La CNIL[1] a sanctionné le groupe ACCOR, le 25 février 2022, pour de nombreux manquements au RGPD[2] et à la législation française relative à la prospection commerciale (CPCE)[3].

Lors de la réservation d’une chambre d’hôtel, que ce soit directement auprès du personnel d’un hôtel du groupe ACCOR ou sur le site Web de l’une des 40 marques[4] du groupe, les clients étaient abonnés automatiquement à la newsletter du groupe, car une case pré-cochée était utilisée. Des millions[5] de personnes ont ainsi été destinaires d’e-mails promotionnels, qui contenaient des offres de produits et services du groupe, mais aussi des offres de « partenaires », comme « des compagnies aériennes ou des sociétés gestionnaires de parcs de stationnement ».

À ce sujet, la CNIL a rappelé au groupe ACCOR que l’envoi de prospection commerciale nécessitait le consentement préalable des personnes et qu’il était permis de déroger à cette obligation uniquement « à l’occasion d’une vente ou d’une prestation de services, si la prospection directe concerne des produits ou services analogues fournis par la même personne physique ou morale »[6]. Le groupe ne pouvait toutefois pas recourir à cette dérogation, car les messages « ne port[ai]ent pas exclusivement sur des produits ou services analogues fournis par [ACCOR] ». Le groupe ACCOR devait donc obtenir le consentement des personnes en utilisant un mécanisme valable, en utilisant par exemple une case non pré-cochée.

Par ailleurs, la Commission française reproche également au groupe ACCOR :

  • de ne pas avoir proposé une information « aisément accessible »[7] sur le formulaire de création de compte et sur le formulaire d’adhésion au programme de fidélité du groupe ACCOR. Seul un lien situé en bas de page était présent ;
  • d’avoir justifié l’envoi de prospection commerciale par un « intérêt légitime » ou par « l’exécution d’un contrat », alors que le consentement aurait dû être utilisé ;
  • d’avoir répondu tardivement à une demande d’accès aux données[8] ;
  • d’avoir continué à envoyer des e-mails de prospection à des personnes qui s’y étaient opposées, suite à des « dysfonctionnements »[9] ;
  • de n’avoir pas utilisé des mots de passe assez robustes pour accéder à son outil de gestion des envois des communications. Le groupe utilisait un mot de passe de huit caractères composé uniquement de deux types de caractères (sept lettres majuscules et un caractère spécial), ce qui est contraire aux recommandations[10] de la CNIL. La Commission considère, par ailleurs, que le fait que l’accès à l’outil n’était possible que depuis le réseau du groupe n’est pas une raison valable pour abaisser ces exigences de sécurité ;
  • d’avoir demandé aux clients de communiquer une copie de leur carte d’identité par e-mail, sans chiffrement, lorsque leur compte était suspendu suite à une connexion frauduleuse[11].

Une amende de 600 000 euros[12] a été prononcée à l’encontre du groupe ACCOR, soit 0,027 % du chiffre d’affaires[13] du groupe et 0,66 % de son résultat net.

Cette amende a été établie après l’intervention du Comité européen sur la protection des données (CEPD), suite à une procédure de litige initiée par la Commission polonaise, qui considérait, à juste titre, qu’un simple rappel à l’ordre n’était pas une sanction adaptée pour des infractions « substantielles » au RGPD.

