Prospection commerciale : le groupe hôtelier Accor sanctionné par la CNIL

Prospection commerciale : le groupe hôtelier Accor sanctionné par la CNIL
⏱ Lecture 5 min

Par Gael Mahé et Antoine Kraska-Delsol

Donnant suite à plusieurs dépôts de plainte, la Commission nationale de l’informatique et des libertés (CNIL) a procédé à des contrôles du groupe hôtelier Accor. Cette procédure a abouti à une amende de 600.000 €, prononcée le 17 août 2022[1] après le constat de diverses violations de la réglementation applicable à la protection des données à caractère personnel.

Un manquement à l’obligation de recueillir le consentement des personnes concernées

La CNIL a fait de la prospection commerciale un de ses axes de contrôle prioritaires pour l’année 2022. L’autorité a par ailleurs récemment publié un référentiel relatif aux traitements de données personnelles aux fins de gestion des activités commerciales ainsi que des recommandations sur la prospection.

Le principe juridique du recueil du consentement

La prospection commerciale est encadrée par le Règlement européen n°2016/679 relatif à la protection des données (RGPD)[2] et l’article L. 34-5 du Code des postes et des communications électroniques qui, en principe, impose le recueil d’un consentement préalable des personnes concernées. Néanmoins, il reste possible d’adresser des communications commerciales sans recueillir le consentement des personnes lorsqu’elles concernent des produits et services analogues fournis par la même société. Les personnes devront toujours avoir la possibilité de s’opposer à la prospection.

Absence de recueil régulier du consentement

En l’espèce, les clients du groupe Accor se trouvaient automatiquement inscrits à la newsletter de la société contenant des offres commerciales et promotionnelles, aussi bien proposées par Accor que par des sociétés partenaires.

Cette inscription automatique à la newsletter intervenait :

  • A l’occasion d’une réservation auprès du personnel du groupe hôtelier ; et
  • Dans le cadre d’une réservation en ligne ou de la création d’un espace client, le formulaire contenait une case relative au consentement à l’envoi de la newsletter, qui était par ailleurs pré-cochée par défaut.

Dans ces conditions, le consentement à la prospection n’est pas régulièrement recueilli, celui-ci devant être (en plus d’être recueilli de manière préalable) :

  • Libre (absence de contrainte) ;
  • Spécifique (ciblant une seule finalité) ;
  • Univoque(manifesté de manière positive) ; et
  • Éclairé (accompagné d’une information complète).

En outre, la jurisprudence et la doctrine de la CNIL retiennent depuis déjà plusieurs années qu’une case pré-cochée ne constitue pas un consentement valable (absence du caractère univoque).

D’autre part, la commission note que l’exception au recueil du consentement préalable des personnes concernées qui relève des produits et services analogues n’était pas applicable en l’espèce, dans la mesure où la prospection effectuée par Accor porte également sur des offres proposées par des tiers.

Un manquement à l’obligation d’information des personnes concernées

Les articles 12 et 13 du RGPD font peser sur le responsable de traitement une obligation d’informer les personnes sur la collecte et le traitement de leurs données personnelles. 

Principe juridique de l’information complète des personnes concernées

Cette obligation porte sur un certain nombre d’informations relatives au responsable de traitement, ainsi que les finalités du traitement et sa base juridique.

Ces informations doivent être rendues accessibles au titre de l’obligation de transparence du responsable de traitement mais aussi, accessoirement, pour que le consentement de la personne concernée soit suffisamment éclairé.

Une information des personnes jugée insuffisante

Dans sa délibération, la CNIL soulève plusieurs points irréguliers :

  • Les informations requises ne sont pas « aisément accessibles» aux personnes concernées car les formulaires de création de comptes n’y font pas référence ni directement, ni par renvoi via un lien hypertexte disponible sur le formulaire d’inscription.

Seul un lien vers la charte de protection des données personnelles était inséré en pied de page du site internet. Cette modalité de communication est jugée insuffisante par la CNIL puisqu’elle implique que les personnes concernées défilent jusqu’au bas de la page et cherchent spécifiquement l’information.

  • La charte de protection des données d’Accor indiquait « l’intérêt légitime » ou « l’exécution du contrat » comme bases légales à la prospection commerciale. La formation restreinte relève qu’au vu de l’espèce, il doit s’agir du consentement.

Un manquement s’agissant du traitement des demandes d’exercices de droits des personnes concernées

L’article 15 du RGPD garantit un droit d’accès des personnes à leurs données personnelles

Principe juridique de l’information complète des personnes concernées

Le responsable de traitement, en recevant une telle demande, doit fournir une copie des données qu’il détient sur la personne dans un délai d’un (1) mois conformément à l’article 12 du RGPD.

