Blog Données personnelles
Prospection commerciale et droit des personnes : la CNIL prononce une sanction de 600 000 euros à l’encontre de la société ACCOR
Dans une délibération en date du 3 août 2022 [1], la CNIL a prononcé une sanction d’un montant de 600 000 euros à l’encontre de la société ACCOR, notamment pour avoir procédé à de la prospection commerciale sans le consentement des personnes concernées et pour ne pas avoir respecté les droits des clients et des prospects.
I. Les faits
Entre décembre 2018 et septembre 2019, la CNIL a été saisie de plaintes relatives aux difficultés rencontrées par des personnes pour exercer leurs droits auprès de la société ACCOR, qui est une société française spécialisée dans le secteur de l’hôtellerie.
Il ressort des contrôles effectués par la CNIL qu’en effet, lorsqu’une personne procédait à une réservation directement auprès du personnel d’un hôtel ou sur le site d’une des marques hôtelières du groupe ACCOR, elle était automatiquement rendue destinataire d’une newsletter comportant des offres commerciales, la case relative au consentement à recevoir cette newsletter étant précochée par défaut.
Des anomalies techniques ont également empêché certaines personnes de s’opposer efficacement à la réception desdits messages de prospection.
Par conséquent, la formation restreinte de la CNIL a prononcé une amende de 600 000 euros à l’encontre de la société ACCOR.
II. Les motifs de la décision
La formation restreinte de la CNIL a retenu plusieurs manquements à l’encontre de la société ACCOR : un (1) manquement à la législation française et quatre (4) manquements au RGPD.
- un manquement à l’obligation de recueillir le consentement de la personne concernée par une opération de prospection directe au moyen d’un système automatisé de communications électroniques (article L. 34-5 du code des postes et des communications électroniques) ;
- un manquement à l’obligation d’informer les personnes (articles 12 et 13 du RGPD) : la société ACCOR ne fournissait pas aux personnes concernées, de manière aisément accessible, les informations nécessaires lors de la création d’un compte client ou lors de l’adhésion au programme de fidélité du groupe ACCOR. La société ne mentionnait pas non plus le consentement comme base légale du traitement, pour la prospection tendant à promouvoir les produits ou services de tiers ;
- un manquement à l’obligation de respecter le droit d’accès des personnes aux données les concernant (articles 12.3 et 15.1 du RGPD), puisque la société n’a pas donné suite aux demandes formulées par une plaignante dans les délais ;
- un manquement à l’obligation de respecter le droit d’opposition des personnes concernées (articles 12 et 21.2 du RGPD), la société n’ayant pas pris en compte les demandes des plaignants visant à ce que plus aucun message de prospection commerciale ne leur soit adressé, en raison de dysfonctionnements ;
- un manquement à l’obligation d’assurer la sécurité des données à caractère personnel (article 32 du RGPD), car la société permettait l’utilisation des mots de passe insuffisamment robustes (alors même que la CNIL recommande [2] que le mot de passe comporte au minimum douze caractères - contenant au moins une lettre majuscule, une lettre minuscule, un chiffre et un caractère spécial - ou alors comporte au moins huit caractères - contenant trois de ces quatre catégories de caractères - s’il est accompagné d’une mesure complémentaire). La CNIL reproche également à la société d’avoir invité une personne à transmettre sa pièce d’identité par courriel, sans que les données en cause ne soient chiffrées, ce qui représente un risque important pour la confidentialité des données transmises.
Il est à noter que lors de la procédure, la société ACCOR s’est mise en conformité afin de remédier à l’ensemble des manquements relevés lors du contrôle de la CNIL.
[1] Délibération de la formation restreinte no SAN-2022-017 du 3 août 2022 concernant la société ACCOR SA
[2] Délibération n° 2017-012 du 19 janvier 2017