La Cnil a envoyé début août une amende de 600 000 euros à Accor. L’agence reproche au groupe hôtelier d’avoir prospecté des clients sans leur consentement en France et à l’étranger. Saisi, le Comité européen de la protection des données (CEPD) l’a encouragé à augmenter l’amende.
La Commission Nationale de l’Informatique et des Libertés (Cnil) et plusieurs autres autorités européennes de protection des données ont été saisies en 2022 de plaintes relatives aux difficultés rencontrées par des personnes pour exercer leurs droits auprès d’Accor, un groupe hôtelier français.
La Cnil a constaté que lorsqu’une personne procédait à une réservation directement auprès du personnel d’un hôtel ou sur le site d’une des marques hôtelières du groupe Accor, elle était automatiquement rendue destinataire d’une newsletter comportant des offres commerciales de partenaires, la case relative au consentement à recevoir la newsletter étant précochée par défaut. L’agence a également constaté que des anomalies techniques, qui se sont reproduites pendant plusieurs semaines, « ont empêché un nombre significatif de personnes de s’opposer efficacement à la réception des messages de prospection ».
Le Comité européen de la protection des données (CEPD) favorable à une amende exemplaire
Les traitements en question étant mis en œuvre dans de nombreux pays de l’Union européenne, la Cnil a soumis un projet de décision aux autorités de protection des données concernées. Une de ces autorités étant en désaccord avec ce projet, le Comité européen de la protection des données (CEPD) a été saisi pour se prononcer sur le différend. « À la suite de cette procédure, le CEPD a enjoint à la Cnil de réexaminer le montant de l’amende et de l’augmenter afin que la mesure prise soit davantage dissuasive » précise la Cnil. Cette dernière a donc opté pour une amende de 600 000 euros à l’encontre de la société Accor.
La Cnil déclare avoir « notamment pris en compte le nombre de manquements reprochés à la société, le fait que ces manquements portent sur plusieurs principes fondamentaux de la protection des données personnelles et qu’ils constituent une atteinte substantielle aux droits des personnes, ainsi que le nombre de personnes concernées et la situation financière de la société ». La Cnil a retenu à l’encontre de la société Accor un manquement à la législation française et quatre manquements au RGPD (art. 12, 13, 15, 21, 32), ces derniers seuls ayant été soumis à la coopération européenne. Entre-temps, Accor s’est mis en conformité avec l’ensemble des manquements relevés lors de la procédure.