Il est reproché au groupe hôtelier d’avoir utilisé des données personnelles sans demande de consentement afin de réaliser de la prospection commerciale.
La CNIL a prononcé, dimanche 17 août, une sanction de 600 000 euros à l’encontre d’Accor. « La CNIL ainsi que plusieurs autres autorités européennes de protection des données ont été saisies de plaintes relatives aux difficultés rencontrées par des personnes pour exercer leurs droits auprès de la société Accor », rappelle la commission dans son communiqué.
Les contrôles de la CNIL ont révélé que lorsqu’un client réservait auprès du personnel d’un hôtel ou sur le site du groupe Accor, il recevait automatiquement une newsletter contenant des offres commerciales de partenaires et « la case relative au consentement à recevoir la newsletter étant précochée par défaut. » Selon la commission, certains utilisateurs ont rencontré des difficultés à s’opposer à ces messages de prospection en raison d’« anomalie techniques ».
Cinq manquements identifiés
La Cnil a identifié au total un manquement au droit français, et quatre au Règlement général sur la protection des données (RGPD). Dans le détail, il s’agit d’« un manquement à l’obligation de recueillir le consentement de la personne concernée pour traiter ses données à des fins de prospection commerciale (article L. 34-5 du Code des postes et des communications électroniques). »
A un manquement à l’obligation d’informer les personnes lors de la création d’un compte client et lors de l’adhésion à un programme de fidélité du groupe. « La société ne mentionnait pas non plus le consentement comme base légale du traitement, pour la prospection tendant à promouvoir les produits ou services de tiers. », note la Cnil.
C’est aussi un manquement à l’obligation de respecter le droit d’accès des personnes aux données les concernant. L’entreprise n’ayant pas répondu aux demandes d’une plaignante dans les délais. Il est également reproché à Accor de ne pas avoir respecté les exigences de plaignants refusant de recevoir des messages de prospection commerciale. Et enfin : un manquement à l’obligation d’assurer la sécurité des données personnelles. « La société permettait l’utilisation des mots de passe insuffisamment robustes. La CNIL reproche également à la société d’avoir invité une personne à transmettre sa pièce d’identité par courriel, sans que les données en cause ne soient chiffrées. »
Ces manquements ont été identifiés dans plusieurs pays de l’Union européenne. C’est pourquoi « la CNIL a soumis un projet de décision (de sanction ndlr) aux autorités de protection des données concernées. »