23 Août Le groupe ACCOR sanctionné par la CNIL à 600 000 euros pour prospection commerciale directe non consentie et manquements aux droits des prospects
Le 3 août 2022 la formation restreinte de la Commission Nationale de l’Informatique et des Libertés (« CNIL ») a infligé une amende de 600 000 euros au groupe hôtelier français ACCOR. Elle lui reproche d’avoir mis en place une prospection commerciale directe sans le consentement des personnes concernées, de ne pas avoir respecté les droits des prospects et d’avoir manqué à l’obligation de sécuriser les données.
La CNIL a été saisie de six plaintes entre décembre 2018 et septembre 2019 relatives aux difficultés rencontrées par des prospects du groupe ACCOR dans l’exercice de leur droit d’accès et d’opposition. Dès mars 2019, la CNIL a effectué des contrôles auprès du groupe.
Le groupe ACCOR gère de nombreuses marques hôtelières (Ibis, Novotel, Mercure, etc.). Afin de développer son activité, il a mis en place des prospections commerciales (courriels publicitaires, courriels de bienvenue au programme de fidélité, newsletters) dont les destinataires sont les personnes qui créent un espace client et celles qui réservent une chambre d’hôtel en direct ou via le site internet d’une marque hôtelière du groupe.
Le groupe possède des hôtels dans de nombreux pays et les traitements en cause sont ainsi transfrontaliers. Constatant que le groupe avait son principal établissement en France avec un siège social à Issy-les-Moulineaux, la CNIL s’est portée autorité chef de file conformément à l’article 56 § 1 du Règlement Général sur la Protection des Données (« RGPD »).
Suivant le mécanisme du guichet unique, la CNIL a engagé une procédure à laquelle ont contribué 22 autorités européennes concernées.
A la suite de ses différents contrôles, la CNIL a retenu de multiples manquements.
Concernant le manquement à l’obligation de recueillir le consentement des personnes concernées pour traiter leurs données à des fins de prospection commerciale
En dehors de la coopération européenne, la CNIL relève un manquement à l’article L. 34-5 du Code des Postes et des Communications Electroniques (« CPCE ») qui porte sur la prospection commerciale directe définie comme « l’envoi de tout message destiné à promouvoir, directement ou indirectement […] des services ».
Selon l’alinéa 1er, « est interdite la prospection directe au moyen […] de courriers électroniques utilisant les coordonnées d’une personne physique, abonné ou utilisateur, qui n’a pas exprimé préalablement son consentement à recevoir des prospections directes par ce moyen ». Le consentement des prospects doit être libre, spécifique et éclairé.
L’alinéa 4 introduit une exception à ce principe en autorisant la prospection directe aux conditions cumulatives suivantes : 1. les coordonnées du destinataire ont été recueillies auprès de lui à l’occasion d’une prestation de services ; 2. la prospection directe concerne des services analogues fournis par la même personne physique ou morale ; et 3. le destinataire se voit offrir, de manière expresse et dénuée d’ambiguïté, la possibilité de s’opposer à l’utilisation de ses coordonnées.
La CNIL observe que tant les personnes qui réservent une chambre d’hôtel que celles qui créent un espace client étaient rendues destinataires des courriers de prospection sans recueil préalable de leur consentement libre et éclairé puisque la case relative au consentement était pré-cochée par défaut. A ce titre la CNIL s’appuie sur l’arrêt Planet49 du 1er octobre 2019 (affaire C-673/17) de la Cour de Justice de l’Union européenne qui a souligné qu’une case pré-cochée ne permettait pas un consentement valable.
La CNIL écarte l’exception de l’alinéa 4. D’une part, pour les personnes qui ont réservé une chambre d’hôtel, les courriers proposaient des services de sociétés « partenaires » (compagnies aériennes, sociétés gestionnaires de parcs de stationnement) qui ne sont pas analogues à ceux fournis par le groupe ACCOR. D’autre part, pour les personnes qui ont créé un espace client, il n’y avait pas encore eu de prestation de service d’ACCOR.
Concernant les manquements aux droits des personnes concernées
Concernant l’obligation d’informer les personnes concernées, l’article 12 du RGPD exige du responsable du traitement qu’il fournisse de façon transparente et aisément accessible les informations listées à l’article 13, dont la base légale du traitement.
La CNIL constate que l’information relative au traitement n’était pas facilement accessible dès lors que les personnes concernées devaient cliquer sur un lien hypertexte situé en bas des pages du site internet du groupe. Elle observe aussi que le responsable du traitement aurait dû mentionner comme base légale du traitement le « consentement » et non « l’intérêt légitime » ou « l’exécution d’un contrat », car l’article L. 34-5 du CPCE indique expressément que la prospection commerciale n’est permise qu’avec le consentement des prospects.
