.
Les manquements sanctionnés
La Cnil a retenu à l’encontre de la société Accor un manquement à la législation française et quatre manquements au RGPD :
Manquement à l’obligation de recueillir le consentement de la personne concernée pour traiter ses données à des fins de prospection commerciale (article L. 34-5 du Code des postes et des communications électroniques).
Manquement à l’obligation d’informer les personnes (art. 12 et 13 du RGPD) : la société ne fournissait pas aux personnes concernées, de manière accessible, les informations nécessaires lors de la création d’un compte client ou lors de l’adhésion au programme de fidélité du groupe Accor. La société ne mentionnait pas non plus le consentement comme base légale du traitement, pour la prospection tendant à promouvoir les produits ou services de tiers.
Manquement à l’obligation de respecter le droit d’accès des personnes aux données les concernant (art. 12 et 15 du RGPD), puisque la société n’a pas donné suite aux demandes formulées par une plaignante dans les délais.
Manquement à l’obligation de respecter le droit d’opposition des personnes concernées (art. 12 et 21 du RGPD), la société n’ayant pas pris en compte les demandes des plaignants visant à ce que plus aucun message de prospection commerciale ne leur soit adressé, en raison de dysfonctionnements.
Manquement à l’obligation d’assurer la sécurité des données personnelles (art. 32 du RGPD), car la société permettait l’utilisation des mots de passe insuffisamment robustes. La Cnil reproche également à la société d’avoir invité une personne à transmettre sa pièce d’identité par courriel, sans que les données en cause ne soient chiffrées.
En conclusion, la Cnil précise que depuis le groupe hôtelier Accor s’est mi en conformité avec l’ensemble des manquements relevés lors de la procédure.