La CNIL sanctionne le groupe Accor pour violation du RGPD.

Les manquements à la législation « Informatique & Libertés » peuvent donner lieu à des conséquences financières très élevées et le groupe Accor vient d’en faire l’amère expérience. La CNIL a en effet révélé avoir prononcé le 3 août dernier une lourde sanction à l’encontre de l’hôtelier français pour ne pas avoir respecté les droits des personnes concernées, en particulier en ce qui concerne le recueil du consentement et le droit d’opposition.

En l’occurrence, plusieurs clients se plaignaient qu’après avoir procédé à une réservation auprès d’un hôtel du groupe Accor, ils recevaient automatiquement une lettre d’information comportant des offres commerciales émanant de partenaires commerciaux, la case relative au consentement étant précochée par défaut.

De ce point de vue, il est entendu qu’aucune case relative au consentement ne doit jamais être précochée. L’expression du consentement doit résulter d’un acte positif. Il appartient donc à la personne concernée de manifester son accord en vue de tout traitement de données à caractère personnel, le cas échéant en cliquant sur sa souris ou son trackpad pour cocher une case sur un formulaire électronique.

Certes, l’article L. 34-5 du Code des postes et communications électroniques permet à tout responsable de traitement, en l’absence de consentement exprès, de prospecter commercialement les personnes dont il a déjà obtenu les coordonnées dans le cadre d’une transaction antérieure afin de leur proposer des produits et services analogues.

En d’autres termes, le groupe Accor aurait eu la possibilité d’envoyer cette newsletter à ses clients sans même leur demander de cocher une case. Ceci bien entendu à condition de leur permettre de s’opposer à la réception ultérieure de toute sollicitation commerciale, par exemple par le biais d’un lien de désabonnement dans chaque e-mail.

Mais il s’agit d’une exception au principe du consentement préalable (“opt-in”) et ces envois ne devaient pas émaner de partenaires du groupe Accor, l’article 34-5 du Code des postes et communications électroniques ne concernant que des offres du responsable de traitement lui-même.

En outre, des clients s’étaient plaints auprès de la CNIL de ne pas avoir pu valablement s’opposer à la réception desdits messages de prospection. Il est en effet apparu que des « anomalies techniques » empêchaient l’exercice du droit d’opposition.

Dans sa décision, la CNIL indique avoir été enjointe par le Comité européen de la protection des données (CEPD) à prononcer une sanction dissuasive, les manquements ayant concerné des consommateurs dans l’Europe toute entière. En outre, la sévérité de la sanction procède du caractère fondamental des règles qui n’ont pas été respectées, entraînant « une atteinte substantielle aux droits des personnes » (sic). Cela peut donc coûter très cher d’envoyer des e-mails.

Le commentateur relèvera au surplus que l’amende tient compte de la « situation financière de la société », ce qui permet de relativiser quelque peu l’ampleur de la sanction.

Le texte de la décision est consultable sur le site de Légifrance.