600 000 euros. Voilà la sanction infligée par la CNIL à l’encontre du groupe hôtelier. À l’index ? Plusieurs violations du RGPD : gestion du consentement à recevoir des newsletters, information donnée aux personnes concernées et envoi des pièces d'identité et gestion des mots de passe. Dans une première version, la CNIL envisageait toutefois un montant bien moindre, 100 000 euros, sur fond de crise sanitaire.
À l’origine de cette procédure visant Accor SA, cinq plaintes adressées à la CNIL entre fin 2018 et fin 2019 et à ses homologues étrangers entre 2019 et 2020. La commission a endossé la casquette d’autorité-chef de file s'agissant de traitements transfrontaliers mis en œuvre par une entreprise dont l’établissement principal est en France. Des contrôles ont ainsi été menés, sur place et sur le site officiel de la société, all.accor.com.
Parmi les indélicatesses relevées, la CNIL a d’abord épinglé l’obligation de recueillir le consentement des personnes physiques avant la mise en œuvre de prospection directe. Le groupe avait trouvé un moyen basique pour arroser ses clients de courriers électroniques vantant telles ou telles prestations :
« Lorsqu’une personne réservait une chambre d’hôtel directement auprès du personnel d’un hôtel (…), elle était rendue destinataire des courriels de la société contenant la newsletter "All – Accor Live Limitless", la case relative au consentement à recevoir la newsletter étant pré-cochée par défaut ».
Comme le groupe englobe les marques Ibis, Novotel, Mercure, Fairmont, Sofitel, Adagio, etc., on devine sans mal le vivier, d’autant que ces mails vantaient non seulement les mérites de ces établissements, mais également de « compagnies aériennes ou de sociétés gestionnaires de parcs de stationnement », relève la rapporteure de la Commission.
Cases pré-cochées sans manifestation de volonté libre, spécifique et informée
Une pratique pour le moins osée, d’autant que les règles en la matière, inscrites à l’article L. 34-5 du CPCE, exigent un consentement, fruit d’une « manifestation de volonté libre, spécifique et informée ». Très classiquement, impossible de répondre à ces exigences avec l’aide d’une case précochée validant l’acceptation à recevoir des newsletters. Dans un tel scénario, c’est en effet le responsable de traitement qui a décidé à la place de la personne physique. Dans sa délibération, la CNIL rappelle, pour qui l’aurait ignoré, l’important arrêt dit « Planet49 » de la Cour de justice de l’UE.
En octobre 2019, le juge européen avait torpillé un traitement autorisé « au moyen d’une case cochée par défaut que cet utilisateur doit décocher pour refuser de donner son consentement ».
Sous pression de la CNIL, Accor a finalement daigné se mettre en conformité à la date de la clôture de l’instruction. Le groupe a également revu son espace client où les agents de la CNIL avaient déniché une autre case précochée pour recevoir des prospections commerciales.
Une cathédrale de charte
La délégation de la CNIL a trouvé d’autres contrariétés avec le RGPD, et cette fois au titre de l’obligation d’information. L’information sur les traitements de données à caractère personnel mis en œuvre doit être « aisément accessible ». Or, « les formulaires permettant la création d’un compte client ou l’adhésion au programme de fidélité du groupe ACCOR ne comportaient pas les informations exigées ».
Le groupe Accor se contentait de fait du strict minimum : un simple lien vers la charte des données personnelles, placé tout en bas de la page web, quand le RGPD exige que « les informations sur le traitement des données à caractère personnel relatives à la personne concernée [soient] fournies au moment où ces données sont collectées auprès d'elle ». Là encore, la société a revu ses formulaires pour se mettre à la page des normes en vigueur.
Soulevant le couvercle de cette charte, la délégation de contrôle a encore tiqué, constatant que l’envoi de prospections commerciales était justifié soit par l’intérêt légitime, soit par le contrat, deux des bases légales prévues par le RGPD. Or, la société aurait dû mentionner une autre base légale, celle du consentement, pour la prospection relative aux produits ou services de tiers.
Faiblesses dans les droits consacrés par le RGPD
Le droit d’accès des personnes concernées (et donc des personnes physiques) a également montré plusieurs signes de faiblesses. Une plaignante avait réclamé ses données à caractère personnel le 1er août 2019.
Cette demande faisait suite à une décision de suspension « à la suite d’une détection de connexion frauduleuse ». Son compte client avait certes été rouvert, après justification d’identité le 10 janvier 2020, seulement ce n’est que le 24 février, soit après le début du contrôle de la CNIL du 11 février 2020, qu’Accor a daigné répondre à sa demande de droit d’accès. Trop tardif, selon la CNIL qui rappelle que le RGPD expose qu’une réponse doit être apportée « dans les meilleurs délais et en tout état de cause dans un délai d'un mois à compter de la réception de la demande ».
