Résumé des faits
Diverses plaintes ont été réalisées auprès de différentes autorités européennes par des clients de la société concernant le non-respect de leurs droits et notamment d’accès et d’opposition en matière de prospection commerciale. Après plusieurs contrôles sur pièces, en présentiel, et sur le site internet principal de la société, la CNIL – en tant qu’autorité chef de file – a sanctionné le groupe Accor par une amende publique de 600 000 euros pour plusieurs manquements dont le non-respect des règles concernant le recueil du consentement, le respect des droits des personnes concernées, ainsi que le non-respect du principe de sécurité des données.
Motifs de la sanction / Manquements
- Non-respect de l’art. L.34-5 al 4 du Code des Postes et des Communications Electroniques
Aucun recueil du consentement pour l’envoi de communications commerciales aux clients alors qu’elles portent notamment sur des produits et services de sociétés tierces (l’exonération de recueil du consentement ne fonctionnant que pour des produits et services analogues de la même personne morale) ;
- Non-respect des articles 12 et 13 du RGPD
Aucune mention d’information fournie lors de la création d’un compte client, et aucun lien vers la charte de protection des données personnelles de proposé à cette étape ;
- Non-respect de l’article 6 du RGPD
Traitement de données à des fins de prospections commerciales fondé sur l’intérêt légitime, alors qu’en l’occurrence, le consentement était nécessaire (et par conséquent, était la base légale du traitement) ;
- Non-respect des articles 15 et 21 du RGPD
Délais de traitement dépassés ;
- Non-respect de l’article 32 du RGPD
Mot de passe de connexion à l’outil de gestion des envois de prospections commerciales aux clients pas assez robustes ;
Envoi de pièce d’identité par courriel sans chiffrement ni transmission du mot de passe via un autre canal.
Que retenir de la décision ?
- Un RT peut être exonéré de recueil du consentement pour la transmission de communications commerciales par e-mail concernant des produits ou services analogues à ceux déjà fournis au destinataire. Toutefois, si cette communication contient des éléments concernant un tiers, cette exception n’est plus valable, et un consentement préalable est à nouveau nécessaire.
- Une information des personnes concernées doit être fournie au moment de la collecte des données soit par une mention complète, soit par un lien vers une politique de confidentialité. Attention, ce lien ne doit être aisément accessible, et ne doit pas nécessiter que l’utilisateur le recherche, mais doit lui être mis à disposition facilement et directement lors de la collecte de ses données.
- Dans le cadre d’une demande d’exercice de droits, une fois que le doute sur l’identité de la personne est éliminé, la demande doit être respectée.
- Pour l’accès à un outil contenant un grand volume de données personnelles, un mot de passe robuste doit obligatoirement être configuré :
- 12 caractères minimum et 4 critères différenciants (Majuscule, minuscule,
chiffre et caractère spécial), ou - 8 caractères minimum et 3 caractères différenciants ainsi qu’une mesure de sécurité supplémentaire comme un blocage de l’accès au bout d’un certain nombre de tentative erronées
- L’envoi d’une pièce d’identité par e-mail doit faire l’objet d’un chiffrement du document avant transmission, et de l’envoi du mot de passe de déchiffrement via un autre canal.
- 12 caractères minimum et 4 critères différenciants (Majuscule, minuscule,
Le + DLD
- Lorsque le recueil du consentement de la personne est nécessaire pour une finalité donnée (ici, l’envoi de communications commerciales), la base légale est obligatoirement le consentement.
- Le montant de l’amende proposé par la CNIL prenait en compte le contexte économique de la société suite aux périodes de crises sanitaires. Toutefois, le CEPD a demandé une réévaluation à la hausse de l’amende afin qu’elle ait un caractère dissuasif
