Après le groupe hôtelier Marriott en 2020, sanctionné à hauteur de 18,4 millions de livres sterling (20 millions d'euros), c'est au tour du groupe Accor d'être condamné par la CNIL le 17 août dernier, cette fois principalement pour cause de prospection commerciale illégale.

En premier lieu, à l'instar du groupe Marriott, la CNIL reproche au groupe Accor de grossières lacunes dans la sécurité informatique de ses sites internet. La cybersécurité étant un thème de prédilection, la CNIL a également émis ce mois-ci une nouvelle sanction d'un montant de 250 000 euros à l'encontre d'INFOGREFFE, le site des greffes de tribunaux de commerce de France.

En ce qui concerne la condamnation du groupe Accor, la Cnil a surtout voulu mettre en lumière les manquements sur le traitement des données personnelles dans la prospection commerciale.

Elle avait initialement retenu une amende d'un montant de 100 000 euros. Mais à des fins dissuasif, ce montant a été revu à la hausse et atteint finalement les 600 000 euros d'amende.

Une coutume de la CNIL : sanctionner à titre d'exemple pour confirmer la mise en application d'une nouvelle doctrine.

La prospection commerciale pouvant être particulièrement désagréable pour les personnes concernées, la CNIL en fait un sujet prioritaire de contrôle en 2022. Ainsi, le groupe Accor a fait les frais de la mise à jour le 3 février 2022 du référentiel de la CNIL sur la gestion commerciale. La Commission profite du dépôt de plusieurs plaintes sur l'exercice des droits et le défaut de recueil du consentement pour de la prospection commerciale pour condamner le groupe hôtelier.

En effet, la CNIL a jugé que le consentement à la collecte de données à caractère personnel n'était ni exprès ni préalable comme l'exige l'article L34-5 du code des postes et des communications électroniques et ce, en raison d'une case pré-cochée pour l'abonnement à leur newsletter. Les personnes concernées y étaient donc automatiquement inscrites.

Or, afin d'être respectueux de la réglementation, l'envoi d'une newsletter ou d'un mail de prospection peut uniquement se faire après que l'internaute ait expressément consenti à ces envois, par exemple en devant ressaisir son adresse mail pour s'inscrire ou en cochant une case décochée.

Le groupe Accor aurait dû également être vigilant sur la tenue à jour de sa politique de confidentialité et soigner les renvois via hyperliens pour permettre un accès à jour, complet et simple aux mentions d'informations sur le site internet.

Pour les formulaires de création de compte et l'adhésion au programme fidélité, la Commission a jugé que la politique de confidentialité qui figurait en bas de page du site internet ne comportait pas la base légale correcte.

En effet, le RGPD prévoit 6 bases légales pour justifier la licéité d'un traitement de données à caractère personnel et ce n'est pas la modalité de la collecte qui définit la base légale adéquate mais la finalité du traitement. Il est ainsi insuffisant de renvoyer de manière générale dans la politique de confidentialité à une base légale sous prétexte que la collecte de données est réalisée via le même formulaire ou un formulaire similaire sur le même site internet. Il faut veiller à vérifier l'objet du formulaire et les circonstances de la collecte pour s'assurer d'avoir appliqué la base légale pertinente à son traitement.

Enfin, il est reproché au groupe hôtelier de ne pas avoir instauré une politique de droits d'accès et d'opposition efficace au traitement des personnes concernées.

En conclusion, la politique de confidentialité des sites internet, même vitrine, des landing pages et des formulaires ne peuvent plus être pris à la légère et des mentions standards « passe-partout » glanées sur les moteurs de recherche ou d'autres sites ne protègent pas d'une sanction de la CNIL.

Pour s'assurer d'une réelle conformité des sites internet au RGPD, la rédaction et le contrôle des mentions obligatoires sur les sites par un professionnel de la protection des données est primordiale.