« Dès lors que le doute est levé sur l’identité de la personne, la demande de droit d’accès doit être honorée par le responsable du traitement » répond la délégation de la CNIL.
Le droit d’opposition n’a pas été davantage respecté. « Entre le 11 novembre 2018 et le 21 janvier 2019, des dysfonctionnements sont intervenus dans la transmission d’informations relatives aux désabonnements entre l’outil permettant de gérer l’envoi des newsletters et le référentiel clients, qui consigne l’information selon laquelle un client est, ou non, abonné aux newsletters ».
De même, « une autre anomalie, affectant également la synchronisation des désabonnements entre le référentiel clients et l’outil qui gère l’envoi des newsletters, a été identifiée par la société le 8 février 2019 ».
Ces bugs ont conduit à ce que des personnes aient pu continuer à recevoir des newsletters malgré leur opposition, alors que des millions de personnes en sont destinataires.
Des mots de passe trop courts, des pièces d'identité envoyées par mail
La sacro-sainte obligation de sécurité, une pierre angulaire du règlement européen, a elle aussi été malmenée, tout particulièrement s’agissant de la gestion des mots de passe pour l’accès au logiciel Adobe Campaign. « L’utilisation d’un mot de passe composé de huit caractères contenant seulement deux types de caractères (sept lettres majuscules et un caractère spécial) permettait d’accéder à l’outil de gestion d’envoi des communications aux clients ».
Une robustesse un peu trop en retrait, quand la CNIL recommande « au minimum douze caractères – contenant au moins une lettre majuscule, une lettre minuscule, un chiffre et un caractère spécial – ou alors comporte au moins huit caractères – contenant trois de ces quatre catégories de caractères – s’il est accompagné d’une mesure complémentaire » (captcha, temporisation, blocage après plusieurs tentatives infructueuses). Là encore, la société s’est finalement mise en conformité durant l’instruction de la délégation de la CNIL.
Cependant… En cas de suspicion de connexion frauduleuse, Accor exigeait l’envoi de la copie d’une pièce d’identité par mail. Pour la délégation, c’est un peu léger : « la pratique consistant en la transmission de données non chiffrées par courriel électronique génère un risque important pour la confidentialité des données transmises ». Elle aurait préféré un canal bien plus sécurisé.
Un total de 600 000 euros de sanctions et une décision rendue publique
Au bout de cette procédure, Accor a estimé qu’aucune sanction n’était nécessaire, le groupe hôtelier ayant pris plusieurs mesures pour corriger le tir. La société a surtout tenté d’éviter la publicité de la décision, jugeant ses conséquences « manifestement disproportionnées ».
« Réalisation de campagnes de prospection massives par courrier électronique sans consentement des personnes, absence d’information aisément accessible et complète sur les traitements effectués, difficultés rencontrées dans le cadre de l’exercice de leurs droits par les plaignants et défauts de sécurité des données ». Des arguments qui n’ont pas pesé bien lourd au regard de l’inventaire des violations dressé par la formation restreinte de la CNIL, dans un contexte où des millions de personnes reçoivent ses newsletters et qu’elle a été destinataire de plusieurs plaintes.
Dans un jeu de poids et mesures, la commission a cependant tenu compte de la mise en conformité de la société et de sa pleine collaboration, outre de la situation sanitaire de la période considérée.
Au final, elle a décidé de fixer à 600 000 euros le montant total des amendes infligées au groupe mondial, tout en estimant nécessaire de rendre publique cette délibération au regard de la gravité des faits et du nombre de personnes concernées. Soit la pire des issues pour un responsable de traitement qui souhaite soigner la confiance de ses clients actuels ou futurs.
La décision, prise le 3 août dernier, mais révélée hier par la Commission, peut désormais être attaquée devant le Conseil d’État par le groupe hôtelier.
En amont, une bisbille franco-polonaise sur le montant de la sanction
L’histoire pourrait donc s’arrêter là… Relevons néanmoins que le montant de l’amende a fait l’objet d’un lourd débat européen.
La CNIL, initialement, plaidait pour un montant plus faible, mais ce choix a subi les objections de son homologue polonaise, l’Urząd Ochrony Danych Osobowych.
Le 15 juin 2022, le Comité européen de la protection des données (CEPD, ou EDPB en anglais, pour European Data Protection Board) a finalement tranché dans une décision contraignante, rendue publique (PDF, en français).
