CNIL : La gestion du consentement au cœur des décisions récentes

CNIL : La gestion du consentement au cœur des décisions récentes

decision-snil-accor-criteo

Récemment, la CNIL ainsi que ses équivalents européens ont rendu publique leur décision à l’encontre du groupe ACCOR, et mènent actuellement une enquête sur les agissements de Critéo, spécialiste du reciblage publicitaire. Dans les deux cas, le consentement est au cœur des infractions constatées ou présumées.

Des plaintes provenant d’associations ainsi que de particuliers

Dans le cas de la société ACCOR, la CNIL ainsi que d’autres autorités européennes ont été saisies par plusieurs personnes dans le cadre de plaintes relatives aux difficultés rencontrées pour exercer leurs droits.

Suite à ces plaintes, les contrôles ont permis de mettre en lumière des dyfonctionnements : lorsqu’une personne procédait à une réservation, elle était automatiquement inscrite à la liste d’envoi de newsletter à visée commerciale, contenant des offres promotionnelles de compagnies partenaires. La CNIL a constaté que la case relative au consentement pour l’envoi de ces newsletter était cochée par défaut.

Pour Critéo, la plainte fut déposée en 2018 par Privacy International, association britannique. Il est à noter que cette plainte ne concernait pas uniquement Critéo, mais les pratiques de plusieurs « data brokers ». La CNIL n’étant l’autorité « chef de file » que dans le cas de Critéo, elle a annoncé ouvrir une enquête en janvier dernier sur le géant français du ciblage publicitaire.

Les manquements constatés

Au terme de l’enquête menée à l’encontre d’ACCOR, la CNIL a relevé des manquements tels que :

  • Un manquement à l’obligation de recueillir le consentement de la personne concernée pour traiter ses données à des fins de prospection commerciale
  • Un manquement à l’obligation d’informer les personnes (art. 12 et 13 du RGPD) : la société ne fournissait pas aux personnes concernées, de manière accessible, les informations nécessaires lors de la création d’un compte client ou lors de l’adhésion au programme de fidélité du groupe ACCOR. La société ne mentionnait pas non plus le consentement comme base légale du traitement, pour la prospection tendant à promouvoir les produits ou services de tiers.
  • Un manquement à l’obligation de respecter le droit d’accès des personnes aux données les concernant (art. 12 et 15 du RGPD), puisque la société n’a pas donné suite aux demandes formulées par une plaignante dans les délais.
  • Un manquement à l’obligation d’assurer la sécurité des données personnelles (art. 32 du RGPD), car la société permettait l’utilisation des mots de passe insuffisamment robustes. La CNIL reproche également à la société d’avoir invité une personne à transmettre sa pièce d’identité par courriel, sans que les données en cause ne soient chiffrées.

Pour Critéo, l’enquête en cours permettra de savoir si les accusations de non-respect du RGPD proférées par Privacy International sont fondées. L’association déclarait en 2018 que cet acteur, aux côtés d’autres entreprises similaires, ne respectait pas la règlementation sur la collecte et l’usage de données à caractère personnel.

Des sanctions bien différentes

Dans le cas d’ACCOR, la CNIL s’est vue imposer une augmentation de la sanction proposée dans son projet soumis aux autorités de protection des données concernées concernées par les traitements. En effet, ACCOR ayant coopéré et s’étant mis en conformité face aux manquements reconnus par l’enquête, l’autorité de protection des données française a souhaité être pédagogue en prononçant une amende adaptée. Un des pays étant en désaccord avec cette initiative, le CEPD (Comité européen de la protection des données) a été saisi afin de statuer sur la situation : il a enjoint la CNIL d’augmenter le montant de l’amende afin qu’elle soit dissuasive. Le comité restreint a alors prononcé une amende de 600 000€ à l’encontre d’ACCOR. Cette décision de sanction est désormais publique pendant deux ans, sanction supplémentaire portant atteinte à la réputation du groupe.

Pour Critéo, les conclusions de l’enquête ne sont pour l’instant pas connues. Un risque d’amende de l’ordre de 60 millions d’euros a été évoqué.

Pour aller plus loin

Formation au RGPD (1 jour)
Article de la CNIL sur ACCOR

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.