600 000 euros. Voilà la sanction infligée par la CNIL à l’encontre du groupe hôtelier. À l’index ? Plusieurs violations du RGPD : gestion du consentement à recevoir des newsletters, information donnée aux personnes concernées et envoi des pièces d’identité et gestion des mots de passe. Dnas une première version, la CNIL envisageait toutefois un montant bien moindre, 100 000 euros, sur fond de crise sanitaire.
À l’origine de cette procédure visant Accor SA, cinq plaintes adressées à la CNIL entre fin 2018 et fin 2019 et à ses homologues étrangers entre 2019 et 2020. La commission a endossé la casquette d’autorité-chef de file s’agissant de traitements transfrontaliers mis en œuvre par une entreprise dont l’établissement principal est en France. Des contrôles ont ainsi été menés, sur place et sur le site officiel de la société, all.accor.com.
Parmi les indélicatesses relevées, la CNIL a d’abord épinglé l’obligation de recueillir le consentement des personnes physiques avant la mise en œuvre de prospection directe. Le groupe avait trouvé un moyen basique pour arroser ses clients de courriers électroniques vantant telles ou telles prestations :
« Lorsqu’une personne réservait une chambre d’hôtel directement auprès du personnel d’un hôtel (…), elle était rendue destinataire des courriels de la société contenant la newsletter « All – Accor Live Limitless », la case relative au consentement à recevoir la newsletter étant pré-cochée par défaut ».
Comme le groupe englobe les marques Ibis, Novotel, Mercure, Fairmont, Sofitel, Adagio, etc., on devine sans mal le vivier, d’autant que ces mails vantaient non seulement les mérites de ces établissements, mais également de « compagnies aériennes ou de sociétés gestionnaires de parcs de stationnement », relève la rapporteure de la Commission.