Après plusieurs plaintes dans différents pays européens contre Accor, la CNIL a mené l’enquête et a constaté plusieurs manquements au RGPD. En conséquence, le régulateur vient d’infliger une amende de 600 000 euros au groupe hôtelier. Au cœur de cette affaire, la question du consentement des personnes pour traiter leurs données à des fins de prospection commerciale. En effet, quand une personne réservait une chambre d’hôtel directement auprès du personnel d’Accor ou sur le site, elle était automatiquement inscrite pour recevoir la newsletter de la firme, intégrant des offres partenaires. Problème sur le site, la case pour recevoir la newsletter était cochée par défaut.

La Cnil a constaté d’autres manquements comme par exemple le non-respect du droit d’opposition et le droit d’accès aux données des personnes. Le régulateur a constaté plusieurs dysfonctionnements dans le processus de désabonnement à la newsletter. Ces problèmes ont duré suffisamment longtemps et « sont susceptibles d’avoir empêché un nombre significatif de personnes de s’opposer efficacement à la réception des messages de prospection ».

Une amende révisée à la hausse

Enfin la Cnil observe que la robustesse des mots de passe demandés est insuffisante pour l’accès à l’outil de gestion de l’envoi des communications aux clients. Ces mots de passe comprenaient « huit caractères contenant seulement deux types de caractères ». La Commission rappelle qu’ils doivent comporter « au minimum douze caractères - contenant au moins une lettre majuscule, une lettre minuscule, un chiffre et un caractère spécial ».

Sur le montant de l’amende, la Cnil a été obligée de revoir sa copie. En effet, chef de file des investigations au niveau européen, sa proposition de sanctions financières a été retoquée par une autorité européenne (dont le nom n’a pas été publié). L’affaire a donc été transmise au CEPD (comité européen de la protection des données) qui a demandé à la Cnil de réexaminer le montant de l’amende jugé pas assez dissuasif. In fine, le régulateur français a infligé à Accor une amende de 600 000 euros, dont 100 000 euros liés au manquement sur le consentement et 500 000 euros pour les autres infractions.