Concernant l’obligation de respecter le droit d’accès garanti par l’article 15 du RGPD, la CNIL a été saisie de la plainte d’une personne qui, à la suite de la suspension de son compte client en raison de la détection d’une connexion frauduleuse, avait formulé une demande d’accès en août 2019. Sa demande est restée sans réponse jusqu’au 24 février 2020 alors qu’elle avait fourni comme demandé par ACCOR une copie de sa pièce d’identité le 10 janvier 2020. La CNIL considère que la société était légitime à refuser une demande d’accès à la suite d’une connexion frauduleuse. Cependant, une fois que la personne a justifié de son identité, le droit d’accès doit être respecté dans un délai raisonnable, ce qui n’a pas été le cas. La CNIL note cependant qu’il semble s’agir d’un manquement isolé et non systématique.
Concernant l’obligation de respecter le droit d’opposition garanti par l’article 21 du RGPD, la CNIL a été saisie de plusieurs plaintes qui faisaient état de dysfonctionnements persistants du lien de désinscription présent dans les courriels de prospection. Selon la CNIL, ces anomalies qui ont duré plusieurs semaines sont susceptibles d’avoir empêché un nombre significatif de personnes de se désinscrire efficacement des messages de prospection, ce qui constitue un manquement à l’obligation d’assurer la gestion des demandes d’opposition.
Concernant le manquement à l’obligation d’assurer la sécurité des données personnelles
L’article 32 du RGPD impose au responsable du traitement de « mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ».
La CNIL étudie d’abord le niveau de sécurité de l’accès à « Adobe Campaign » qui est l’outil de gestion d’envoi des communications aux clients et prospects. Elle constate que l’accès se faisait via un mot de passe de huit caractères dont deux types de caractères (majuscule et caractère spécial) avec une restriction d’accès car l’accès au logiciel n’était possible que depuis un terminal connecté au réseau ACCOR. S’appuyant sur sa délibération n° 2017-012 du 19 janvier 2017, elle conclut que la robustesse des mots de passe admis par le groupe était trop faible et qu’il y avait un risque de compromission des données. ACCOR aurait dû adopter un mot de passe à huit caractères avec trois types de caractères (ajouter minuscule ou chiffre).
La CNIL s’attache ensuite aux modalités de transmission de la copie de la pièce d’identité des clients en cas de suspension du compte à la suite d’une suspicion de connexion frauduleuse. La copie devait être envoyée par les clients en pièce jointe d’un courriel justificatif. Pour l’autorité, ce fonctionnement comportait un risque élevé d’interception par un tiers et ces données auraient dû être chiffrées.
La sanction
Dans la mesure où ces multiples manquements ont tous été résolus au cours de la procédure, la CNIL a d’abord opté pour un simple rappel à l’ordre du groupe. Cependant, son projet a fait l’objet de nombreuses objections pertinentes et motivées des autres autorités concernées par la procédure qui appelaient à une amende administrative.
La CNIL a donc soumis un projet d’amende dont le montant – jugé non assez dissuasif – a toutefois été contesté par l’autorité polonaise. La CNIL n’a pas suivi l’objection et le Comité Européen de Protection des Données (« CEPD ») a dû se prononcer sur le litige conformément à l’article 65 § 1 a) du RGPD. Il a demandé à la CNIL d’augmenter le montant de l’amende pour le rendre d’avantage dissuasif, suivant l’article 83 § 1 du RGPD.
La CNIL a ainsi sanctionné à hauteur de 600 000 euros le groupe ACCOR, dont 500 000 euros au titre des manquements au RGPD et 100 000 euros au titre du manquement au CPCE.
Le fait qu’une sanction pécuniaire soit prononcée est justifié par le nombre important des manquements relevés, le fait que ces manquements concernent des principes fondamentaux de la règlementation applicable, le nombre important de personnes concernées par les manquements, et le fait que ces manquements aient eu un impact direct sur les personnes concernées (comme en témoignent les plaintes reçues par la CNIL). Pour déterminer le montant de la sanction, la CNIL a toutefois pris en compte (i) le fait que la société se soit mise en conformité avec l’ensemble des manquements relevés, (ii) le fait que certains de ces manquements ne soient pas structurels, ainsi que (iii) la baisse du chiffre d’affaires de la société dans les deux dernières années.