La CNIL a infligé une amende de 600 000 euros à ACCOR SA. La CNIL et d'autres autorités de protection des données européennes avaient reçu des plaintes contre ACCOR de la part de plusieurs personnes. Au cours de son enquête, la CNIL a constaté que les clients de l'hôtel qui avaient effectué une réservation directement auprès de l'hôtel ou sur l'un des sites Web du groupe hôtelier devenaient automatiquement destinataires d'une newsletter publicitaire car la case de consentement à la réception de la newsletter était pré-cochée. En outre, la CNIL a constaté qu'en raison de problèmes techniques, de nombreuses personnes n'étaient pas en mesure de refuser de recevoir les e-mails promotionnels. Dans ce contexte, la CNIL a estimé qu'ACCOR n'avait pas suffisamment informé les personnes concernées du traitement de leurs données personnelles dans le cadre de messages promotionnels et avait ainsi violé l'art. 12 et l'art. 13 du RGPD. En outre, ACCOR n'avait pas répondu aux demandes d'accès aux données personnelles des personnes concernées en temps utile, et la CNIL a donc constaté une violation de l'art. 12 et de l'art. 15 du RGPD. L'entreprise n'a pas non plus respecté le droit d'opposition des personnes concernées en raison des problèmes techniques. La CNIL a donc constaté une violation de l'art. 12 et de l'art. 21 du RGPD. Enfin, la CNIL a constaté une violation de l'art. 32 du RGPD car ACCOR autorisait l'utilisation de mots de passe qui n'étaient pas suffisamment sécurisés. En imposant l'amende, la CNIL a considéré de manière aggravante que les violations affectaient plusieurs principes fondamentaux de la protection des données personnelles et constituaient une atteinte fondamentale aux droits des personnes concernées, ainsi qu'au nombre de personnes concernées.