hôtellerie

Prospection commerciale et hôtellerie : sanction de la CNIL à l’encontre de la société Accor.

Dans une délibération du 3 août 2022, la CNIL a prononcé une sanction de 600 000 euros à l’encontre de la société ACCOR, notamment pour avoir procédé à une prospection commerciale sans obtenir le consentement des personnes concernées.

 

La CNIL a reproché à la société ACCOR les manquements suivants :

  1.   Absence de consentement des personnes pour la prospection commerciale : une case pré-cochée par défaut pour les personnes réservant une chambre d’hôtel afin de recevoir la prospection commerciale par mail concernant des sociétés partenaires n’est pas un consentement libre conforme au RGPD. Pour rappel, pour pouvoir être exempté de l’obligation du recueil du consentement, la prospection commerciale par mail doit concerner des services et produits analogues fournis par la même société. Dès lors que la prospection commerciale par mail comprend des services et produits fournis par des sociétés partenaires tierces, il faut recueillir le consentement des personnes.

  2. Absence de consentement des personnes créant un espace client pour la prospection commerciale : la CNIL considère que le fait de créer un espace client sans réservation préalable ne permet pas de définir les personnes concernées comme des clients, le recueil du consentement pour recevoir de la prospection commerciale est donc nécessaire et obligatoire.

  3. Absence d’informations relatives aux données personnelles conformément aux articles 12 et 13 du RGPD : aucune mention d’information ne figurait lors de la création d’un compte client ou l’adhésion au programme de fidélité.

  4. Absence de réponse dans le délai d’un mois à une demande d’exercice des droits.

  5. Absence de prise en compte du droit d’opposition des personnes : la CNIL a constaté différents dysfonctionnements des liens de désabonnement et le mauvais traitements de plusieurs demandes d’opposition.

  6. Manquement à l’obligation d’assurer la sécurité des données personnelles : la CNIL a reproché à la société de ne pas mettre en œuvre une politique de mots de passe suffisamment robuste pour l’accès au logiciel interne de gestion des newsletter. Par ailleurs, dans le cadre de suspicion de connexion frauduleuse d’un compte client, la seule manière de débloquer son compte consistait à transmettre la carte d’identité de la personne par mail à la société. La CNIL a reproché à la société de demander ces informations par simple mail sans que les données ne soient chiffrées.

Depuis, la société s’est mise en conformité avec l’ensemble de ces manquements.

 

Que faut-il retenir de cette décision de la CNIL ?

  • S’assurer du recueil du consentement des personnes à des fins de prospection commerciale conformément à l’article L. 34-5 du Code des postes et des communications électroniques et sans case pré-cochée !

  • Informer les personnes conformément aux articles 12 et 13 du RGPD et s’assurer que l’information est fournie de manière claire et accessible.

  • Ne jamais sous-estimer une demande d’exercice des droits et notamment une demande d’accès ou d’opposition ; L’absence de prise en compte ou de réponse de ces demandes peuvent déclencher un contrôle de la CNIL. Attention également à la gestion des liens de désabonnement, ces dysfonctionnements peuvent être à l’origine de mécontentements et de plaintes auprès de la CNIL.

  • Accorder la plus grande importance à la sécurité des données personnelles (art. 32 du RGPD), notamment quant à la robustesse des mots de passe et dans le cadre des transmissions de copie de carte d’identité, s’assurer que ces données soient chiffrées.

Quelle application du RGPD au secteur de l'hôtellerie?

RGPD: Quelle application au secteur de l'hôtellerie?

RGPD""

RGPD""

RGPD: Le secteur de l’hôtellerie collecte aujourd’hui de plus en plus de données personnelles, qu’il s’agisse de données nominatives, des données relatives à la réservation d’une chambre ou de celles liées aux préférences, goûts et habitudes de vie, ou de la santé des clients.

Ces données personnelles sont destinées à satisfaire la clientèle des hôtels et offrir des services de plus en plus personnalisés. Ces données peuvent être ensuite réutilisées et transférées à différents partenaires dans un but de fidélisation ou d’amélioration des prestations.

