Il est interdit d’inscrire automatiquement une personne à une newsletter comportant des offres commerciales. La Cnil le rappelle le 17 août 2022 en prononçant une sanction de 600 000 euros à l’encontre du groupe hôtelier Accor. La Cnil s’est saisie à la suite de plusieurs plaintes déposées par des personnes auprès d’elle et d’autres entités européennes de protection des données. Un manquement à la législation française et quatre manquements au RGPD ont été constatés à l’occasion du contrôle effectué.
Recueillir le consentement
Le gendarme français de la protection des données note que lors d’une réservation auprès du personnel d’un hôtel ou sur le site d’une des marques hôtelières, la personne était automatiquement reçue d’une newsletter comprenant des offres commerciales partenaires. Ou, la case relative au consentement ne doit pas être cochée par défaut. Un rappel salutaire auquel d’autres entreprises devaient faire attention. Le consentement doit être recueilli afin de traiter les données d’une personne à des fins commerciales.
La Cnil ajoute que le groupe hôtelier ne mentionne pas “le consentement comme base légale du traitement, pour la prospection tendant à promouvoir les produits ou services de tiers.” Il lui est donc reproché un manquement à son obligation d’information que ce soit au moment de la création d’un compte client ou lors de l’adhésion au programme de fidélité.
sanction majorée par une autre autorité européenne
Surtout, bon nombre de personnes ayant déposé des recours font partie de leurs difficultés à exercer leurs droits auprès d’Accor. A ce niveau, la Cnil assure avoir constaté pendant plusieurs semaines des anomalies techniques empêchées “un nombre significatif de personnes de s’opposer efficacement à la réception des messages de prospection.” Sur ce sujet, il a été constaté des manquements aux obligations de respecter le droit d’accès des personnes aux données les concernant dans des délais précis ainsi que de respecter le droit d’opposition des personnes.
Enfin, elle ajoute que la sécurité des données personnelles n’était pas suffisamment assurée (utilisation de mots de passe insuffisamment robustes permise et transmission d’une carte d’identité par e-mail sans chiffrement des données). Comme ce sujet a concerné plusieurs pays européens, la Cnil a soumis sa décision à ses homologues. Elle que suite à un différend avec une autre entité européenne, elle a été contrainte d’augmenter le montant de l’amende pour que celle-ci soit dissuasive. Elle ajoute que le groupe Accor s’est depuis mis en conformité avec la réglementation.
