02
septembre
2022
Prospection commerciale et protection des données : la CNIL condamne ACCOR à une amende de 600 000 euros
Author:
TAoMA
Dans une délibération datée du 3 août 2022, la formation restreinte de la CNIL a prononcé la condamnation de la société ACCOR SA à une amende de 600.000 euros et à la publicité de la décision sur le site de la CNIL et de Légifrance pour non-conformité dans le cadre de la prospection.
Le combo interdit : case consentement pré-cochée par défaut, offres commerciales de partenaires, impossibilité d’exercer le droit d’opposition.
La société ACCOR est un groupe hôtelier qui réalise des traitements de données transfrontaliers.
On lui reproche son traitement des données de prospection, en effet, lorsqu’une personne procédait à une réservation auprès du personnel d’un hôtel ou via le site d’une des marques du groupe ACCOR, la case relative au consentement à recevoir la newsletter était pré-cochée par défaut et elle recevait automatiquement une newsletter comportant des offres commerciales de partenaires.
On lui reproche aussi des anomalies techniques, qui se sont reproduites pendant plusieurs semaines, qui ont empêché un nombre significatif de personnes de s’opposer efficacement à la réception des messages de prospection.
Comme souvent ce sont des plaintes de consommateurs mécontents qui sont à l’origine du contrôle de la CNIL.
La CNIL a reçu des plaintes, s’est posée chef de file et a collecté les plaintes reçues par les autorités de contrôle qui se sont manifestées dans le cadre de la procédure prévue à cet effet par le RGPD.
La CNIL a ensuite commencé le contrôle de la société ACCOR en février 2019 par des échanges de courriers, puis par un contrôle sur place, suivi d’un rapport détaillant les manquements à corriger.
Les manquements retenus sont relatifs aux règles de consentement, information, et exercice des droits dans le cadre de la prospection
La CNIL a retenu à l’encontre de la société ACCOR les manquements aux obligations suivantes :
l’obligation de recueillir le consentement de la personne concernée pour traiter ses données à des fins de prospection commerciale (article L. 34-5 du Code des postes et des communications électroniques).
l’obligation d’informer les personnes (art. 12 et 13 du RGPD) : la société ne fournissait pas aux personnes concernées, de manière accessible, les informations nécessaires lors de la création d’un compte client ou lors de l’adhésion au programme de fidélité du groupe ACCOR. La société ne mentionnait pas non plus le consentement comme base légale du traitement, pour la prospection tendant à promouvoir les produits ou services de tiers.
l’obligation de respecter le droit d’accès des personnes aux données les concernant (art. 12 et 15 du RGPD), puisque la société n’a pas donné suite aux demandes formulées par une plaignante dans les délais.
l’obligation de respecter le droit d’opposition des personnes concernées (art. 12 et 21 du RGPD), la société n’ayant pas pris en compte les demandes des plaignants visant à ce que plus aucun message de prospection commerciale ne leur soit adressé, en raison de dysfonctionnements.
l’obligation d’assurer la sécurité des données personnelles (art. 32 du RGPD), car la société permettait l’utilisation des mots de passe insuffisamment robustes. La CNIL reproche également à la société d’avoir invité une personne à transmettre sa pièce d’identité par courriel, sans que les données en cause ne soient chiffrées.
Comment éviter cela ?
=> Appliquer 2 règles en matière de prospection commerciale et attention à la portée de l’exception à la règle1.
1. Information préalable des personnes concernées
Mention d’information sur le traitement et sur les droits de la personne
Moyen simple de s’opposer (lien de désinscription – contact)
2. Consentement préalable des personnes concernées
Consentement libre, spécifique, éclairé et univoque
Interdiction des cases pré-cochées par défaut : il faut une action positive de la part de la personne concernée
case à cocher (décochée)
Exception si la situation remplit 2 conditions cumulatives :
La personne prospectée est déjà cliente* de la société
+
La prospection concerne des produits/services similaires fournis par la même entreprise
* Attention, cette exception s’applique uniquement si une vente ou prestation de service a été effectuée. Ainsi la création d’un compte ne s’entend pas comme une vente ou une prestation de service.
=> Mettre en œuvre une procédure d’exercice de droit bien comprise et applicable dans l’organisation
2 choses à savoir :
Les consommateurs sont sur-sollicités et agacés par la prospection et l’utilisation de leurs données
La plupart des contrôles de la CNIL sont suscités par des plaintes de personnes.
Partant de là, on ne dira jamais assez l’importance de permettre aux personnes d’exercer leurs droits d’une manière rapide et claire, ce qui leur permet d’être entendues et respectées et de désamorcer immédiatement un éventuel conflit.
Cela suppose d’avoir mis en place en interne une procédure de réponse aux demandes des personnes concernées qui soit claire, bien comprise et appliquée.
Donc… sensibilisez vos équipes!
La team TAoMA Data protection
Consultez-nous pour vous mettre en conformité ou pour organiser des ateliers de formation ou sensibilisation
Pour lire la décision de la CNIL c’est par ici.
20
mai
2021
GendNotes : halte aux transferts de données vers d’autres fichiers via le carnet virtuel de la gendarmerie !
Author:
teamtaomanews
Par décision du 13 avril 2021, le Conseil d’Etat annule partiellement le décret autorisant la mise en œuvre de l’application de collecte de données destinée à la gendarmerie dénommée GendNotes, en supprimant la possibilité de transferts des données recueillies dans le cadre de l’application vers d’autres fichiers.