Des délais de réponse non respectés pour le droit d’accès

La CNIL relève que la société Accor n’a pas respecté le délai d’un (1) mois dans le cadre d’une demande d’accès. Cette dernière avançait un doute sur l’identité du demandeur à la suite d’une détection de connexion frauduleuse sur le compte de la personne. Néanmoins, la formation restreinte note qu’une fois que la personne avait levé tout doute sur son identité en fournissant une pièce d’identité, rien ne justifie de retarder l’accès à ses données. Le responsable de traitement aurait dû immédiatement honorer la demande.

Un droit d’opposition ineffectif

D’autre part, l’article 21 du règlement permet aux personnes concernées d’exercer un droit d’opposition au traitement de leurs données, notamment s’agissant de la réception de prospection commerciale.

La commission a remarqué que les liens de désinscription des courriels de prospection envoyés par la société présentaient des dysfonctionnements, qui rendaient les demandes d’opposition inefficaces pendant plusieurs mois.

Un manquement s’agissant des mesures de sécurité

Principe juridique de sécurité du traitement

Le RGPD prévoit à son article 32 que le responsable de traitement doit assurer la sécurité des données personnelles en ayant recours à des mesures techniques et organisationnelles appropriées.

Mesures de contrôle logique insuffisantes

La CNIL a constaté que l’outil de gestion de l’envoi de communications aux clients était accessible avec un mot de passe de huit caractères, avec seulement deux types de caractères différents. Compte tenu du volume de données accessibles via cet outil, ce niveau de sécurité est insuffisant pour la commission. La longueur et la complexité du mot de passe sont des caractéristiques élémentaires de cette mesure de sécurité, et ce même si le logiciel en question n’est accessible que depuis un terminal connecté au réseau de la société.

Pour rappel, la CNIL recommande qu’un mot de passe soit constitué d’au moins huit caractères, comprenant au moins trois niveaux de complexité (majuscule, minuscule, chiffre, caractère spécial) lorsqu’il est complété par une mesure de sécurité complémentaire, ou d’au moins douze caractères comprenant les quatre niveaux de complexité s’il s’agit de la seule mesure d’authentification.

D’ailleurs, la question des mots de passe risque d’évoluer dans la mesure où elle fait actuellement l’objet d’une consultation publique par la CNIL qui cherche à renforcer et mettre à jour ses préconisations de 2017. La volonté de la CNIL est de se rapprocher des standards énoncés dans les dernières recommandations de l’ANSSI qui établissent qu’un mot de passe moyen-fort doit comporter entre 12 et 14 caractères minimum[3].

Flux de données non sécurisés

En outre, la formation restreinte de la commission indique que la communication d’une pièce d’identité par courriel ne permet pas de se prémunir contre une éventuelle interception par un tiers.

En effet, la CNIL recommande au moins un chiffrement des données avant qu’elles ne soient enregistrées ou transmises par voie de messagerie électronique[4].

Le montant de l’amende revu sur injonction du CEPD

Au regard de l’ensemble de ces manquements, la CNIL prononce une amende d’un montant de 600.000 € à l’encontre de la société Accor – 100.000 € au titre des manquements relatifs à la prospection commerciale et 500.000 € au titre des manquements relatifs au RGPD.

De manière intéressante, le montant initial de l’amende envisagée par la CNIL était uniquement de 100.000 €. A la suite d’objections de l’équivalent polonais de la CNIL dans le cadre de la coopération européenne qui s’est tenue pour ce dossier, le Comité européen à la protection des données (CEPD) a chargé la CNIL de réévaluer ce montant afin qu’il ait un effet réellement dissuasif, conformément à l’article 83 du RGPD.

Enfin, il convient de noter que le groupe Accor s’est mis en conformité sur tous les points reprochés depuis la clôture de l’instruction.

***

Le Cabinet HAAS Avocats, fort de son expertise depuis plus de vingt-cinq ans en matière de nouvelles technologies, accompagne ses clients dans différents domaines du droit et notamment en matière de protection des données personnelles. Si vous souhaitez avoir plus d’informations au regard de la réglementation en vigueur, n’hésitez pas à faire appel à nos experts pour vous conseiller. Pour en savoir plus, contactez-nous ici.

 

[1] Délibération de la formation restreinte n°SAN-2022-017 du 3 août 2022

[2] Articles 12 à 14 du RGPD

[3] Recommandations relatives à l'authentification multifacteur et aux mots de passe – octobre 2021

[4] Guide de la CNIL : La sécurité des données personnelles

Gaël Mahe

Auteur Gaël Mahe

Suivez-nous sur Linkedin