CNIL | SAN-2025-011 | 27 novembre 2025 | Affaire AMERICAN EXPRESS CARTE FRANCE | MANQUEMENTS

LE MANQUEMENT À L’ARTICLE 82 DE LA LOI INFORMATIQUE ET LIBERTÉS — DÉPÔT ET LECTURE DE COOKIES SANS CONSENTEMENT

---

A. LE CADRE JURIDIQUE APPLICABLE

 

L’article 82 de la loi n° 78-17 du 6 janvier 1978 modifiée dispose, en ses alinéas 1 et 2, que :

« tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, sauf s’il l’a été au préalable, par le responsable du traitement ou son représentant : 1° De la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ; 2° Des moyens dont il dispose pour s’y opposer. Ces accès ou inscriptions ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement qui peut résulter de paramètres appropriés de son logiciel de navigation ou de tout autre dispositif placé sous son contrôle. »

La formation restreinte rappelle, en application d’une jurisprudence fermement établie depuis la délibération SAN-2021-013 du 27 juillet 2021 relative au Figaro, que cette disposition « s’applique à tout mécanisme permettant de stocker des informations ou d’accéder à des informations stockées dans l’équipement terminal d’un utilisateur » et qu’elle « conditionne le dépôt de cookies au consentement de l’abonné ou de l’utilisateur », tout en « offrant nécessairement, de manière corrélative, le droit à l’intéressé de retirer son consentement » (CNIL, SAN-2023-024, 29 décembre 2023, Yahoo).

---

B. PREMIER VOLET : LE DÉPÔT DE COOKIES AVANT TOUTE ACTION DE L’UTILISATEUR

 

1. La motivation de la CNIL

Lors du contrôle en ligne du 30 janvier 2023, la délégation a constaté que « trente-et-un cookies étaient déposés sur le terminal de l’utilisateur dès l’ouverture de la page d’accueil du site web www.americanexpress.com/fr-fr, sans action préalable de sa part ». Parmi ces trente-et-un cookies, vingt-trois bénéficiaient de l’exemption prévue par la délibération de la CNIL du 17 septembre 2020 (cookies de session, de sécurité, strictement nécessaires). Huit ne bénéficiaient pas de cette exemption, soit que leur finalité était marketing — cookies demdex, AMCVS5C36123F5245AF470A490D4540AdobeOrg, AMCV5C36123F5245AF470A490D4540AdobeOrg (domaine .demdex.net et .americanexpress.com) et TS0139a03f (domaine gct.americanexpress.com) — soit que leur finalité relevait de la mesure de performance ou d’optimisation — cookies mmapi.p.pd, mmapi.p.bid, mmapi.p.srv et mmapi.p.uat (domaine mmapi.americanexpress.com).

La formation restreinte retient le manquement sur ce volet en des termes dépourvus d’ambiguïté : « Le manquement aux dispositions de l’article 82 est donc bien constitué s’agissant du dépôt de ces cookies avant toute action de l’utilisateur ».

2. La défense d’AECF

AECF ne conteste pas les faits sur ce volet et justifie d’une mise en conformité opérée au cours de l’instruction. Elle fait toutefois valoir que « le nombre de cookies déposés sans consentement est passé de trente-et-un lors du contrôle du 30 janvier 2023 à dix-sept lors du second contrôle du 16 mai 2025, dont quinze cookies exemptés », et que « les deux cookies restants [font] l’objet d’une mise en conformité ». La formation restreinte prend acte de ces efforts de mise en conformité, mais confirme sans réserve que le manquement passé demeure constitué.

---

---

C. DEUXIÈME VOLET : LE DÉPÔT DE COOKIES MALGRÉ LE REFUS EXPRIMÉ

 

1. La motivation de la CNIL

Le second contrôle en ligne du 16 mai 2025, diligenté à la demande du rapporteur, a révélé que, « en dépit du refus du dépôt de traceurs non essentiels exprimé par l’utilisateur sur le site www.americanexpress.com/fr-fr, la navigation conduisait au dépôt de trois cookies sur le terminal du navigateur ». Ces trois cookies — issus du domaine email.amex-info.fr — étaient déposés via l’URL http://email.amex-info.fr/demande-generique?elqCampaignId=65&inavfrmenucardspccards, ouverte dans un nouvel onglet lors d’un clic sur le bouton « obtenir plus d’infos » dans la rubrique de présentation des cartes American Express. Ces trois cookies présentaient une finalité marketing avérée.

La formation restreinte considère que « ces cookies, dont la finalité est marketing, ont été déposés sur le terminal de l’utilisateur, malgré le refus préalablement exprimé par ce dernier sur le site www.americanexpress.com/fr-fr », et retient le manquement sans réserve.

2. La défense d’AECF

AECF ne conteste pas le manquement sur ce volet et justifie d’une correction apportée en cours de procédure. Elle précise qu’elle « fournit désormais aux personnes concernées des moyens effectifs leur permettant de refuser toute action tendant à accéder à des informations déjà stockées dans leur équipement terminal » lors de la navigation vers ce domaine tiers. La formation restreinte prend acte de la mise en conformité sans en déduire une quelconque exonération pour le passé.

