Une procédure de sanction a été réalisée au sujet du groupe hôtelier Accor suite à des manquements au RGPD, notamment des manquements au droit d’opposition à la réception d’e-mails de prospection. La décision et la sanction élaborées par la CNIL ont cependant été remis en cause par les autres autorités européenne, notamment sur le montant de l’amende à infliger au groupe.

J’explique dans cet épisode le fonctionnement du processus de litige qui permet aux autorités européennes de remettre en cause la décision de l’un des leurs et détaille les informations connues et les événements à venir au sujet de la future sanction du groupe Accor.

Écouter l'épisode :

Autres méthodes proposées :

Vous pouvez retrouver tous les épisodes et vous abonner au Podcast sur : Apple Podcast, Spotify ou en intégrant le flux RSS à votre application préférée.

Musique réalisée par Mix Nguyên.

La retranscription de ce qui est dit dans l’épisode est proposée plus bas pour ceux qui ne souhaitent pas ou ne peuvent pas écouter la version audio.

Retranscription de l’épisode

Bonjour et Bienvenue dans le Podcast d’eWatchers.org.

L’idée de ce podcast est d’approfondir certains sujets en lien principalement avec le fonctionnement du Web, la cybersécurité et la protection des données.
Dans cet épisode, j’aimerais vous parler de la future sanction concernant le groupe Accor, le groupe hôtelier français, qui possède notamment les hôtels Novotel, Sofitel, Mercure ou Ibis.

On ne connaît pas encore les détails de cette sanction, mais ce que l’on sait, c’est que le Comité Européen de la Protection des Données (EDPB) a publié sur son site un communiqué pour indiquer qu’une procédure de litige avait eu lieu au sujet de cette décision, notamment sur le montant de l’amende à infliger à la société. Ce que cela veut dire, c’est que les autorités de contrôle des autres pays de l’Union européenne sont en désaccords avec la position de la CNIL qui a réalisé la procédure et aimeraient imposer à la CNIL de modifier le montant de l’amende à l’encontre du groupe Accor.

Pour vous permettre de comprendre tout cela, je vais vous expliquer dans un premier temps comment fonctionnent les procédures de sanction et les procédures de litige, puis dans un 2e temps, on va parler de cette décision à venir contre le groupe Accor qui s’avère être passionnante.

Je m’appelle Morgan Schmiedt et vous écoutez un épisode d’eWatchers.org.

Procédures de sanction et de litige

Pour commencer, avant de parler de la procédure de sanction contre le groupe Accor, laissez-moi vous expliquer certaines choses concernant le fonctionnement des procédures de sanction et des procédures de litige pour vous permettre de mieux comprendre.

Dans chaque pays, il y a une autorité, théoriquement indépendante, qui doit être chargée de faire respecter le RGPD, le Règlement Général sur la Protection des Données. Il y a certaines exceptions, comme l’Espagne avec la Catalogne ou en Allemagne avec les différents Lands, mais globalement chaque pays a une autorité de contrôle. En France, il s’agit bien sûr de la CNIL. Cette autorité, dans le jargon, on l’appelle de différentes manières. On retrouve souvent le terme d’autorité de contrôle, c’est le terme que j’utilise principalement, mais on peut trouver aussi le sigle APD, qui veut dire Agence de Protection des Données.

Lorsqu’il y a une procédure à réaliser à propos, par exemple, d’un traitement de données litigieux effectué par une entreprise, étant donné que dans la majorité des cas il y a une autorité par pays, c’est l’autorité de contrôle du pays dans lequel se retrouve l’entreprise qui doit réaliser la procédure. Ça se complique parfois un peu lorsque le traitement litigieux concerne plusieurs personnes de plusieurs pays différents. Dans ce cas, on prend ce qu’on appelle l’établissement principal de l’entreprise pour déterminer l’autorité qui doit réaliser la procédure. Par exemple, si l’établissement principal de l’entreprise est en France, ce sera la CNIL qui va réaliser la procédure et on va voir que c’est par exemple le cas pour le groupe Accor. Ce point d’établissement principal est d’ailleurs souvent sujet à controverse, car certaines entreprises préfèrent que la procédure se passe dans un pays plutôt qu’un autre, car on sait très bien que certains pays sont connus pour, soit ne pas être très rapides, soit pour être plutôt laxistes ; et lorsque je dis ça, je pense bien sûr à l’Irlande, qui est un très bon exemple.

