Prospection commerciale et protection des données : la CNIL condamne ACCOR à une amende de 600 000 euros

Author: TAoMA
2 septembre 2022
0

Dans une délibération datée du 3 août 2022, la formation restreinte de la CNIL a prononcé la condamnation de la société ACCOR SA à une amende de 600.000 euros et à la publicité de la décision sur le site de la CNIL et de Légifrance pour non-conformité dans le cadre de la prospection.

Le combo interdit : case consentement pré-cochée par défaut, offres commerciales de partenaires, impossibilité d’exercer le droit d’opposition.

La société ACCOR est un groupe hôtelier qui réalise des traitements de données transfrontaliers.

On lui reproche son traitement des données de prospection, en effet, lorsqu’une personne procédait à une réservation auprès du personnel d’un hôtel ou via le site d’une des marques du groupe ACCOR, la case relative au consentement à recevoir la newsletter était pré-cochée par défaut et elle recevait automatiquement une newsletter comportant des offres commerciales de partenaires.

On lui reproche aussi des anomalies techniques, qui se sont reproduites pendant plusieurs semaines, qui ont empêché un nombre significatif de personnes de s’opposer efficacement à la réception des messages de prospection.

Comme souvent ce sont des plaintes de consommateurs mécontents qui sont à l’origine du contrôle de la CNIL.

La CNIL a reçu des plaintes, s’est posée chef de file et a collecté les plaintes reçues par les autorités de contrôle qui se sont manifestées dans le cadre de la procédure prévue à cet effet par le RGPD.

La CNIL a ensuite commencé le contrôle de la société ACCOR en février 2019 par des échanges de courriers, puis par un contrôle sur place, suivi d’un rapport détaillant les manquements à corriger.

Les manquements retenus sont relatifs aux règles de consentement, information, et exercice des droits dans le cadre de la prospection

La CNIL a retenu à l’encontre de la société ACCOR les manquements aux obligations suivantes :

  • l’obligation de recueillir le consentement de la personne concernée pour traiter ses données à des fins de prospection commerciale (article L. 34-5 du Code des postes et des communications électroniques).
  • l’obligation d’informer les personnes (art. 12 et 13 du RGPD) : la société ne fournissait pas aux personnes concernées, de manière accessible, les informations nécessaires lors de la création d’un compte client ou lors de l’adhésion au programme de fidélité du groupe ACCOR. La société ne mentionnait pas non plus le consentement comme base légale du traitement, pour la prospection tendant à promouvoir les produits ou services de tiers.
  • l’obligation de respecter le droit d’accès des personnes aux données les concernant (art. 12 et 15 du RGPD), puisque la société n’a pas donné suite aux demandes formulées par une plaignante dans les délais.
  • l’obligation de respecter le droit d’opposition des personnes concernées (art. 12 et 21 du RGPD), la société n’ayant pas pris en compte les demandes des plaignants visant à ce que plus aucun message de prospection commerciale ne leur soit adressé, en raison de dysfonctionnements.
  • l’obligation d’assurer la sécurité des données personnelles (art. 32 du RGPD), car la société permettait l’utilisation des mots de passe insuffisamment robustes. La CNIL reproche également à la société d’avoir invité une personne à transmettre sa pièce d’identité par courriel, sans que les données en cause ne soient chiffrées.

Comment éviter cela ?

=> Appliquer 2 règles en matière de prospection commerciale et attention à la portée de l’exception à la règle1.

   1. Information préalable des personnes concernées
   Mention d’information sur le traitement et sur les droits de la personne
   Moyen simple de s’opposer (lien de désinscription – contact)

   2. Consentement préalable des personnes concernées
   Consentement libre, spécifique, éclairé et univoque
   Interdiction des cases pré-cochées par défaut : il faut une action positive de la part de la personne concernée
case à cocher (décochée)

Exception si la situation remplit 2 conditions cumulatives :

  • La personne prospectée est déjà cliente* de la société
                                 +
  • La prospection concerne des produits/services similaires fournis par la même entreprise

   * Attention, cette exception s’applique uniquement si une vente ou prestation de service a été effectuée. Ainsi la création d’un compte ne s’entend pas comme une vente ou une prestation de service.

=> Mettre en œuvre une procédure d’exercice de droit bien comprise et applicable dans l’organisation

2 choses à savoir :

  • Les consommateurs sont sur-sollicités et agacés par la prospection et l’utilisation de leurs données
  • La plupart des contrôles de la CNIL sont suscités par des plaintes de personnes.

Partant de là, on ne dira jamais assez l’importance de permettre aux personnes d’exercer leurs droits d’une manière rapide et claire, ce qui leur permet d’être entendues et respectées et de désamorcer immédiatement un éventuel conflit.

Cela suppose d’avoir mis en place en interne une procédure de réponse aux demandes des personnes concernées qui soit claire, bien comprise et appliquée.

Donc… sensibilisez vos équipes!

La team TAoMA Data protection

Consultez-nous pour vous mettre en conformité ou pour organiser des ateliers de formation ou sensibilisation
Pour lire la décision de la CNIL c’est par ici.