RGPD : le groupe Accor écope d’une amende de 600 000 € La Commission nationale de l’informatique et des libertés (Cnil) a lourdement sanctionné le groupe hôtelier pour avoir procédé à de la prospection commerciale sans le consentement des personnes concernées et pour ne pas avoir respecté le droit des clients et des prospects. Le groupe s’est depuis mis en conformité avec l’ensemble des manquements constatés. Dans un communiqué publié sur son site le 17 août, la Commission nationale de l’informatique et des libertés (Cnil) explique qu’elle a été saisie ainsi que plusieurs autres autorités européennes de protection des données de plaintes de personnes rencontrant des difficultés pour exercer leurs droits auprès du groupe Accor. L’autorité administrative indépendante a relevé plusieurs manquements lors des contrôles qu’elle a opéré. Elle a ainsi constaté que lorsqu’une personne procédait à une réservation directement auprès du personnel d’un hôtel ou sur le site d’une des marques hôtelières du groupe Accor, elle était automatiquement rendue destinataire d’une newsletter comportant des offres commerciales de partenaires. Il est reproché au groupe hôtelier d’avoir pré-coché par défaut la case relative au consentement à recevoir une newsletter comportant des offres commerciales de partenaires. La Cnil a également constaté que des anomalies techniques qui, pendant plusieurs semaines, ont empêché un nombre significatif de personnes de s’opposer efficacement à la réception des messages de prospection. Cinq manquements sanctionnés Un manquement à la législation française et quatre au RGPD ont été constatés : - manquement à l’obligation de recueillir le consentement de la personne concernée pour traiter ses données à des fins de prospection commerciale (article L34-5 du code des postes et des communications électroniques) ; - manquement à l’obligation d’informer les personnes (art. 12 et 13 du RGPD) : la société ne fournissait pas aux personnes concernées, de manière accessible, les informations nécessaires lors de la création d’un compte client ou lors de l’adhésion au programme de fidélité du groupe Accor. La société ne mentionnait pas non plus le consentement comme base légale du traitement, pour la prospection tendant à promouvoir les produits ou services de tiers ; - manquement à l’obligation de respecter le droit d’accès des personnes aux données les concernant (art. 12 et 15 du RGPD), puisque la société n’a pas donné suite aux demandes formulées par une plaignante dans les délais ; - manquement à l’obligation de respecter le droit d’opposition des personnes concernées (art. 12 et 21 du RGPD), la société n’ayant pas pris en compte les demandes des plaignants visant à ce que plus aucun message de prospection commerciale ne leur soit adressé, en raison de dysfonctionnements ; - manquement à l’obligation d’assurer la sécurité des données personnelles (art. 32 du RGPD), car la société permettait l’utilisation de mots de passe insuffisamment robustes. La Cnil a reproché également à la société d’avoir invité une personne à transmettre sa pièce d’identité par courriel, sans que les données en cause ne soient chiffrées. Une amende de 600 000 € Étant donné que ces traitements étaient mis en œuvre dans de nombreux pays de l’Union européenne, la Cnil a soumis un projet de décision aux autorités de protection des données concernées. L’une de ces autorités étant en désaccord avec ce projet, le Comité européen de la protection des données (CEPD) a été saisi pour se prononcer sur le différend. Ce dernier a enjoint à la Cnil d’augmenter le montant de l’amende afin qu’elle soit davantage dissuasive. La formation restreinte (organe de la Cnil chargé de prononcer les sanctions) a, en conséquence, prononcé une amende de 600 000 €, rendue publique, à l’encontre de la société Accor. L’administration a notamment pris en compte le nombre de manquements reprochés à la société, le fait qu’ils portaient sur plusieurs principes fondamentaux de la protection des données personnelles et qu’ils constituaient une atteinte substantielle aux droits des personnes, ainsi que le nombre de personnes concernées et la situation financière de la société. La Cnil précise que, depuis, le groupe hôtelier Accor s’est mis en conformité avec l’ensemble des manquements relevés lors de la procédure. © YVES FORESTIER Retrouvez nos conseils pour utiliser stratégiquement vos données clients, page 17
RkJQdWJsaXNoZXIy ODk2OA==