Quand la CNIL se serait contentée de... 100 000 euros d'amende
À la lecture de ce PDF, on découvre que selon la CNIL, en 2019, Accor avait « généré un revenu de 1,2 milliard d’euros et un bénéfice net de 208 millions d’euros. Ce chiffre d’affaires a baissé de 54 % entre 2019 et 2020 », année de crise sanitaire. Et surtout, que la rapporteure de la CNIL avait d’abord suggéré un montant de 1 million d’euros de sanction, quand la CNIL avait finalement proposé à ses homologues européens une prune RGPDienne de… 100 000 euros. Soit 10 fois moins, mais sans que la CNIL ne précise pourquoi.
Ce montant a fait bondir l’autorité polonaise, qui a dénoncé un montant bien « trop faible pour un responsable du traitement tel qu’Accor ».
Elle a rappelé que le RGPD réclame une amende certes « proportionnée » mais aussi « dissuasive ». La Pologne s'est souvenue qu’en 2021, Accor avait généré « un revenu de 1 621 000 000 euros ». Chiffre contesté par le responsable de traitement lui-même qui, plutôt que d’utiliser un C.A consolidé, a préféré s’attacher au chiffre d’affaires de la seule structure Accor SA, soit 531 000 000 euros, tout de même.
Selon l’autorité polonaise, néanmoins « il est très peu probable que la solvabilité [d’Accor] se trouverait menacée par une sanction d’un montant même plusieurs fois supérieur à celui proposé, malgré les pertes enregistrées durant la pandémie de COVID-19 ». Elle a insisté : ce montant de 100 000 euros envisagé par la CNIL serait trop faible « pour dissuader effectivement cette entreprise de commettre des infractions similaires à l’avenir ».
Ce à quoi la CNIL a opposé que « si le chiffre d’affaires est un élément important à prendre en considération pour déterminer le niveau de l’amende, les autres critères énoncés [par le RGPD] – dont la gravité des infractions commises – doivent également être pris en considération ». Elle a souligné que les bugs avaient été corrigés et les autres infractions n’étaient pas « de nature structurelle ».
Pour l’autorité française, qui est revenue sur la baisse du chiffre d’affaires, l’objection de l’autorité de contrôle polonaise serait en outre formulée « en termes généraux ». Avis partagé par Accor : elle « ne formule son objection que sous la forme de remarques abstraites et générales, sans se fonder sur les faits de l’espèce ni tenir compte des justifications fournies dans le projet de décision ».
Pas de réduction pour cause de pandémie de Covid-19
Le CEPD a validé seulement une partie de ces critiques, en relevant toutefois que la CNIL « ne devrait pas accorder une réduction de l’amende à Accor malgré les pertes subies par l’entreprise pendant la pandémie de Covid-19 ».
Plus exactement, « pour qu’une autorité de contrôle chef de file puisse envisager une telle réduction pour absence de capacité contributive, l’entreprise qui en fait la demande doit démontrer que payer le montant de l’amende proposé représente une difficulté insurmontable », a-t-il exposé dans sa décision qui a signé la fin du match.
Le document précise que « l’entreprise concernée doit apporter des preuves objectives que le montant de l’amende proposé mettrait irrémédiablement en danger sa viabilité économique et conduirait à priver ses actifs de la totalité ou d’une majeure partie de leur valeur. En outre, ces risques ne doivent être évalués que si l’existence d’un "contexte social et économique" particulier est établie ».
Dans tous les cas, « la seule constatation d’une situation financière défavorable ou déficitaire de l’entreprise ne justifie pas automatiquement une réduction du montant de l’amende », estime le CEPD.
Celui-ci a donc demandé à la CNIL de réévaluer le montant de l’amende pour ne tenir compte que du C.A. pour l’exercice 2021, « sans considérer la baisse du chiffre d’affaires due à la pandémie de Covid-19 comme une circonstance atténuante »
Le caractère dissuasif du montant a également fait l’objet de nombreux débats. Le CEPD a calculé que « bien que les ressources d’Accor aient fortement diminué entre 2019 et 2020 en raison de la pandémie de COVID-19, le montant de l’amende proposé par [la CNIL] ne représenterait que 0,02 % du chiffre d’affaires d’Accor estimé pour 2020 ».
Un montant bien trop « négligeable » quand l’autorité française osait dans le même temps qualifier de « substantielles » les infractions mises à l’index.
Commentaires (12)
#1
C’est-à-dire ? Quel autre canal sécurisé propose la CNIL ?
Pourquoi il y a 2 propositions d’amendes venant de la CNIL ? Qui est cette rapporteure qui ne fait pas de suggestion au nom de la CNIL ?
