2022

Prospection commerciale et hôtellerie : sanction de la CNIL à l’encontre de la société Accor.

Dans une délibération du 3 août 2022, la CNIL a prononcé une sanction de 600 000 euros à l’encontre de la société ACCOR, notamment pour avoir procédé à une prospection commerciale sans obtenir le consentement des personnes concernées.

 

La CNIL a reproché à la société ACCOR les manquements suivants :

  1.   Absence de consentement des personnes pour la prospection commerciale : une case pré-cochée par défaut pour les personnes réservant une chambre d’hôtel afin de recevoir la prospection commerciale par mail concernant des sociétés partenaires n’est pas un consentement libre conforme au RGPD. Pour rappel, pour pouvoir être exempté de l’obligation du recueil du consentement, la prospection commerciale par mail doit concerner des services et produits analogues fournis par la même société. Dès lors que la prospection commerciale par mail comprend des services et produits fournis par des sociétés partenaires tierces, il faut recueillir le consentement des personnes.

  2. Absence de consentement des personnes créant un espace client pour la prospection commerciale : la CNIL considère que le fait de créer un espace client sans réservation préalable ne permet pas de définir les personnes concernées comme des clients, le recueil du consentement pour recevoir de la prospection commerciale est donc nécessaire et obligatoire.

  3. Absence d’informations relatives aux données personnelles conformément aux articles 12 et 13 du RGPD : aucune mention d’information ne figurait lors de la création d’un compte client ou l’adhésion au programme de fidélité.

  4. Absence de réponse dans le délai d’un mois à une demande d’exercice des droits.

  5. Absence de prise en compte du droit d’opposition des personnes : la CNIL a constaté différents dysfonctionnements des liens de désabonnement et le mauvais traitements de plusieurs demandes d’opposition.

  6. Manquement à l’obligation d’assurer la sécurité des données personnelles : la CNIL a reproché à la société de ne pas mettre en œuvre une politique de mots de passe suffisamment robuste pour l’accès au logiciel interne de gestion des newsletter. Par ailleurs, dans le cadre de suspicion de connexion frauduleuse d’un compte client, la seule manière de débloquer son compte consistait à transmettre la carte d’identité de la personne par mail à la société. La CNIL a reproché à la société de demander ces informations par simple mail sans que les données ne soient chiffrées.

Depuis, la société s’est mise en conformité avec l’ensemble de ces manquements.

 

Que faut-il retenir de cette décision de la CNIL ?

  • S’assurer du recueil du consentement des personnes à des fins de prospection commerciale conformément à l’article L. 34-5 du Code des postes et des communications électroniques et sans case pré-cochée !

  • Informer les personnes conformément aux articles 12 et 13 du RGPD et s’assurer que l’information est fournie de manière claire et accessible.

  • Ne jamais sous-estimer une demande d’exercice des droits et notamment une demande d’accès ou d’opposition ; L’absence de prise en compte ou de réponse de ces demandes peuvent déclencher un contrôle de la CNIL. Attention également à la gestion des liens de désabonnement, ces dysfonctionnements peuvent être à l’origine de mécontentements et de plaintes auprès de la CNIL.

  • Accorder la plus grande importance à la sécurité des données personnelles (art. 32 du RGPD), notamment quant à la robustesse des mots de passe et dans le cadre des transmissions de copie de carte d’identité, s’assurer que ces données soient chiffrées.

Sanction CNIL : une société éditrice de logiciel pour des laboratoires d’analyses médicales condamnée à 1,5 millions d’euros d’amende administrative

Le 21 avril 2022, la CNIL a publié une décision de sanction par laquelle la société DEDALUS BIOLOGIE s’est vu infligée une amende d’1,5 millions d’euros.

Le 23 février 2021, la société DEDALUS BIOLOGIE a subi une violation de données personnelles concernant près de 500 000 personnes. Les données personnelles concernaient notamment les noms, prénoms, numéros de sécurité sociale, noms du médecin prescripteur, date de l’examen mais aussi et surtout des informations médicales (VIH, cancers, maladies génétiques, grossesses, traitements médicamenteux suivis par le patient, ou encore des données génétiques).

Dès le 24 février 2021, la CNIL a effectué plusieurs contrôles, notamment auprès de la société DEDALUS BIOLOGIE qui commercialise des solutions logicielles pour des laboratoires d’analyses médicales, en tant que sous-traitant.

En parallèle, la CNIL a saisi le tribunal judiciaire de Paris qui a bloqué l’accès au site sur lequel ont été publiées les données ayant fait l’objet de la violation de données. Cette décision du 4 mars 2021 a permis de limiter les conséquences pour les personnes concernées.

Sur la base des constatations effectuées lors de ses contrôles, la CNIL a considéré que la société avait manqué à plusieurs obligations prévues par le RGPD et notamment :

  •   Dans le cadre d’une migration d’un logiciel vers un autre outil demandé par deux laboratoires, DEDALUS BIOLOGIE agissant en tant que sous-traitant, n’a pas respecté les instructions de ces derniers et a traité des données au-delà de ce qui était demandé par les laboratoires.

  •   La société DEDALUS BIOLOGIE ne prévoyait pas suffisamment de mesures afin de garantir la sécurité des données personnelles. En effet, il n’existait aucune procédure spécifique pour les opérations de migration de données, aucune méthode de chiffrement des données personnelles stockées sur le serveur, aucun effacement automatique des données après migration vers le second logiciel, aucune procédure d’authentification requise depuis internet pour accéder à la zone publique du serveur, aucune gestion des habilitations des salariés (plusieurs comptes utilisateurs étaient partagés entre plusieurs salariés sur la zone privée du serveur), aucun procédure de gestion et de remontée des alertes sécurité sur le serveur.

  •   Dans le cadre de son activité la société DEDALUS BIOLOGIE proposait des conditions générales de vente qui, selon la CNIL, ne contenaient pas les mentions prévues à l’article 28(3) du RGPD.

 

Que faut-il retenir de cette décision ?

  • La question de la sécurité des données personnelles demeure un point clé de la conformité au RGPD, la majorité des décisions de la CNIL le soulignent. C’est un point central dont il faut tenir compte et auquel il faut accorder une attention particulière d’autant plus qu’elle peut rapidement nuire à la réputation d’une entreprise.

  •    La sous-traitance reste un élément de la conformité RGPD primordial et son encadrement est nécessaire. Il est important d’avoir une clause « RGPD » précise et exhaustive tout en s’assurant qu’elle soit effective dans les faits.

Suivez nous sur les réseaux sociaux

Follow us on social networks

// Aseptio