L’hôtelier Accor condamné pour prospection commerciale non conforme au RGPD

Le groupe hôtelier Accor est sanctionné par la Cnil notamment pour avoir procédé à de la prospection commerciale sans le consentement des personnes concernées et pour ne pas avoir respecté les droits des clients et des prospects. L’amende s’élève à 600 000 €. Ce montant est volontairement élevé pour être dissuasif. Le groupe Accor s’est depuis mis en conformité avec l’ensemble des manquements relevés lors de la procédure qui a concerné plusieurs pays européens.

Une procédure contre Accor dans plusieurs pays d’Europe

La Cnil explique qu’elle a été saisie ainsi que plusieurs autres autorités européennes de protection des données de plaintes de personnes rencontrant des difficultés pour exercer leurs droits auprès d’Accor. Il est notamment reproché à Accor de pré-cocher par défaut la case relative au consentement à recevoir une newsletter comportant des offres commerciales de partenaires d’Accor.

Cette case est pré-cochée lorsqu’une personne effectue une réservation que ce soit directement auprès du personnel d’un hôtel ou sur le site d’une des marques d’Accor. Le client était automatiquement rendu destinataire de la newsletter. La Cnil ajoute que des anomalies techniques, qui se sont reproduites durant plusieurs semaines, ont en outre empêché un nombre significatif de personnes de s’opposer efficacement à la réception des messages de prospection.

Etant donné que ces traitements étaient mis en œuvre dans de nombreux pays de l’Union européenne, la Cnil a soumis un projet de décision aux autorités de protection des données concernées. Une de ces autorités étant en désaccord avec ce projet, le Comité européen de la protection des données (CEPD) a été saisi pour se prononcer sur le différend. Le CEPD a alors enjoint à la Cnil d’augmenter le montant de l’amende afin qu’elle soit davantage dissuasive.

Une atteinte substantielle aux droits des personnes

La Cnil affirme que les manquements d’Accor portent sur des principes fondamentaux de la protection des données personnelles et qu’ils constituent une atteinte substantielle aux droits des personnes. Dans le détail, la Cnil reproche à Accor un manquement à l’obligation de recueillir le consentement d’une personne pour traiter ses données à des fins de prospection commerciale (article L. 34-5 du Code des postes et des communications électroniques).

Accor a également manqué à l’obligation d’informer les personnes (art. 12 et 13 du RGPD). Le groupe hôtelier ne fournissait pas aux personnes, de manière accessible, les informations nécessaires sur le traitement des données (finalité du traitement, responsable du traitement, durée de conservation des données, le droit à demander la rectification, l’existence d’un profilage et sa logique sous jacente, etc.) lors de la création d’un compte client ou lors de l’adhésion au programme de fidélité. La société ne mentionnait pas non plus le consentement comme base légale du traitement, pour la prospection tendant à promouvoir les produits ou services de tiers.

Entre décembre 2018 et septembre 2019, la Cnil a ainsi été directement saisie de 5 plaintes portant sur l’absence de prise en compte du droit d’opposition à la réception par emails de prospection commerciale (emails publicitaires, emails de bienvenue au programme de fidélité, newsletters). La CNIL a en outre reçu une plainte  relative aux difficultés rencontrées dans le cadre de l’exercice du droit d’accès notamment à des données bancaires collectées par Accor à l’occasion de la réservation d’une chambre d’hôtel.

Absence de l’information sur le traitement des données

S’agissant de l’accès à l’information, la Cnil a constaté lors d’un contrôle en ligne du 24 février 2020 que les formulaires permettant la création d’un compte client ou l’adhésion au programme de fidélité du groupe Accor ne comportaient pas les informations exigées par l’article 13 du RGPD. Les personnes n’étaient pas non plus invitées à effectuer une quelconque démarche pour prendre connaissance de l’information fournie au titre de l’article 13 du RGPD, par exemple en accédant par le biais d’un lien hypertexte à la « charte de protection des données personnelles » de la société.

Accor a aussi manqué à l’obligation de respecter le droit d’accès des personnes aux données les concernant (art. 12 et 15 du RGPD), puisque la société n’a pas donné suite aux demandes formulées par une plaignante dans les délais. A noter que lors de la correction des manquements, la Cnil a constaté que les mentions d’informations relatives au traitement des données personnelles avaient été complétées sur les formulaires de création de compte et d’adhésion au programme de fidélité d’Accor et que la « charte de protection des données personnelles des clients » était désormais directement accessible à partir d’un lien inséré sur ces formulaires.

Accor a manqué à l’obligation de respecter le droit d’opposition des personnes (art. 12 et 21 du RGPD), la société n’ayant pas pris en compte les demandes des plaignants visant à ce que plus aucun message de prospection commerciale ne leur soit adressé, en raison de dysfonctionnements. Enfin, Accor a manqué à l’obligation d’assurer la sécurité des données personnelles (art. 32 du RGPD), car la société permettait l’utilisation des mots de passe insuffisamment robustes. La Cnil reproche également à la société d’avoir invité une personne à transmettre sa pièce d’identité par courriel, sans que les données ne soient chiffrées.

Accor seul gestionnaire des sites web des hôtels

Lors de l’instruction du dossier, Accor a déclaré à la Cnil que c’est lui qui collecte dans tous les cas les données auprès des personnes concernées car, d’une part, il édite et gère tous les sites de réservation de toutes les marques du groupe et, d’autre part, même lorsqu’ils sont utilisés par les personnels des hôtels du groupe à la demande de clients, les outils de réservation et d’adhésion au programme de fidélité sont gérés par Accor seul et viennent alimenter sa propre base de données.