Cet article constitue un premier volet sur le thème de la conformité RGPD dans le secteur de l’hôtellerie et a pour but de recenser les différentes données collectées par l’hôtellerie et d’aborder les premières questions relatives à leur mise en conformité.

I/ Quelle collecte des données personnelles dans le secteur de l’hôtellerie ?

Différents types de données personnelles de clients sont collectées lors d’une réservation de chambre d’hôtel :

- Des données personnelles peu sensibles, relatives à l’identité (nom, prénom, âge, date de naissance, numéro de téléphone, adresse e-mail etc.) ou à la vie familiale (nombre d’enfants, mariés, célibataires etc.)

- Des données personnelles particulières ou sensibles liées à des allergies ou intolérances alimentaires, à la nécessité d’une chambre aménagée pour des personnes handicapées, ou encore des données issues de moyens biométriques lors de contrôle d’accès.

- Des données relatives aux convictions religieuses ou philosophiques du fait d’un régime alimentaire spécifique en raison de convictions religieuses ou d’une réservation liée à un événement particulier (réunion politique ou syndicale).

Certains hôtels sont également amenés à collecter davantage de données dans le but d’offrir des prestations et une expérience client très qualitative, notamment dans le secteur du luxe.

II/ La collecte de ces données est soumise au RGPD

Toutes ces données peuvent être qualifiées de données personnelles au sens du RGPD, voire de données sensibles : leur recueil devra être encadré et leur collecte respecter les critères de licéité de l’article 5 du RGPD.

Cela signifie que les données collectées doivent être :

  • Traitées de manière licite, loyale, transparente au regard de la personne concernée

  • Collectées pour des finalités déterminées, explicites et légitimes

  • Adéquates, pertinentes et limitées à ce qui est strictement nécessaire au regard des finalités pour lesquelles elles sont traitées

  • Exactes et, si nécessaires, tenues à jour

  • Conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées

  • Traitées de façon à garantir une sécurité appropriée des données à caractère personnel

III/ Quelles obligations au titre du RGPD ?

Des mentions d’informations:

Le traitement et l’utilisation de ces données impliquent de nombreuses obligations, de la mise à disposition d’une information transparente, au recueil du consentement :

- Les gérants d’un hôtel devront mettre à disposition de manière claire, facile et intelligible, les différentes données qu’ils collectent dans le cadre de la relation contractuelle avec leurs clients et prospects.

- Les mentions d’informations devront être adaptées en fonction du mode de recueil : site internet, téléphone, salon du voyage...

- La personne concernée doit être informée des mentions des articles 12 et 13 du RGPD de manière « concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples » et notamment:

  • de l’identité et des coordonnées du responsable du traitement

  • le cas échéant des coordonnées du DPO

  • des finalités du traitement et la base juridique du traitement

  • les destinataires ou les catégories de destinataires des données à caractère personnel

  • les transferts de données en dehors de l’Union européenne

L’intensité de l’obligation d’information pourra également varier en fonction de la nature de la donnée collectée, par exemple dans le cadre d’une utilisation de la biométrie: 

- Les sites Internet devront enfin être mis à jour (mentions légales, mentions obligatoires RGPD et clause données personnelles dans les CGV). Une adresse de contact devra être mise à disposition des personnes concernées de manière à recevoir les questions, les demandes de suppression, de rectification ou d’information sur leurs données.

Registre de traitement

L’article 30 du RGPD impose la tenue d’un registre des activités de traitement afin de recenser l’intégralité des traitements réalisés au sein de l’organisme. Ce registre doit être mis à jour régulièrement, être clair, facilement accessible et compréhensible en cas de procédure de contrôle de la CNIL.

Dans le cas d’un hôtel « connecté » (wifi, caméra de surveillance, sécurité et biométrie), les dispositifs devront aussi être encadrés et documentés afin d’attester de leur conformité.

A suivre dans un prochain article, les enjeux liés à la sécurité des données dans les hôtels.

// Aseptio