La CNIL a reproché à la société ACCOR les manquements suivants :
- Absence de consentement des personnes pour la prospection commerciale : une case pré-cochée par défaut pour les personnes réservant une chambre d’hôtel afin de recevoir la prospection commerciale par mail concernant des sociétés partenaires n’est pas un consentement libre conforme au RGPD. Pour rappel, pour pouvoir être exempté de l’obligation du recueil du consentement, la prospection commerciale par mail doit concerner des services et produits analogues fournis par la même société. Dès lors que la prospection commerciale par mail comprend des services et produits fournis par des sociétés partenaires tierces, il faut recueillir le consentement des personnes.
- Absence de consentement des personnes créant un espace client pour la prospection commerciale : la CNIL considère que le fait de créer un espace client sans réservation préalable ne permet pas de définir les personnes concernées comme des clients, le recueil du consentement pour recevoir de la prospection commerciale est donc nécessaire et obligatoire.
- Absence d’informations relatives aux données personnelles conformément aux articles 12 et 13 du RGPD : aucune mention d’information ne figurait lors de la création d’un compte client ou l’adhésion au programme de fidélité.
- Absence de réponse dans le délai d’un mois à une demande d’exercice des droits.
- Absence de prise en compte du droit d’opposition des personnes : la CNIL a constaté différents dysfonctionnements des liens de désabonnement et le mauvais traitements de plusieurs demandes d’opposition.
- Manquement à l’obligation d’assurer la sécurité des données personnelles : la CNIL a reproché à la société de ne pas mettre en œuvre une politique de mots de passe suffisamment robuste pour l’accès au logiciel interne de gestion des newsletter. Par ailleurs, dans le cadre de suspicion de connexion frauduleuse d’un compte client, la seule manière de débloquer son compte consistait à transmettre la carte d’identité de la personne par mail à la société. La CNIL a reproché à la société de demander ces informations par simple mail sans que les données ne soient chiffrées.
Depuis, la société s’est mise en conformité avec l’ensemble de ces manquements.
Que faut-il retenir de cette décision de la CNIL ?
- S’assurer du recueil du consentement des personnes à des fins de prospection commerciale conformément à l’article L. 34-5 du Code des postes et des communications électroniques et sans case pré-cochée !
- Informer les personnes conformément aux articles 12 et 13 du RGPD et s’assurer que l’information est fournie de manière claire et accessible.
- Ne jamais sous-estimer une demande d’exercice des droits et notamment une demande d’accès ou d’opposition ; L’absence de prise en compte ou de réponse de ces demandes peuvent déclencher un contrôle de la CNIL. Attention également à la gestion des liens de désabonnement, ces dysfonctionnements peuvent être à l’origine de mécontentements et de plaintes auprès de la CNIL.
- Accorder la plus grande importance à la sécurité des données personnelles (art. 32 du RGPD), notamment quant à la robustesse des mots de passe et dans le cadre des transmissions de copie de carte d’identité, s’assurer que ces données soient chiffrées.