Pour continuer cet exemple d’un traitement litigieux qui concerne les données de personnes de plusieurs pays différents, on a vu que c’était l’autorité du pays dans lequel est situé l’établissement principal de l’entreprise qui s’en occupe – on appelle d’ailleurs cette autorité, l’autorité chef de file – et c’est cette autorité, chef de file, qui va avoir pour tâche de faire les différentes procédures, de mener l’enquête et, à la fin, réaliser ce qu’on appelle un projet de décision. Ce projet de décision, étant donné qu’il a été réalisé uniquement par l’autorité chef de file, seul, il va ensuite être envoyé aux autres autorités qu’on appelle concernées, c’est à dire les autorités des pays dans lesquels se trouvent les autres personnes concernées par le traitement. Ces autorités des autres pays auront la possibilité de soumettre un avis, de donner leur avis sur la procédure qui a été réalisée et sur le projet de décision qui a été soumis par l’autorité Chef de file.

Ce qui peut se passer, c’est qu’une de ces autres autorités peut être en désaccord avec ce qui a été fait par l’autorité chef de file. Dans ce cas, l’autorité en désaccord peut émettre un avis motivé pour expliquer pourquoi elle est en désaccord, soit avec un manquement qui n’a pas été pris en compte, soit avec un manquement qui a été pris en compte et qui ne devrait pas l’être, soit parce que le montant de l’amende n’est pas correct, etc. Ce que cela veut dire, c’est qu’il peut y avoir plusieurs avis différents sur ce qui s’est passé, l’avis de l’autorité chef de file qui émet son projet de sanction, mais aussi l’avis de toutes les autres autorités concernées, qui peuvent émettre un avis potentiellement différent.

Ce qui se passe dans ce cas, c’est qu’ensuite, soit les autorités arrivent à se mettre d’accord et la procédure est modifiée et clôturée, soit les autorités n’arrivent pas à se mettre d’accord parce qu’elles ont des opinions différentes et une procédure de litige est entamée.

Lorsqu’il y a un litige, c’est le comité européen de la protection des données qui est chargé de se réunir et de trouver une solution à ce désaccord. Ce qui se passe, c’est que toutes les autorités de tous les pays de l’Union européenne, pas seulement les autorités des pays concernés, mais vraiment toutes les autorités de tous les pays de l’Union européenne se réunissent et votent.
Ils peuvent décider, soit de conserver la position initiale, celle qui a été prise par l’autorité chef de file et qui a été proposée dans le projet de décision, soit d’adopter la position d’une des autorités concernées, qui a émis une objection. Ensuite, les autorités votent. Si la majorité des 2/3 est atteinte et décide que l’avis de l’autorité qui a fait l’objection est préférable à l’avis de l’autorité chef de file, l’autorité chef de file est obligée de modifier sa décision – on parle dans le jargon de décision contraignante –, on contraint l’autorité chef de file à revenir sur sa position et à adopter, assumer, une opinion différente que la sienne, parce que les autres autorités auront décidé ainsi.

Si je vous raconte tout ça, ce n’est pas par plaisir, même si je trouve ça relativement intéressant, mais c’est parce que c’est exactement ce qui est en train de se passer concernant la procédure contre le groupe Accor. On ne connaît pas encore les détails de cette sanction à l’heure où j’enregistre ce podcast. Ce que l’on sait par contre, c’est que ce fameux comité européen de la protection des données a publié un communiqué sur son site Internet. Laissez-moi vous lire certaines parties que j’ai traduites et on en parle ensuite. Vous devriez normalement le comprendre avec tous les éléments que je viens de vous donner.