Une application avec une zone de commentaires libres sujette à critiques
Afin de faciliter le travail des gendarmes sur le terrain et notamment le recueil et la conservation de données collectées lors de leurs interventions, le décret n°2020-151 du 20 février 2020 est venu implémenter chez la gendarmerie nationale une application dénommée GendNotes, permettant la prise de note dématérialisée.
Les données susceptibles d’être collectées via cette application concernent notamment l’identité des personnes et les données de procédure destinées à l’autorité judiciaire.
A priori, la collecte de ces données reste somme toute relativement classique : elle se borne aux nécessités de la procédure et ne paraît pas heurter de manière démesurée les droits et libertés de l’individu. Ce n’est donc pas sur ce point que la polémique autour de GendNotes a émergé, mais sur une partie du décret bien spécifique : la « zone de commentaires libres ».
Cette zone permet notamment aux gendarmes de renseigner des données relatives à la santé de la personne, à son origine raciale ou ethnique, à ses opinions politiques, philosophiques ou religieuses, à son appartenance syndicale ou encore à sa vie et son orientation sexuelle, soit des données particulièrement sensibles.
Un outil facilitant la transmission de comptes rendus aux autorités judiciaires et encadré par décret
Alors que ces cinquante dernières années ont été émaillées de controverses sur la question du fichage de la population – on se souvient par exemple des oppositions déclenchées par le projet SAFARI en 1974 ou encore par le fichier Edvige en 2008 – Gendnotes s’est également heurté à l’action de nombreuses associations voyant dans cette application un outil de « fichage politique ».
Le décret prévoyait pourtant un encadrement de la collecte des données, en précisant que « ne peuvent être enregistrées dans les zones de commentaires libres que les données et informations strictement nécessaires,adéquates et non excessives au regard des finalités poursuivies ».
A savoir :
La facilitation du recueil et de la conservation, en vue de leur exploitation dans d’autres traitements de données, notamment par le biais d’un système de pré-renseignement, des informations collectéespar les militaires de la gendarmerie nationale à l’occasion d’actions de prévention, d’investigations ou d’interventions nécessaires à l’exercice des missions de polices judiciaire et administrative.
La facilitation de la transmission de comptes rendus aux autorités judiciaires.
Le décret pose, par ailleurs, une protection supplémentaire en ne permettant la collecte des données personnelles visées par la loi de 1978 qu’en cas de « nécessité absolue » et « dans les limites des nécessités de la mission au titre de laquelle elles sont collectées ».
Enfin, la protection des données personnelles est renforcée par l’impossibilité de sélectionner une catégorie particulière de personnes à partir des informations tirées de la zone de commentaires libres. Impossible donc d’effectuer une recherche sur des critères de religion ou d’orientation sexuelle.
Des risques liés au transfert de données et à la durée de conservation pointés par plusieurs associations de défense des droits et libertés et la CNIL
Le cadre posé par le décret ne parvenait cependant pas à convaincre les représentants d’associations de défense des droits et libertés parmi lesquelles figurent, entre autres, la ligue des droits de l’homme, le syndicat de la magistrature, le conseil national de barreaux ou encore la quadrature du net, qui continuaient de pointer du doigt les dangers liés à GendNotes. Leurs principales critiques portaient sur le risque de transfert des données vers d’autres fichiers non énumérés par le décret et sur la question du délai maximal de conservation des données dans ces autres fichiers. En effet, si le décret prévoyait un temps de conservation sur GendNotes de 3 mois (porté jusqu’à un an maximum), rien n’était dit du délai de conservation sur les autres fichiers.
La question de l’alimentation par GendNotes d’autres fichiers avait déjà retenu l’attention de la CNIL (Commission Nationale de l’Informatique et des Libertés) dans son avis du 3 octobre 2019, alors qu’elle se prononçait sur le décret instituant GendNotes, encore à l’état de projet.
Elle avait considéré que les traitements pouvant être mis en relation ou faisant l’objet d’interconnexions avec GendNotes devraient être mentionnés explicitement par le décret.
Son avis, simplement consultatif, n’avait pas été suivi sur ce point par le gouvernement.
L’annulation par le Conseil d’Etat de la possibilité de transfert des données recueillies sur GendNotes vers d’autres fichiers
Dans une décision du 13 avril 2021, le Conseil d’Etat se prononce sur la légalité du décret à l’origine de GendNotes.
Il conclut à la conformité générale du texte à la loi informatique et libertés du 6 janvier 1978 (transposant au sein de son titre III la directive européenne 2016/680 du 27 avril 2016), mais annule toutefois la possibilité de diffusion des données collectées vers d’autres fichiers.
Le Conseil d’Etat juge que le décret n’indique pas avec suffisamment de précision les fichiers concernés par ces transferts, pas plus que le procédé selon lequel les données y seraient traitées, ainsi que l’objectif visé par ces fichiers dans le traitement des données.
La finalité du transfert n’étant pas « déterminée, explicite et légitime » selon les exigences de la loi informatique et libertés, le Conseil d’Etat supprime toute possibilité de transfert de données à partir de GendNotes.
Les autres dispositions du décret sont validées, notamment celles relatives à l’étendue des données collectées, à leur durée de conservation, aux personnes y ayant accès. De même le droit d’opposition limité des personnes dont les données sont entrées sur l’application, la collecte des données de personnes mineures ou encore la question de la sécurisation générale des données ne soulèvent pas de difficultés aux yeux du juge administratif.
Anne-Cécile Pasquet
Auditrice de justice
Anne Laporte
Avocate à la Cour
Abonnez-vous à la newsletter de TAoMA !