You are currently viewing ACCOR condamné à une amende de 600.000 euros par la CNIL

Violation du RGPD et du CPCE: ACCOR condamné à une amende de 600.000 euros

Dans sa décision du 3 aout 2022, la Commission restreinte de la CNIL a sanctionné la société ACCOR pour de multiples manquements relatifs au traitement des données à caractère personnel.

Ainsi, il était reproché à la société ACCOR de ne pas avoir pris en compte le droit à l’opposition à la réception par courriel de message de prospection commerciale, il était également reproché à la société ACCOR des « difficultés rencontrées dans le cadre de l’exercice du droit d’accès notamment à des données bancaires collectées par la société à l’occasion de la réservation d’une chambre d’hôtel ».

Comment la procédure a commencé ?

A la suite de plaintes provenant des personnes concernées, la procédure a été engagée par la CNIL à l’encontre d’ACCOR. La CNIL a constaté plusieurs manquements aux exigences du RGPD notamment l’absence du recueil de consentement de la personne concernée pour traiter ses données à des fins de prospection commerciale.

Quels manquements ont été constatés ?

Concernant le défaut de consentement des personnes à la réception de messages de prospection commerciale, la CNIL a constaté lors de ses investigations que la case de consentement à la newsletter était pré-cochée par défaut de sorte que le consentement à une telle communication n’était pas valablement recueilli de sorte que la société ACCOR avait violé les dispositions de l’article L. 34-5 du Code des postes et des communications électroniques (ci-après « CPCE »).

Concernant le défaut de consentement des personnes créant un espace client à la réception des messages de prospection commerciale, la CNIL a constaté que, à l’instar du grief précédent, le formulaire de création de compte comportait une case pré-coché marquant le consentement de la personne à la réception de la prospection commerciale. La CNIL a également considéré que cette pratique était contraire aux dispositions de l’article L. 34-5 du CPCE et que l’exception prévue par l’article L. 34-5 du CPCE était inapplicable puisque la création d’un compte en ligne pouvait intervenir en l’absence de toute réservation.

La formation restreinte souligne cependant que, si les manquements sont constitués, la société ACCOR s’était mise en conformité à la clôture de l’instruction.

La CNIL a encore considéré que la société ACCOR avait violé les articles 12 et 13 du RGPD aux motifs que les mentions d’information relatives au traitement des données n’étaient pas aisément accessibles et que responsables de traitement n’avait pas indiqué la base légale du traitement mis en œuvre.

Ensuite, la commission restreinte a également jugé que le fait pour la société ACCOR de ne pas communiquer à un client qui en faisait la demande la copie des données à caractère personnel qu’elle détenait sur elle dans le délai imparti par le RGPD constituait une violation de l’article 15 dudit règlement. La CNIL relève cependant que ce manquement n’a pas eu de caractère structurel.

De plus, la CNIL a jugé que la société ACCOR avait violé les dispositions de l’article 21 du RGPD relatif au droit d’opposition en raison de « dysfonctionnements » de l’outil de gestion des newsletters qui ne communiquait pas, ou mal, avec la base clients de sorte que des personnes ayant fait usage de leur droit d’opposition continuait à recevoir des courriers malgré leur opposition.

Enfin, la CNIL a jugé que la société ACCOR n’avait pas respecté les dispositions de l’article 32 du RGPD relatif à l’obligation d’assurer la sécurité des données à caractère personnel au motif que « compte tenu notamment du volume de données à caractère personnel traité par l’outil  » Adobe Campaign « , les exigences mises en place par la société en matière de robustesse des mots de passe sont insuffisantes et ne permettent pas d’assurer la sécurité des données à caractère personnel ». Plus exactement, la CNIL a considéré que le mot de passe utilisé pour accéder audit logiciel n’était pas assez robuste puisqu’il ne faisait que huit caractères et qu’il ne contenait que deux types de caractères.

Pour l’ensemble de ces motifs la société ACCOR est condamnée à une amende de 100.000 euros au titre du manquement à l’article L.34-5 du CPCE et 500.000 euros en raison des violations du RGPD.

 

Source:  https://www.cnil.fr/fr/prospection-commerciale-et-droits-des-personnes-sanction-de-600-000-euros-lencontre-daccor