Saisie de six plaintes entre décembre 2018 et septembre 2019, la Cnil a diligenté des contrôles en ligne et au sein des locaux de la société Accor, de mars 2019 à février 2020.
Suite à ces contrôles, la rapporteure désignée par la Commission proposait à la formation restreinte de la Cnil, dans un rapport de sanction, de condamner la société Accor à une amende administrative et de rendre publique la décision prononçant la sanction.
Par une délibération rendue le 3 août 2022 (voir également le communiqué de la Cnil sur cette décision), la formation restreinte de la Cnil a condamné la société Accor au titre des différents manquements présentés ci-après.
MANQUEMENTS RELATIFS A L’OBLIGATION DE RECUEILLIR LE CONSENTEMENT DE LA PERSONNE CONCERNEE AU TRAITEMENT DE SES DONNEES A DES FINS DE PROSPECTION COMMERCIALE
La formation restreinte de la Cnil relève que lorsqu’une personne procédait à la réservation d’une chambre, en ligne ou directement auprès du personnel d’un hôtel du groupe Accor, elle devenait automatiquement destinataire des courriels de diffusion de la newsletter, la case relative au consentement à recevoir la newsletter étant pré-cochée par défaut.
Il a, par ailleurs, été constaté que la même case était également pré-cochée par défaut lors de la création d’un espace client sur le site de la société Accor, rendant ainsi le « potentiel » client destinataire par défaut des courriels de prospection commerciale du groupe, sans même qu’ait été réalisée une réservation au sein d’un hôtel.
La formation restreinte de la Cnil rappelle qu’il est possible, pour l’émetteur de courriels de prospection commerciale, de les adresser à un destinataire qui n’y aurait pas consenti, à condition de remplir les trois conditions suivantes :
– les données collectées l’ont été auprès de la personne concernée dans le respect des dispositions de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;
– à l’occasion d’une vente ou d’une prestation de services ;
– la prospection concerne des produits et services analogues fournis par la même personne physique ou morale que celle ayant vendu un bien ou fourni une prestation de services à la personne concernée.
Or, la formation restreinte de la Cnil relève, d’une part, que la création d’un espace client peut intervenir sans qu’une réservation soit effectuée et donc sans que l’utilisateur ayant créé le compte devienne client d’une prestation de services réalisée par la société, ce dont il résulte que l’exception au recueil du consentement ne pouvait pas être valablement invoquée dans une telle situation.
Elle constate, d’autre part, que les messages de prospection commerciale reçus par les plaignants ne portent pas exclusivement sur des produits ou services analogues fournis par la société Accor mais sont susceptibles de contenir des offres promotionnelles proposées par des partenaires commerciaux du groupe, ce dont il résulte que le consentement des personnes concernées à recevoir la newsletter de la société aurait dû être recueilli, même lorsque les destinataires sont effectivement des clients ayant déjà effectué une réservation.
La formation restreinte de la Cnil en conclut que, le consentement des personnes concernées ayant été recueilli par défaut dans l’ensemble de ces situations, il ne pouvait être considéré comme valable, ce dont il résulte que la société Accor avait manqué à son obligation de recueillir le consentement des destinataires des courriels de prospection commerciale.
MANQUEMENTS RELATIFS A L’OBLIGATION D’INFORMATION DES PERSONNES CONCERNEES
La formation restreinte constate que l’information devant être fournie aux personnes concernées par le traitement de leurs données à caractère personnel était difficilement accessible lors de la création d’un espace client en ligne, ou lors de l’adhésion au programme de fidélité du groupe Accor.
Elle rappelle, en particulier, que la personne concernée ne doit pas avoir à rechercher les informations mais doit immédiatement pouvoir y accéder.
Or, la charte de protection des données personnelles de la société Accor n’était accessible qu’à condition de faire défiler l’intégralité de la page sur laquelle était présent l’internaute, et de cliquer sur le lien hypertexte présenté au bas de la page.
La formation restreinte de la Cnil estime également que « l’intérêt légitime » ou « l’exécution du contrat » mentionnés dans la charte de protection des données personnelles comme bases juridiques du traitement de données à caractère personnel ayant pour finalité l’envoi de prospections commerciales ne pouvaient permettre l’envoi des messages de prospection commerciale, et que la base juridique du traitement ainsi mis en œuvre devait être le « consentement », que la société ne pouvait se dispenser de recueillir.
Par conséquent, la formation restreinte relève qu’en ne rendant sa charte de protection des données personnelles que difficilement accessible en ligne, et en n’y mentionnant pas le consentement comme base juridique du traitement pour la prospection tendant à promouvoir les produits ou services de tiers, la société Accor a manqué à son obligation d’informer les personnes concernées conformément au RGPD.
MANQUEMENTS RELATIFS A L’OBLIGATION DE RESPECTER LE DROIT D’ACCES DES PERSONNES AUX DONNEES LES CONCERNANT
La Cnil constate que la société Accor n’a pas fait droit, avant le 24 février 2020, à la demande de droit d’accès à ses données formulée par une plaignante le 1er août 2019.
Suite à la détection d’une connexion frauduleuse à son compte client, le compte de la cliente avait fait l’objet d’une suspension. Elle avait alors justifié de son identité le 10 janvier 2020, permettant ainsi la réouverture de son compte client. Toutefois, aucune réponse n’avait été apportée à sa demande de droit d’accès par la société Accor dans le délai maximum d’un mois imparti par le RGPD.