Ce communiqué a donc été posté le 16 juin 2022 et il dit – j’ai enlevé certaines parties pour que ce soit plus bref :

« Le CEPD a adopté une décision de résolution du litige […]. La décision contraignante vise à remédier à l’absence de consensus sur certains aspects du projet de décision émis par l’autorité française [, la CNIL, ] en tant qu’autorité chef de file concernant Accor SA, une société spécialisée dans le secteur de l’hôtellerie dont le principal établissement est situé en France […].

L’autorité chef de file a émis le projet de décision à la suite d’une plainte concernant Accor SA portant sur un défaut de prise en compte du droit d’opposition à la réception de messages marketing par courrier et/ou des difficultés rencontrées dans l’exercice du droit d’accès. Le 30 avril 2021, l’autorité chef de file a partagé son projet de décision avec les autorités concernées […]. [Une des autorités concernées] a émis des objections […] concernant, entre autres, le montant de l’amende.

Les autorités n’ont pas été en mesure de parvenir à un consensus sur l’une des objections, qui a ensuite été transmise par [...le CEPD...] initiant ainsi la procédure de résolution du litige.

Le CEPD a maintenant adopté sa décision contraignante. […] La décision va maintenant être traduite […]. Ensuite, les autorités concernées seront formellement notifiées puis l’autorité de controle chef de file adoptera sa décision finale, adressée au responsable du traitement, sur la base de la décision du CEPD, sans retard excessif et au plus tard un mois […]. Le CEPD publiera sa décision sur son site web sans retard injustifié après que l’autorité chef de file a notifié sa décision nationale au responsable du traitement. »

J’espère que vous avez été en mesure de comprendre ce communiqué avec les éléments que je vous ai donnés.

Ce communiqué nous apprend plusieurs choses.

Premièrement, qu’une procédure est en cours contre le groupe Accor, car les demandes de droit des personnes n’ont pas abouti. Visiblement, on comprend que certaines personnes ont demandé à ne plus recevoir des emails de prospection, mais que leur demande n’a pas abouti.

Deuxièmement, on apprend que cette procédure est réalisée par là CNIL, car le groupe Accor est un groupe français et son établissement principal est en France. D’ailleurs, le groupe Accor est coté à la Bourse de Paris. On apprend aussi que cette procédure concerne également des personnes européennes non françaises, parce qu’il y a d’autres autorités concernées par la procédure.

Troisièmement, on apprend que le projet de décision préparée par là CNIL a été remis en cause par au moins une autre autorité. Cette autre autorité demande que le montant de l’amende soit modifié ; on ne sait pas encore si c’est à la hausse ou à la baisse.

Enfin, quatrièmement, on apprend que la décision a été prise, le vote a été fait, et qu’elle sera ensuite rendue publique, très vite, ça fait déjà plus d’un mois, donc j’imagine que c’est imminent.

Ce qui est particulièrement intéressant dans cette décision concernant Accor, c’est déjà qu’elle sera rendue publique. En France, vous le savez probablement, la CNIL rend très peu public ses décisions pour des raisons que j’ignore et je le déplore. Ici pour le groupe Accor, étant donné que le CEPD est intervenu suite à cette procédure de litige, les détails des échanges entre les différentes autorités seront rendus public. Ca nous permettra, à moi, au public et à d’autres personnes d’étudier les positions des uns et des autres et d’en tirer certaines conclusions. Ce sera extrêmement intéressant.

L’autre point intéressant concernant cette procédure contre le groupe Accor, c’est que le litige entre la CNIL et les autres autorités soit intervenu sur le montant de l’amende. Ceux qui lisent régulièrement mes articles ou qui ont écouté, par exemple, le précédent épisode[1], qui concerne la sanction de la CNIL d’un million d’euros à l’encontre du groupe Total[2], savent que je considère que les amendes qui sont émises par là CNIL sont disproportionnées et ridicules.

Dans le cas de la procédure du groupe Accor, on ne sait pas encore si la sanction proposée par là CNIL a été jugée trop faible où trop importante par les autres autorités, mais vous connaissez mon avis. On en reparle dans quelques jours ou semaine après la publication de la décision, mais je crois qu’on ne va pas être étonné.