#1.1
Dans le milieu de la banque/assurance par exemple, on utilise des espaces sécurisés où on dépose les fichiers avec de la donnée client, j’ai pu utilisé un service similaire avec un cabinet de notaire ou mon assurance auto entre autres.
En terme d’interface, ca ressemble à un google drive.
Ce type de transfert de fichiers existe depuis plus de 10 ans, vendu et dimensionné pour tout type d’entreprise.
#2
Entre la cathédrale de charte et l’édit de tante difficile de se sentir irrécupérable en Pologne pour tout oncle.
Savoureux.
#3
la Cnil trop clémente ? qui l’eu cru ?
Merci les Polonais pour le coup !
#4
Dépôt sur une plateforme web de stockage de fichiers accessible en HTTPS, avec gestion des droits des utilisateurs et dont les données sont au minimum chiffrées au repos ?
De là tu envois un lien unique au client et ça le mène à une page où il peut upload ses documents.
Je suppose que ce qui dérange la CNIL aussi est que ça force le client à fuiter sa CNI à son hébergeur mail (qui est probablement Google).
C’est une décision intéressante en tout cas, qui montre qu’énormément d’entreprises sont hors des clous mais ne sont pas (encore) inquiétées.
Je pense notamment à toutes ces boîtes qui ont un compte SAV sur un réseau social et t’invitent à leur envoyer des données à caractère personnel par message privé sur ledit réseau social. Le comble étant qu’elles justifient la chose en invoquant le RGPD
#4.1
Anéfé ça peut être plus sécurisé. Mais l’envoi par e-mail est encore très répandu. Je viens d’en faire l’expérience, avec l’ouverture d’un compte sur un site ayant Mangopay comme tiers. J’ai uploadé ma CNI sur le site, par e-mail on me dit qu’elle n’est pas conforme, et que je dois renvoyer une copie en retour d’e-mail
Comme si c’était le fait de faire par e-mail allait changer la qualité du document.
HS mais après la validation de mon compte, j’ai exercé mon droit de suppression pour que la copie de ma CNI soit supprimée, la finalité (vérification de mon identité) ayant été effectuée. On m’a refusé cette suppression, la copie de la CNI est conservée pendant 2 ans, “pour des motifs légitimes” qui n’ont pas été précisés.
#5
La fourniture de pièces d’identité par email c’est quand même un sacré bêtise ! Même dans les PME où je suis intervenu je faisais installer (ou louer) un outils de transfert de données chiffré. Au pire une petite instal Nextcloud.
Par ailleurs, il faut évaluer l’utilité d’une pièce d’identité, le RGPD impose de vérifier l’identité du requeteur mais ce n’est pas toujours nécessairement un pièce officielle. Quand on affaire à des comptes sur une application web, un échange de mail (pour vérifier qu’il ne s’agit pas de spoofing) peut suffire (si non critique bien sûr)
#6
Quand la CNIL enquête sur un responsable de traitement, elle désigne un rapporteur. Tu as son nom dans les premières lignes de la délibération :
“Vu le rapport de Madame Sophie LAMBREMON, commissaire rapporteur, notifié à la société ACCOR le 24 novembre 2020”
Cette personne fait le boulot de fond. Ensuite elle propose une piste décisionnelle, mais au final c’est bien la formation restreinte qui décide.
On a eu ici une décision “intermédiaire” s’agissant d’un acteur ayant un traitement dans plusieurs pays EU. Le RGPD oblige l’autorité de contrôle du lieu d’établissement à adresser pour commentaires à ses homologues son projet de décision.
Donc, il y a eu dans cette histoire 3 montants :
Mucho claro for u, señior Jarodd ?
#6.1
Perfecto como siempre, gracias señor Marco :)
#7
ah ça me rappelle une autre news sur des sanctions
même si les montants sont différents, je retiens bien le
“ la société a surtout tenté d’éviter la publicité de la décision, jugeant ses conséquences « manifestement disproportionnées”
logique !
mais je me demande dans ce cas s’ils doivent faire annuler l’amende dont ils se foutent - bien qu’ils pretendront toujours le contraire - pour éviter la sanction “affichage public” ou si les deux sont décorellés
en tout cas ça confirme ce que je pensais, et en bon péon sans connaissance juridique approfondie ça me semble normal qu’en effet les montants soient dissuasifs
merci la Pologne, et le droit européen
#8
Bien vu le sous-titre.
#9
J’ai été spammé par eux pendant quelques temps, et bien pu constater l’impossibilité de se désabonner. Au final, classer leur mails en spam ça va beaucoup plus vite, je ne pense pas qu’ils y gagnent au final. Ils vont perdre sur les deux tableaux.