Prospection commerciale : retour sur la sanction d'Accor

La société Accor effectue des traitements de données personnelles transfrontaliers. Ses pratiques ont fait l’objet de plusieurs réclamations de la part de personnes concernées situées dans divers pays de l’Union européenne. La Commission nationale de l’informatique et des libertés (CNIL), ayant la qualité d’autorité chef de file, a dès lors procédé à des contrôles qui ont révélé l’existence de plusieurs violations du règlement général sur la protection des données (RGPD)

Conformément à la procédure prévue dans le cadre du mécanisme de la cohérence, la CNIL a proposé un projet de décision à l’ensemble des autorités de contrôle nationales concernées. Ce projet a fait l’objet de plusieurs objections pertinentes et motivées de la part de celles-ci. A l’issue de la phase de coopération entre ces autorités et l’autorité chef de file, une objection restait pendante, au sujet du montant de l’amende qui devait être prononcée à l’égard de la société Accor. Le CEPD a donc été saisi pour trancher le litige. Il a répondu dans une décision contraignante 01/2022 du 15 juin 2022.

La CNIL avait évalué le montant de l’amende à prononcer à la hauteur de 100 000 € eu égard, d’une part, au « contexte économique engendré par la crise sanitaire de la Covid-19, de ses conséquences sur la situation financière [d’Accor] », et d’autre part, aux critères d’évaluation fixés par l’article 83, § 2 du RGPD.

Trois critiques étaient reprochées au projet de décision. Selon l’autorité de contrôle polonaise :

• il manquait des informations sur le chiffre d’affaires pertinent pour la fixation du montant de l’amende ;
• il n’aurait pas dû accorder une réduction de l’amende à la société Accor malgré les pertes subies par l’entreprise pendant la pandémie de Covid-19 ;
• il proposait une amende qui n’était pas dissuasive.

Gestion d'entreprise

La gestion d’entreprise constitue l’essentiel de l’activité d’un dirigeant d’entreprise. Elle fait appel à un grand nombre de notions empruntées de la comptabilité, de la finance (gestion des risques au moyen de la gestion des actifs et des assurances professionnelles), du droit des affaires (statut juridique, contrats commerciaux, fiscalité, cadre réglementaire et légal de l’activité), de la gestion de ressources humaines...

Découvrir tous les contenus liés

Le CEPD retient que l’objection soulevée est pertinente mais partiellement motivée. Sur ce dernier point, il considère que l’autorité polonaise aurait dû expliciter les raisons pour lesquelles les critères portant sur « les dispositions violées et le caractère transfrontalier du traitement » auraient dû être appréciés et mis en balance différemment par la CNIL aux fins de l’évaluation de la gravité des violations. L’objection est tout de même logiquement retenue pour les éléments pour lesquels elle est jugée motivée. En ce sens, le CEPD revient sur les trois critiques érigées par l’autorité polonaise.

Sur le chiffre d’affaires pris en compte par la CNIL au moment d’évaluer le montant de l’amende à prononcer, le CEPD valide l’approche de l’autorité française consistant à inclure dans ce projet de décision un chiffre d’affaires provisoire fondé sur les informations financières les plus récentes disponibles à ce moment-là. Il l’enjoint néanmoins à tenir compte du chiffre d’affaires annuel de l’entreprise correspondant à l’exercice financier précédant la date de sa décision finale, c’est-à-dire le chiffre d’affaires de 2021.

On notera au passage que le CEPD ne tranche pas la question de savoir si le calcul de l’amende doit se faire à la lumière du chiffre d’affaires consolidé de l’ensemble du groupe Accor pour l’exercice 2020 ou le chiffre d’affaires du responsable du traitement, à savoir Accor SA, réalisé en 2019.

Sur la réduction de l’amende retenue par la CNIL, le CEPD décide que l’autorité française aurait dû tenir compte de la situation financière d’Accor sur la base de son chiffre d’affaires pour l’exercice 2021, sans considérer la baisse du chiffre d’affaires due à la pandémie de Covid-19 comme une circonstance atténuante.

EGAlim : vers des négociations commerciales équilibrées avec les agriculteurs

Je télécharge gratuitement

Sur le caractère dissuasif de l’amende, le Comité observe que le montant de l’amende proposé par la CNIL ne représente que 0,02 % du chiffre d’affaires de la société Accor estimé pour 2020. Il en conclut « que ce montant serait considéré comme négligeable dans les circonstances de l’espèce, compte tenu notamment du fait que l’amende a été imposée pour des infractions qualifiées de "substantielles" » par la CNIL. Celle-ci est donc chargée de réexaminer les critères utiles pour évaluer le montant de l’amende à prononcer.

C’est précisément ce qu’elle a fait puisque la société Accor est finalement sanctionnée à hauteur de 600 000 €, dont 100 000 € correspondant aux violations constatées à la réglementation en matière de prospection commerciale (non considérées par le CEPD). Elle justifie ce montant « au regard du contexte économique causé par la crise sanitaire de la Covid-19, de ses conséquences sur la situation financière de la société et des critères pertinents de l’article 83, § 2 du RGPD ». La décision de la CNIL fait en outre l’objet d’une publicité mentionnant le nom de la société Accor pendant 2 ans.