---

---

D. TROISIÈME VOLET : LA LECTURE DE COOKIES APRÈS RETRAIT DU CONSENTEMENT

 

1. La motivation de la CNIL — une démonstration technique d’une densité jurisprudentielle inédite

C’est sur ce troisième volet que la délibération déploie son apport doctrinal le plus substantiel. La formation restreinte procède à une démonstration technique en trois temps, articulée autour du comportement normalisé des navigateurs tel que défini par la RFC 6265.

Premier temps — La mécanique de lecture automatique des cookies. La formation restreinte affirme que « lors de la navigation d’un utilisateur sur un site web, les cookies présents sur son terminal sont systématiquement envoyés à travers des requêtes vers les domaines auxquels ils sont associés, autrement dit sont systématiquement lus ». Elle précise que « le cookie dtCookie, dont le domaine est .americanexpress.com, sera contenu dans toutes les requêtes destinées au domaine americanexpress.com et à tous ses sous-domaines » conformément à la RFC 6265. Ainsi, « la seule présence de cookies sur le navigateur de l’internaute, mise en évidence par le premier contrôle, permettait de retenir ce manquement ».

Deuxième temps — La démonstration par fichier HAR. Le second contrôle du 16 mai 2025 a permis de produire un fichier HAR « démontrant que les cookies précédemment déposés ont continué à être envoyés à travers des requêtes vers le domaine .americanexpress.com et le sous-domaine www.americanexpress.com, après retrait du consentement ».

Troisième temps — La solution de mise en conformité. La formation restreinte relève qu’AECF a procédé à une « modification de la durée de vie des cookies pour indiquer qu’ils sont expirés et qu’ils disparaissent du domaine americanexpress.com après le retrait du consentement d’un utilisateur », et que cette solution est conforme aux préconisations de la recommandation de la CNIL du 17 septembre 2020, laquelle indique que « pour que le retrait du consentement soit effectif, il peut être nécessaire de mettre en place des solutions spécifiques pour garantir l’absence de lecture ou d’écriture des traceurs précédemment utilisés ».

Le manquement est retenu pour le passé, nonobstant la mise en conformité postérieure.

2. La défense d’AECF

AECF invoquait que « l’ineffectivité du retrait du consentement » ne saurait être retenu car « les informations contenues dans les cookies qui continuent d’être envoyés après le retrait du consentement ne sont pas exploitées par la société » et « ont vocation à être supprimées à l’issue d’un délai de soixante jours ». La société faisait également valoir qu’elle « n’avait pas connaissance de cette problématique et que la CNIL ne l’avait jamais communiquée dans ses publications ».

La formation restreinte écarte ces arguments avec constance. Sur l’absence d’exploitation, elle rappelle que le manquement à l’article 82 est constitué « indépendamment de toute exploitation commerciale des données ». Sur la prétendue ignorance, elle se réfère à la recommandation du 17 septembre 2020 — largement diffusée et opposable à tout responsable de traitement — qui avait expressément identifié la problématique.

---

LE MANQUEMENT À L’ARTICLE 5-1-C DU RGPD — PRINCIPE DE MINIMISATION ET ENREGISTREMENT TÉLÉPHONIQUE

---

A. LE CADRE JURIDIQUE ET LA JURISPRUDENCE ANTÉRIEURE

 

L’article 5-1-c du RGPD dispose que les données à caractère personnel doivent être :

« adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) ».

La formation restreinte rappelle que « l’appréciation du respect du principe de minimisation des données repose sur la stricte adéquation entre les données collectées et les raisons présidant à leur collecte » (CNIL, SAN-2023-013, 18 septembre 2023). Elle s’appuie en particulier sur sa décision SAN-2020-003 du 28 juillet 2020, dans laquelle elle avait déjà jugé qu’« un responsable de traitement ne peut mettre en place un traitement de données à caractère personnel sans s’assurer que celui-ci est nécessaire à ses besoins, a fortiori lorsqu’il repose sur un dispositif particulièrement intrusif », ainsi que sur ses délibérations SAN-2023-008 du 8 juin 2023 et SAN-2024-014 du 26 septembre 2024 (COSMOSPACE), ayant censuré l’enregistrement systématique d’appels au motif que « dès lors que le contrôle de la qualité du service peut être réalisé par l’enregistrement d’un échantillon de conversations téléphoniques, […] l’instauration d’un dispositif d’enregistrement systématique […] est excessive au regard de la finalité poursuivie ».

La formation restreinte va plus loin dans la délibération AMERICAN EXPRESS : elle n’interroge pas seulement le volume ou la systématicité des enregistrements, mais la délimitation temporelle précise des segments enregistrés au regard des finalités déclarées.

