ACCOR, qui exploite de nombreuses franchises mondialement connues dans le secteur hôtelier, a fait l’objet d’une amende totale de 600.000 euros pour des faits liés notamment à l’envoi de messages électroniques de prospection commerciale sans consentement préalable et à l’absence de prise en compte des droits des personnes concernées.
Dans ce contexte, la délibération de la CNIL portant sanction d’ACCOR contient plusieurs détails pouvant orienter les pratiques des responsables de traitement dans leurs pratiques de marketing, notamment dans les domaines évoqués ci-dessous.
Pour assurer la formation de vos directions marketing, opérationnelle et DPO afin qu’elles mettent à jour en continu les process, inscrivez-vous à notre formation expert « Marketing digital et partage de données » le 19 octobre 2022.
Exemption du consentement pour les clients existants :
En vertu de l’article L.34-5 du Code des postes et des communications électroniques (CPCE), la prospection commerciale directe par messagerie électronique est par principe interdite sans le consentement préalable de la personne concernée.
Par exception, le même article L.34-5 prévoit qu’un organisme puisse se passer d’obtenir le consentement préalable si, d’une part, les coordonnées de la personne concernée ont été collectées auprès de cette dernière à l'occasion d'une vente ou d'une prestation de services et, d’autre part, la prospection concerne des produits ou services « analogues » fournis par la même personne physique ou morale.
En l’espèce, les messages adressés par la société ACCOR étaient susceptibles de contenir des offres promotionnelles de partenaires, telles que des compagnies aériennes ou des sociétés gestionnaires de parcs de stationnement.
Par conséquent, pour l’envoi de messages de prospection relatifs aux produits ou services de tiers, la société ACCOR ne pouvait pas se dispenser de recueillir le consentement des personnes concernées à recevoir des messages de prospection commerciale en ayant recours à « l’intérêt légitime » comme base légale du traitement.
Création d’un espace client :
En outre, la société ACCOR ne recueillait pas le consentement des personnes, lors de la création d’un espace client, pour le traitement de leurs données à caractère personnel à des fins de prospection commerciale par courriers électroniques. La société utilisait les données collectées depuis un formulaire de création d’un espace client, indépendamment d’une réservation, puisqu’une case portant sur le consentement à recevoir de la prospection commerciale était « pré-cochée » par défaut sur ledit formulaire.
La CNIL a considéré que le responsable de traitement était tenu de recueillir le consentement préalable des personnes créant un espace client sur son site web. En effet, dans la mesure où la création d’un espace client pouvait intervenir en l’absence d’une vente ou d’une prestation de services, la première condition de l’exemption à l’obtention préalable du consentement prévue à l’article L.34-5 n’était pas remplie et ladite exemption ne pouvait pas jouer.
Cases pré-cochées :
Sans surprise, la CNIL a rappelé que, dans les hypothèses où le responsable de traitement doit recueillir le consentement des personnes concernées, une case pré-cochée ne peut suffire à considérer le consentement comme valablement donné par l’utilisateur.
Sur le positionnement du lien vers la politique de confidentialité :
En vertu de l’article 13 du RGPD, les responsables de traitement doivent mettre à disposition des personnes dont ils collectent les données à caractère personnel une liste d’informations. Encore faut-il, en vertu de l’article 12 du RGPD, que les informations soient délivrées à la personne « d'une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples ».
La CNIL partage à cet égard la position du Comité européen de la protection des données qui rappelle que « la personne concernée ne devrait pas avoir à rechercher les informations mais devrait pouvoir tout de suite y accéder ».
La CNIL a relevé lors d’un contrôle que les formulaires permettant la création d’un compte client ou l’adhésion au programme de fidélité de l’organisme ne comportaient ni les informations attendues au titre du RGPD ni un lien hypertexte vers la « charte de protection des données personnelles » de la société.
La société ACCOR mettait à disposition des personnes concernées les informations exigées par le RGPD via un lien hypertexte disponible tout en bas des pages de son site internet. Toutefois, la CNIL a retenu que les mentions d’informations relatives au traitement des données personnelles devaient être accessiblesdirectement sur les formulaires de création de compte et d’adhésion au programme de fidélité, à partir d’un lien inséré sur ces formulaires par exemple.
Dès lors, ne remplit pas ses obligations au titre des articles 12 et 13 du RGPD le gestionnaire de site qui se contente d’insérer un lien hypertexte en bas des pages puisque cela nécessite que l’internaute fasse défiler la page dans son intégralité et recherche l’information.
Sur le droit d’accès des personnes concernées :
Par ailleurs, la délibération de la CNIL contient des précisions en ce qui concerne les droits d’accès et d’opposition des personnes concernées.
