Par une délibération du 3 août 2022, la CNIL sanctionne à hauteur de 600.000 euros la société ACCOR pour avoir notamment effectué de la prospection commerciale sans le consentement des personnes concernées et avoir porté atteinte à leurs droits d’accès et d’opposition.
La société ACCOR est un groupe hôtelier français à l’encontre duquel plusieurs plaintes relatives aux difficultés rencontrées par des personnes pour exercer leurs droits ont été déposées auprès de la CNIL et de plusieurs autorités européennes de protection des données.
Les investigations effectuées par la CNIL révèlent de nombreux manquements et l’autorité de contrôle française sanctionne la société ACCOR avec une certaine sévérité à hauteur de 600.000 euros, dont 100.000 euros concerne le manquement aux dispositions relatives à la prospection commerciale.
Premièrement, la CNIL relève en effet l’absence de recueil de consentement des personnes pour des opérations de prospection commerciale pourtant rendu obligatoire par l’article L.34-5 alinéa 1 du CPCE. Le consentement doit en effet se matérialiser par un acte positif clair (article 4.11 RGPD). Or, en l’espèce la société ACCOR procédait automatiquement à des opérations de prospection commerciale auprès de ses clients effectuant une réservation au guichet des hôtels ou en ligne où une case pré-cochée par défaut était présente lors de la création d’un espace client.
La CNIL relève également une atteinte substantielle par la société ACCOR aux droits d’accès (article 12 et 15 RGPD) et d’opposition (article 12 et 21 RGPD) notamment à des opérations de prospection commerciale, en l’absence de prise en compte des demandes d’exercice de ces droits par les personnes concernées.
Par ailleurs, la CNIL constate que la société ACCOR ne fournissait pas une information suffisante (article 12 et 13 RGPD) aux personnes concernées s’agissant des modalités de traitement de leurs données et ne faisait notamment pas mention du consentement comme base légale du traitement.
Enfin, la CNIL considère comme insuffisante la sécurité des données (article 32 RGPD) des personnes concernées au regard de l’utilisation de mots de passe trop faibles sur son site de réservation.
Cette décision est également l’occasion de rappeler l’obligation de coopération transfrontalière prévue par le RGPD qui impose aux autorités de contrôle européennes de coopérer afin de garantir une application cohérente et uniforme du RGPD.
Lorsque les traitements en cause sont réalisés dans plusieurs pays de l’Union européenne, la CNIL doit nécessairement soumettre son projet de décision aux autres autorités de contrôle européennes concernées qui peuvent émettre des objections pertinentes et motivées (article 60§4 RGPD).
Dans le cas où une objection est formulée par une autorité de contrôle, et si la CNIL n’entend pas réviser sa décision, celle-ci est alors contrainte de transmettre sa décision au Comité européen de la protection des données (CEPD) qui aura pour mission de trancher le litige et de rendre une décision contraignante (article 65 RGPD).
Cette situation s’est précisément présentée dans le cadre de cette affaire où une autorité européenne visée par les traitements était en désaccord avec les termes de la décision de la CNIL. Suite à l’examen par le CEPD du projet de décision, ce dernier a enjoint à la CNIL de réexaminer le montant de l’amende prononcée et de l’augmenter pour accroître son effet dissuasif. Carole COUSON-WARLOP, avocate associée, spécialiste en droit de la propriété intellectuelle Alixia TRAINEAU, avocate collaboratrice
Comments