La Commission nationale de l'informatique et des libertés (CNIL) a partagé ce 17 août une condamnation du groupe hôtelier français Accor. Le régulateur a décidé d'infliger une amende de 600 000 euros à la société pour plusieurs infractions, suite à des plaintes qui ont été adressées à la CNIL et à d’autres autorités européennes de protection des données. L’entreprise a notamment procédé à de la prospection commerciale sans le consentement des personnes concernées et n’a pas respecté le droit de ses clients à plusieurs reprises.

Les clients étaient inscrits automatiquement à une newsletter

La CNIL a expliqué avoir effectué un contrôle suite à des plaintes de clients qui lui ont permis de constater plusieurs manquements. Accor a enfreint le règlement général sur la protection des données (RGPD) pour quatre motifs distincts, ainsi que la loi française pour un motif. Lorsqu’une personne effectuait une réservation sur le site d’un hôtel appartenant au groupe, ou même directement auprès d’un membre du personnel, elle était inscrite automatiquement à une newsletter incluant des offres commerciales.

Cette pratique en particulier est une infraction à la législation française sur l’obligation de recueillir le consentement de la personne concernée pour traiter ses données à des fins de prospection commerciale. La case relative au consentement pour recevoir la newsletter était cochée par défaut, illégal dans l'Hexagone.

Selon la CNIL, la protection des données n'était pas suffisante

La CNIL a également découvert plusieurs manquements au RGPD. Parmi ceux-ci, la CNIL a constaté des anomalies techniques qui ont empêché un nombre important de clients de s’opposer à la réception des messages de prospections reçus durant plusieurs semaines sur leurs boîtes e-mail. De plus, il y a un manquement à l’obligation de respecter le droit d’accès des personnes à leurs données personnelles, car Accor n’a pas répondu aux demandes répétées d’une plaignante dans les délais imposés par la loi.

L’entreprise est aussi condamnée pour des mots de passe « insuffisamment robustes » pour protéger sa base de données, contenant des informations sensibles sur ses clients. Enfin, une personne a été invitée par la société à envoyer sa pièce d’identité par courrier électronique, sans qu’aucune précaution ne soit prise pour chiffrer ces données confidentielles. Au moment où la condamnation a été rendue publique, Accor s'est mis en conformité avec l'ensemble des manquements relevés par la CNIL.