Avant de clôturer cet épisode, j’aimerais quand même dire deux mots sur cette procédure de litige. Je crois qu’elle peut paraître dure à l’encontre de l’autorité qui a réalisé la procédure, c’est-à-dire l’autorité chef de file, car les autorités de protection des données des autres pays remettent quelque part en cause son autorité, ce qu’il faut avouer, ne doit pas être pas très agréable et peut porter d’une certaine façon un coup à sa crédibilité, parce que son avis est remis en question. Je pense qu’il ne faut pas le voir comme ça. Je pense que c’est quelque chose qui est tout à fait normal que, lorsqu’il se passe quelque chose, si on demande l’avis à différentes personnes, ici aux autorités, il peut y avoir des avis qui divergent ; et je pense que c’est même le plus courant. Il peut y avoir une interprétation différente des textes.
Officiellement, ces autorités sont censées être indépendantes, mais dans la réalité, elles sont influencées, qu’elles le veuillent ou non. Inconsciemment, elles sont influencées par les personnes qui la composent, par ce qu’elles pensent personnellement, par le gouvernement en place dans les pays, par l’opinion générale de la population du pays et probablement par plein d’autres facteurs extérieurs, comme éventuellement le lobbying. Cette procédure de litige a été mise en place, je pense, plutôt pour essayer de faire en sorte que les décisions qui sont prises par les différentes autorités soient relativement similaires pour des cas similaires. C’est une procédure qui permet théoriquement d’éviter d’avoir un pays avec une autorité très laxiste, comme on peut le voir avec l’Irlande, et inversement d’avoir un pays avec une autorité très sévère, même si je n’ai malheureusement pas d’exemples à vous donner – je crois que ça n’existe pas, d’ailleurs. Cette procédure de litige, elle intervient très rarement, parce que dans la majorité des cas, lorsqu’une procédure concerne plusieurs pays, plusieurs autorités, ces autorités arrivent à se mettre d’accord entre elles. C’est extrêmement rare qu’une procédure de litige soit ouverte. Je crois que jusqu’à présent, elle a été utilisée uniquement deux fois contre des décisions de l’autorité irlandaise, une première fois au sujet de WhatsApp[3] et une deuxième fois au sujet de Twitter[4].

Pour conclure, vous l’aurez compris, on reparlera bientôt du groupe Accor et probablement pas en bien.

C’était Morgan Schmiedt, pour eWatchers.org.

Notes et références

  1. Le 3ème épisode du Podcast était concernée, en partie, à la sanction d’un million d’euros imposée au groupe Total. Voir « Total démarche illégalement des Français et reçoit une amende ridicule de la CNIL ».
  2. La société TOTAL ENERGIES a été sanctionnnée par la CNIL, car les internautes n’avaient pas la possibilité de s’opposer à la réception d’e-mails promotionnels lors de la souscription (source : CNIL, SAN-2022-011, 23 juin 2022, TOTALENERGIES). Voir « Le pétrolier TOTAL ENERGIES sanctionné pour avoir effectué des campagnes de prospection sans le consentement des personnes ».
  3. L’application de messagerie WhatsApp été sanctionnée par l’autorité irlandaise, car les personnes n’étaient pas correctement informées (source : DPC, 20 août 2021, WhatsApp Ireland Limited). Cette sanction a été fait l’objet d’un litige (source : CEPD, décision du 28 juillet 2021). Voir « WHATSAPP sanctionnée pour avoir manqué de transparence sur la façon dont les données personnelles étaient traitées ».
  4. Twitter a été sanctionné par l’autorité de contrôle irlandaise, car un incident avait été déclaré avec 2 jours de retard (source : DPC, 15 décembre 2020, Twitter). Voir « TWITTER sanctionné pour avoir déclaré tardivement la divulgation de données personnelles ». Cette sanction a été fait l’objet d’un litige (source : CEPD, décision du 9 novembre 2020). Voir « TWITTER sanctionné pour avoir déclaré tardivement la divulgation de données personnelles ».