La CNIL a diligenté des contrôles à la suite de plusieurs plaintes de personnes concernées. L’instruction a démontré divers manquements relatifs aux modalités de recueil du consentement, à l’obligation d’information de la société et aux mesures de sécurité mise en œuvre.
La CNIL a été saisie de 11 plaintes à l’encontre de la société ACCOR, dont 5 adressées par ses homologues européens dans le cadre du mécanisme de coopération entre autorités de contrôle[1].
Ces plaintes portaient d’une part sur des demandes d’opposition au traitement de données personnelles à des fins de prospection commerciale par courriel, et d’autre part sur l’exercice du droit d’accès aux données collectées par ACCOR.
À l’issue de ses opérations de contrôle, la CNIL a prononcé à l’encontre de la société ACCOR une amende de 600 000 euros, rendue publique, au titre de manquements aux règles applicables en matière de prospection commerciale ainsi qu’à l’obligation d’information des personnes concernées. La CNIL a également relevé des manquements à la mise en œuvre des droits des personnes concernées (droit d’accès et d’opposition) ainsi qu’à l’obligation d’assurer la sécurité des données.
Le consentement des personnes à recevoir de la prospection commerciale ne peut être recueilli au moyen d’une case pré-cochée
En premier lieu, la CNIL a constaté que, lorsqu’une personne réservait une chambre dans l’un des hôtels de la société ACCOR – sur place, par téléphone ou par le biais de son site Internet –, ou qu’elle créait un espace client en ligne indépendamment de toute réservation, elle était automatiquement rendue destinataire de la newsletter de la société ACCOR.
Sur Internet, la case relative au consentement à recevoir cette newsletter était pré-cochée par défaut.
Or, l’article L. 34-5 du Code des postes et des communications électroniques (« CPCE ») impose aux opérateurs de recueillir le consentement préalable, libre, spécifique et informé des personnes concernées à recevoir de la prospection directe par courrier électronique. De jurisprudence constante, le recours à une case pré-cochée ne permet pas de recueillir un consentement valide, le consentement devant résulter d’un acte positif clair (opt-in)[2].
Dès lors, la CNIL a considéré que les modalités de recueil du consentement des personnes mises en place par ACCOR caractérisaient un manquement à l’article L. 34-5 du CPCE.
La CNIL a également relevé un manquement aux obligations d’information de la société prévues par les articles 12 et 13 du RGPD.
En effet, dans sa charte de protection des données, ACCOR indiquait que les traitements mis en œuvre aux fins de prospection commerciale étaient justifiés par son intérêt légitime ou par l’exécution du contrat avec ses clients.
Or, la CNIL considère que « lorsque le recueil du consentement de la personne concernée s’impose pour le traitement de ses données à caractère personnel pour une finalité déterminée (…), la base légale du traitement ainsi mise en œuvre est le consentement ». C’est le cas pour la prospection commerciale.
La CNIL a donc également jugé que la société avait manqué à ses obligations d’information tirées des articles 12 et 13 du RGPD.
L’exception au consentement ne s’applique pas lorsque la prospection porte sur les produits et services de partenaires
Le consentement de la personne concernée n’est pas requis lorsque ses données ont été collectées à l’occasion d’une vente ou d’une prestation de service et si la prospection concerne des produits et services analogues fournis par la même personne[3].
Dans cette hypothèse, la personne concernée doit simplement avoir la possibilité de s’opposer au traitement de ses données à des fins de prospection commerciale (opt-out).
La société ACCOR soutenait qu’elle pouvait bénéficier de cette exception dans la mesure où elle collectait les données auprès des personnes concernées, et gérait l’ensemble des sites de réservation et programmes d’adhésion du groupe.
Or, la CNIL a relevé que les messages de prospection commerciale étaient susceptibles de contenir « des offres promotionnelles de partenaires, telles que des compagnies aériennes, ou des sociétés gestionnaires de parcs de stationnement ».
Dans ces conditions, les messages de prospection commerciale ne portaient pas sur des services fournis par la société ACCOR elle-même, mais sur des offres de ses partenaires commerciaux. Par conséquent, la société ACCOR ne pouvait être exemptée du recueil du consentement des personnes concernées.
Des dysfonctionnements informatiques n’excusent pas le non-respect du droit d’opposition des personnes concernées
L’article 21 du RGPD permet à toute personne dont les données sont traitées à des fins de prospection commerciale de s’opposer à tout moment à ce traitement.
Or, l’instruction de plusieurs plaintes a révélé l’existence de dysfonctionnements affectant le lien de désinscription figurant au bas des courriels de prospection de la société ACCOR, certaines demandes de désinscription n’étant pas prises en compte.
Au-delà des clients s’étant effectivement plaints du non-respect de leur droit d’opposition, la CNIL a considéré que ces anomalies techniques, ayant perduré pendant plusieurs semaines, étaient « susceptibles d’avoir empêché un nombre significatif de personnes de s’opposer efficacement à la réception des messages de prospection ». Elle en a déduit l’existence d’un manquement à l’article 21 du RGPD.
Le manque de robustesse d’un mot de passe caractérise un manquement à l’obligation d’assurer la sécurité des données
L’article 32 du RGPD impose aux responsables de traitement de mettre en œuvre des mesures techniques et organisationnelles appropriées afin de garantir la sécurité des données personnelles qu’il traite.
En l’espèce, la CNIL a constaté que les préposés de la société utilisaient un mot de passe composé seulement de huit caractères, dont sept lettres majuscules et un caractère spécial, pour accéder à l’outil de gestion des communications clients.
La CNIL a estimé que les règles de composition du mot de passe mis en place par la société ACCOR étaient trop faibles, et que le fait que le logiciel en question ne soit accessible que depuis un terminal connecté au réseau ACCOR ne suffisait pas à compenser ce manque de robustesse.
Enfin, la CNIL a constaté que lorsqu’un compte client était suspendu en raison d’une suspicion de connexion frauduleuse, la personne concernée était invitée à transmettre la copie de sa pièce d’identité en pièce jointe d’un simple courriel pour s’authentifier.
La CNIL a relevé que la transmission de données non chiffrées par courriel entraine un risque important pour la confidentialité des données transmises, susceptibles d’être interceptées par un tiers non autorisé. Elle recommande ainsi, comme précaution élémentaire de sécurité, « le chiffrement des données avant leur enregistrement sur un support physique ou leur transmission par messagerie électronique ».
La CNIL a donc relevé un manquement à l’article 32 du RGPD, outre un manquement à l’obligation de faire droit à la demande d’accès d’une personne ayant justifié de son identité de la manière précitée.
Que retenir de cette sanction ?
- Le consentement collecté au moyen d’une case pré-cochée n’est pas valablement recueilli ;
- L’exception au consentement pour l’envoi de communications commerciales ne s’applique que dans l’hypothèse où celles-ci portent sur des produits ou services analogues proposés par la même personne à qui la personne concernée a communiqué ses données lors d’un précédent achat ;
- Lorsque le consentement de la personne concernée est requis pour la collecte de ses données à des fins de prospection commerciale, ce traitement ne peut avoir pour base légale l’intérêt légitime du responsable de traitement.
Lire la délibération de la formation restreinte de la CNIL n°SAN-2022-017 du 3 août 2022
[1] ACCOR étant établi en France, la CNIL était l’autorité chef de file.
[2] CJUE, affaire C-673/17, 1er octobre 2019
[3] Article L. 34-5, alinéa 3 du Code des postes et des communications électroniques