Forte de ces constatations, la formation restreinte considère, que dans l’hypothèse où le compte d’un client a fait l’objet d’une détection de connexion frauduleuse, la société peut avoir un doute raisonnable sur l’identité du demandeur souhaitant exercer son droit d’accès, justifiant qu’une pièce d’identité soit sollicitée auprès de la personne concernée. Elle ajoute toutefois que, dès lors que le doute est levé sur l’identité de la personne, la demande de droit d’accès doit être honorée par le responsable du traitement.
Elle caractérise ainsi un manquement de la société Accor à l’obligation de faire droit à la demande de la plaignante visant à exercer son droit d’accès à ses données à caractère personnel.
MANQUEMENTS RELATIFS A L’OBLIGATION DE RESPECTER LE DROIT D’OPPOSITION DES PERSONNES
La Cnil relève le dysfonctionnement, pendant plusieurs semaines, du lien de désinscription accessible au bas des courriels de prospection commerciale adressés par la société Accor.
Elle constate que cette anomalie a empêché un nombre significatif de personnes de s’opposer à la réception des messages de prospection envoyés par la société.
Or, plusieurs millions de personnes recevaient au moins l’une des newsletters du groupe sur une adresse électronique valide.
La formation restreinte constate donc la méconnaissance par la société Accor de ses obligations au titre des dispositions relatives au droit d’opposition des personnes concernées à la prospection notamment commerciale.
MANQUEMENTS RELATIFS A L’OBLIGATION DE SECURITE DES DONNEES A CARACTERE PERSONNEL
Il est, enfin, reproché à la société Accor de ne pas avoir mis en œuvre les mesures nécessaires à la sécurité des données à caractère personnel des clients et prospects du groupe.
En effet, lors de son contrôle, la Cnil a pu constater que seul un mot de passe faiblement sécurisé (cf. mot de passe composé de huit caractères contenant seulement deux types de caractères, sept lettres majuscules et un caractère spécial, en contradiction avec les recommandations de la Cnil et de l’Agence nationale de la sécurité des systèmes d’information -ou ANSSI) permettait d’accéder à l’outil de gestion par lequel étaient envoyées les communications électroniques. Le risque de compromission des données personnelles contenues dans l’outil de gestion était donc élevé.
Par ailleurs, la formation restreinte relève que la demande de transmission par simple courrier électronique de la copie de sa pièce d’identité à une personne concernée par une suspicion de connexion frauduleuse à son compte génère un risque sévère pour la confidentialité des données non chiffrées transmises.
Elle rappelle que le chiffrement des données avant leur transmission par courrier électronique est une précaution élémentaire devant être prise pour assurer la sécurité des données.
Au regard de l’ensemble de ces éléments, la formation restreinte considère donc que les faits précités sont constitutifs d’un manquement par la société Accor à son obligation de sécurité des données à caractère personnel qu’elle traite.
* *
*
A l’issue de ce raisonnement, la formation restreinte prononce, à l’encontre de la société Accor, une amende administrative d’un montant de 600 000 euros au titre de ces divers manquements.
Il est intéressant de constater que la formation restreinte de la Cnil, chef de file des investigations au niveau européen suite à l’intervention d’autres autorités de contrôle européennes dans la procédure, a été contrainte de revoir à la hausse l’amende qu’elle avait initialement prévue de prononcer à l’encontre du groupe Accor afin de satisfaire au critère d’effet dissuasif des sanctions prévu par le RGPD.
Cette sanction, d’un montant non négligeable, l’est d’autant plus que de nombreuses mesures correctrices avaient été déployées par la société et permettaient de corriger l’ensemble des manquements relevés dans le rapport de sanction établi préalablement à la délibération de la formation restreinte.
La formation restreinte souligne d’ailleurs cette mise en conformité dans l’évaluation qu’elle réalise du montant de l’amende, ainsi que la pleine coopération de la société Accor avec la Cnil.
Cette décision peut faire l’objet d’un recours devant le Conseil d’Etat dans un délai de deux mois à compter de sa notification.
* *
*
Plan d’actions
Cette décision doit être l’occasion pour les entreprises de faire le point sur leurs pratiques en matière de traitements de données à caractère personnel des clients et prospects afin de déployer, le cas échéant, les mesures correctrices nécessaires, et notamment de :
– vérifier si les opérations de prospection commerciale qu’elles mettent en œuvre sont soumises au recueil préalable du consentement des personnes concernées et, dans l’affirmative, s’assurer qu’un tel consentement est valablement recueilli (et en particulier qu’il n’est pas recueilli « par défaut ») ;
– vérifier que les mentions d’informations et politiques de protection des données publiées sur les différents supports du responsable de traitement, notamment sur son site internet, sont conformes à la règlementation applicable en matière de protection des données à caractère personnel s’agissant en particulier de leur contenu et qu’elles sont, notamment, aisément accessibles à la personne concernée ;
– s’assurer que les procédures et mesures techniques appropriées sont définies et implémentées en pratique afin de répondre et de faire droit, dans les conditions, modalités, formes et délais impartis par les textes, aux demandes des personnes concernées visant à exercer leurs droits (ex : droit d’accès, droit d’opposition, droit à l’effacement,…) s’agissant de leurs données à caractère personnel ;
– vérifier que les mesures techniques et organisationnelles appropriées pour assurer la sécurité des données (tant s’agissant de la conservation des données que de leur transmission ou de l’accès auxdites données) sont effectivement déployées (cf. voir notamment les recommandations de la Cnil et de l’ANSSI).
AGIL’IT se tient bien entendu à votre disposition pour vous accompagner dans le cadre de la mise et/ou du maintien en conformité de vos pratiques au regard de la règlementation applicable en matière de protection des données à caractère personnel.
Par AGIL’IT – Pôle IT, Data protection & Télécoms
Laure LANDES-GRONOWSKI, Avocate associée
Kassandra BERTRAND-BOURDON, Juriste