Des manquements cumulés

Saisie de plusieurs plaintes en France et en provenance d’autres pays européens, la CNIL, agissant comme autorité « Cheffe de file » en raison de la localisation dans l’Hexagone du siège d’Accor, a enclenché une procédure de contrôle.

Cette procédure a conduit la CNIL à relever plusieurs manquements au RGPD et à la législation française, portant sur :
• l’absence de recueil du consentement pour traiter des données à des fins de prospection commerciale (article L. 34-5 du Code des postes et des communications électroniques) : lorsque l’on réservait une chambre d’hôtel, on était automatiquement abonné à la newsletter de la société, la case de consentement étant précochée par défaut. De la même façon, la création d’un espace client conduisait à l’envoi automatique de prospection commerciale.
• l’absence d’information des personnes à la création d’un compte client ou lors de l’adhésion au programme de fidélité : le formulaire permettant la création d’un compte client ou l’adhésion au programme de fidélité ne comportait pas les informations exigées par les articles 12 et 13 du RGPD.
• l’absence de mention du consentement comme base légale du traitement, pour la promotion de produits ou services de tiers ;
• des insuffisances sur le respect du droit d’accès des personnes aux données les concernant (art. 12 et 15 du RGPD) : la CNIL a observé que dans un cas, isolé, l’entreprise n’avait pas procédé dans les délais impartis à la satisfaction de la demande.
• des insuffisances sur le respect du droit d’opposition des personnes ne souhaitant plus recevoir de message de prospection commerciale (art. 12 et 21 du RGPD) : la CNIL a observé des dysfonctionnements dans les liens de désinscription et dans la synchronisation des fichiers, susceptibles d’avoir empêché de nombreuses personnes de s’opposer à la réception des messages de prospection, ceci concernant potentiellement plusieurs millions de personnes.
• une sécurité insuffisante des données personnelles (art. 32 du RGPD) : la CNIL a relevé plusieurs anomalies comme l’insuffisance de certains mots de passe opérationnels. Mais elle a également observé qu’en cas de suspension d’un compte pour suspicion de connexion frauduleuse, le client devait envoyer par courriel une copie de sa pièce d’identité, sans chiffrement des données.

Une sanction aggravée par la procédure d’harmonisation

S’agissant d’un dossier concernant des personnes issues de plusieurs pays européens, la CNIL a dû enclencher la procédure de coopération prévue par le RGPD.

Au cours de cette procédure, l’autorité de contrôle polonaise a formulé des objections qui ont fait l’objet d’un arbitrage au sein du CEPD/EDPB (le groupe des « CNIL » européennes). Il était en particulier reproché à la CNIL une sanction insuffisante au regard des manquements observés et de la taille de l’entreprise.

La décision contraignante du CEPD/EDPB a conduit la CNIL à réviser le montant de l’amende au niveau définitif de 600 000 euros.

Des enseignements utiles pour les Délégués à la protection des données
L’AFCDP observe tout d’abord que, comme on pouvait s’y attendre, le mécanisme de coopération et d’harmonisation européen a pour conséquence de rehausser les montants des sanctions décidées par la CNIL en conduisant l’autorité française, souvent plus modérée et conciliante, à se rapprocher d’autorités historiquement plus « sévères ».

La décision rappelle aussi qu’une plainte, conduisant à un contrôle, peut déboucher sur des sanctions portant sur des manquements sans lien direct avec la plainte initiale.

L’AFCDP note également que la CNIL attache une grande attention au respect des droits des personnes (droit à l’information, droit d’accès, droit d’opposition) et qu’elle n’hésite pas à sanctionner les cas de non-respect de ces droits.

Enfin, l’AFCDP attire l’attention des DPD/DPO sur l’importance accordée par la CNIL à la sécurité des traitements. Elle alerte en particulier sur la pratique de transmission de pièces d’identité par email, sans chiffrement, encore couramment observée au sein des organismes, et sur la nécessité de sensibiliser les services opérationnels aux risques que cette pratique présente en termes de sécurité des données.