Lire :

Notes et références

  1. CNIL : Commission Nationale de l’Informatique et des Libertés (cnil.fr).
  2. RGPD : Règlement Général sur la Protection des Données (Règlement (UE) 2016/679).
  3. La législation française en matière de prospection commerciale est principalement l’article 34-5 du Code des postes et des communications électroniques (CPCE).
  4. Le groupe ACCOR possède notamment les marques suivantes : Raffles, Orient Express, Faena, Banyan Tree, Delano, Sofitel, Fairmont, Emblems, SLS, SO, Rixos, OneFineStay, Mantis, MGallery, 21c, Art Series, Mondrian, Pullman, Swissotel, 25hours, Angsana, Mövenpick, Mercure, Peppers, The Sebel, Adagio, Montra, Novoteml, Mama Shelter, Tribe, BreakFree, Ibis, Greet, Jo&Joe, F1, Thalassa (source : accor.com).
  5. Le nombre exact de destinataires de la newsletter du groupe Accor a été retiré de la délibération. Le terme « millions » étant toutefois au pluriel, on peut légitimement penser que cela impact plus de deux millions d’adresses e-mail et donc plus de deux millions de personnes.
  6. La législation française indique qu’« Est interdite la prospection directe au moyen de système automatisé de communications électroniques utilisant les coordonnées d’une personne physique, abonné ou utilisateur, qui n’a pas exprimé préalablement son consentement à recevoir des prospections directes par ce moyen ». Il existe toutefois une exception « à l’occasion d’une vente ou d’une prestation de services, si la prospection directe concerne des produits ou services analogues fournis par la même personne physique ou morale, et si le destinataire se voit offrir, de manière expresse et dénuée d’ambiguïté, la possibilité de s’opposer, sans frais » (source : CPCE, article 34-5-§1). Voir « Doit-on demander le consentement des personnes avant de leur envoyer des e-mails promotionnels ? ».
  7. Le RGPD demande que les informations relatives à la protection des données soient communiquées « d’une façon concise, transparente, compréhensible et aisément accessible » (source : RGPD, article 12-1). Le groupe ACCOR devait donc s’assurer que les internautes peuvent aisément accéder à la politique de confidentialité. Voir « Comment fournir les informations relatives à un traitement de données à caractère personnel ? ».
  8. Le RGPD demande que « le responsable du traitement fournit à la personne concernée des informations sur les mesures prises à la suite d’une demande formulée en application des articles 15 à 22, dans les meilleurs délais et en tout état de cause dans un délai d’un mois à compter de la réception de la demande » (source : RGPD, article 12-3). Voir « Combien de temps a une entreprise pour répondre aux demandes d’exercice de droits RGPD ? ».
  9. Le RGPD indique que « lorsque les données à caractère personnel sont traitées à des fins de prospection, la personne concernée a le droit de s’opposer à tout moment » (source : RGPD article 21-2). Le groupe ACCOR devait donc s’assurer que les demandes d’oppositions des personnes étaient correctement traitées « dans un délai raisonnable ». Voir « Quelles informations doivent obligatoirement figurer dans les e-mails promotionnels ? ».
  10. La CNIL recommande que les mots de passe aient au minimum 12 caractères et soient composés de majuscules, minuscules, chiffres et de caractères spéciaux. Si une mesure complémentaire est prise, comme la suspension temporaire des comptes, le minimum est abaissé à 8 caractères (source : CNIL, délibération n° 2017-012, 19 janvier 2017, recommandation relative aux mots de passe). Voir « Vers de nouvelles recommandations relatives aux mots de passe pour les éditeurs ».
  11. Le RGPD demande « de mett[re] en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque » (source : RGPD, article 32-1). Le groupe ACCOR devait donc prendre une mesure pour s’assurer que les copies des cartes d’identité ne soient pas interceptées par un tiers, car le contenu des e-mails ne sont pas chiffrés. Voir « Les e-mails sont-ils un moyen de communication sécurisé ? » et « Peut-on envoyer des données à caractère personnel par e-mail ? ».
  12. L’amende de 600 000 euros contre le groupe ACCOR est composée d’une amende de 100 000 euros pour des manquements au CPCE et d’une amende de 500 000 euros pour des manquements au RGPD.
  13. La société ACCOR SA a déclaré un chiffre d’affaires de 2,2 milliards d’euros pour un bénéfice de 90 millions d’euros en 2021 (source : Accor, Comptes consolidés au 31 décembre 2021, page 2).