En l’espèce, la société ACCOR avait reçu une demande de droit d’accès provenant d’un compte client qui avait fait l’objet d’une suspension à la suite d’une détection de connexion frauduleuse. La CNIL a constaté que le compte client avait été réouvert après justification de l’identité du client mais que, pour autant, aucune réponse n’avait été fournie par la suite à sa demande de droit d’accès.
Lorsque le compte du client à l’origine d’une demande de droit d’accès a fait l’objet d’une détection de connexion frauduleuse, la CNIL a jugé que la société pouvait avoir un doute raisonnable sur l’identité du demandeur souhaitant exercer son droit d’accès. Néanmoins, la demande doit être honorée par la société dès lors que le doute sur l’identité de la personne est levé, sous peine de méconnaître l’article 15 du RGPD. La CNIL a considéré que le doute avait été levé en l’espèce par la transmission, sur sollicitation de la société, d’une copie de la pièce d’identité du demandeur.
Sur le fonctionnement des liens de désinscription
Par ailleurs, le lien de désinscription figurant en bas des courriels de prospection adressés par ACCOR présentait des problèmes techniques affectant les étapes du processus de désabonnement. A cause de ces dysfonctionnements, par exemple, l’outil de gestion des newsletters n’était pas informé par le référentiel clients des créations ou mises à jour de contacts et des désabonnements aux newsletters associés réalisés tous les dimanches entre 0 h et 20 h. Ainsi, malgré les demandes de désabonnement formulées, certains auteurs de réclamations continuaient de recevoir des messages de prospection commerciale de la part d’ACCOR.
La CNIL a jugé que l’existence de dysfonctionnements du lien de désinscription figurant en bas des courriels de prospection adressés par la société faisait échec à la prise en compte dans un délai raisonnable des demandes d’opposition à recevoir des messages de prospection commerciale de la part des personnes concernées, entraînant une méconnaissance du droit d’opposition.
Sur la robustesse des mots de passe
Enfin, la présente décision a mis en lumière certaines pratiques violant l’obligation d’assurer la sécurité des données à caractère personnel de l’article 32 du RGPD.
D’une part, l’accès à l’outil de gestion des communications aux clients était possible avec un mot de passe composé de huit caractères contenant seulement deux types de caractères (sept lettres majuscules et un caractère spécial). La CNIL a souligné que la longueur et la complexité d’un mot de passe demeuraient des critères élémentaires pour apprécier la force de celui-ci.
Ainsi, ne respecte pas les exigences de robustesse des mots de passe la possibilité de composer un mot de passe avec huit caractères contenant seulement deux types de caractères (sept lettres majuscules et un caractère spécial).
Sur ce point, la CNIL recommande que le mot de passe comporte au minimum douze caractères - contenant au moins une lettre majuscule, une lettre minuscule, un chiffre et un caractère spécial - ou alors au moins huit caractères - contenant trois de ces quatre catégories de caractères - s’il est accompagné d’une mesure complémentaire.
Sur la transmission de pièces-jointes par courriel
D’autre part, le service client de la société ACCOR invitait la personne concernée à transmettre la copie de sa pièce d’identité en pièce jointe d’un courriel lorsque son compte client était suspendu en raison d’une suspicion de connexion frauduleuse. La CNIL a relevé que les conditions dans lesquelles la copie de la pièce d’identité était sollicitée ne permettaient pas de se prémunir contre son interception par un tiers.
Par conséquent, la CNIL a retenu qu’un risque important pour la confidentialité des données transmises était généré par la transmission de données non chiffrées par courriel électronique et a souligné qu’il en allait de même de la transmission en un seul canal de données chiffrées et du mot de passe de déchiffrement.
Sur la coopération entre les autorités européennes
Dans le cadre de cette affaire, six plaintes ont été adressées à la Commission nationale de l’informatique et des libertés. Cinq plaintes similaires ont été reçues respectivement par les autorités de contrôle de la Sarre, de l’Espagne, de l’Irlande, de la Pologne et de la Basse Saxe avant d’être transmises à la CNIL en sa qualité d’autorité chef de file.
La décision illustre la coopération mise en place entre les autorités européennes lorsque la procédure porte sur un traitement transfrontalier. Tel peut être le cas lorsque des traitements de données sont mis en œuvre par une entreprise disposant de plusieurs établissements dans plusieurs États européens ou lorsque les traitements de données sont le fait d’une entreprise établie dans un seul État, mais affectent sensiblement des personnes d’au moins un autre État membre.
Pour élucider questions et problèmes, les avocats de notre pôle data sont à votre écoute.