---

B. LA MOTIVATION DE LA CNIL — DEUX SOUS-MANQUEMENTS DISTINCTS

 

1. L’enregistrement avant la mise en relation avec le téléconseiller

Le rapporteur a établi que « lorsque des personnes contactent par téléphone le service client d’AECF, l’enregistrement de la conversation débute dès la fin des mentions d’information délivrées par le serveur vocal, avant même la mise en relation avec un téléconseiller ». L’enregistrement illustratif figurant en pièce n° 25 du rapport permettait d’entendre « de manière parfaitement claire et intelligible les échanges privés entre un client et un tiers avant la mise en relation avec le téléconseiller ». La formation restreinte considère que « des paroles à caractère privé prononcées par l’appelant et potentiellement par des tiers se trouvant à proximité du téléphone sont dès lors susceptibles d’être enregistrées », et que « ces parties des enregistrements n’apparaissent ni adéquates, ni pertinentes, ni limitées à ce qui est nécessaire à la poursuite des finalités déclarées » — à savoir la formation des salariés, le contrôle de la conformité et le traitement des réclamations. Il est « indifférent que les conversations privées enregistrées ne fassent l’objet d’aucune exploitation », dès lors que le paramétrage de l’outil permet leur captation.

La formation restreinte note en outre que l’enregistrement joint en pièce n° 25 « permet d’entendre, de manière parfaitement claire et intelligible, les échanges privés entre un client et un tiers avant la mise en relation avec le téléconseiller », et que l’absence de paroles privées dans les dix autres enregistrements transmis par la société « ne résulte que des aléas de l’échantillonnage réalisé et n’est pas de nature remettre en cause la caractérisation du manquement ».

2. L’enregistrement pendant la mise en attente

Le rapporteur établit que l’enregistrement « n’est pas interrompu lorsque l’appelant est mis en attente par un téléconseiller au cours de l’appel ». La preuve en est apportée par l’enregistrement du 26 janvier 2023 à 15h41, joint en pièce n° 1 du rapport, dans lequel « le disque d’attente diffusé est parfaitement audible ». La formation restreinte retient que le paramétrage de l’outil permettait, lors d’une mise en attente, la captation de paroles prononcées par l’appelant « sans lien avec les finalités poursuivies », nonobstant l’absence de paroles privées dans l’enregistrement précis invoqué.

3. L’irréductibilité du manquement à son exploitation effective

La formation restreinte affirme avec force que « l’enregistrement de conversations téléphoniques, qui implique une collecte de la voix couplée à d’autres éléments tels que le numéro de téléphone de la personne concernée, constitue un traitement de données à caractère personnel, et ce indépendamment du contenu des paroles prononcées ». Cette affirmation est décisive : même si aucune donnée identifiante n’est prononcée pendant le segment enregistré, le traitement existe dès lors que la voix est capturée. En outre, le manquement « reste constitué pour le passé en dépit des modifications apportées par la société à son système d’enregistrement des appels » au cours de la procédure.

---

C. LA DÉFENSE D’AECF ET SON REJET

 

AECF articulait sa défense sur plusieurs arguments :

1., la société faisait valoir que le grief « ne saurait concerner les enregistrements réalisés à des fins de preuve de la conclusion d’un contrat d’assurance », ceux-ci faisant l’objet d’une procédure distincte. La formation restreinte prend acte de cette délimitation sans en tirer de conséquence sur la constitution du manquement.

2., AECF contestait la portée probatoire de l’enregistrement en pièce n° 25, estimant que « la partie litigieuse se limite à 14 secondes et est inintelligible », et qu’il « ne peut être établi qu’elle comporterait des données à caractère personnel ». La formation restreinte écarte cet argument en soulignant que l’enregistrement permet d’entendre les échanges « de manière parfaitement claire et intelligible », et que la qualification de données à caractère personnel « est indépendant[e] du contenu des paroles prononcées » dès lors que la voix et le numéro de téléphone sont capturés.

3., AECF invoquait sa « bonne foi » et faisait valoir que « la difficulté ne lui avait pas été signalée dans le cadre de ses précédents échanges avec la CNIL dans le cadre de sa mission d’accompagnement » et que « la CNIL n’avait jamais, dans ses publications, précisé que l’enregistrement des appels devait commencer après que l’appelant a été mis en relation avec l’agent ». La formation restreinte écarte cet argument, rappelant que les décisions SAN-2020-003, SAN-2023-008 et SAN-2024-014 avaient déjà clairement posé le principe — invocable par tout responsable de traitement diligent — selon lequel le dispositif d’enregistrement doit être strictement limité à ce qui est nécessaire aux finalités déclarées.

---

DÉTERMINATION DE LA SANCTION

---

A. SUR LA DÉCISION CONSTITUTIONNELLE QPC DU 8 AOÛT 2025

 

La formation restreinte prend acte de la décision n° 2025-1154 QPC du 8 août 2025 du Conseil constitutionnel, visée dans les visas de la délibération, sans en développer les implications procédurales dans le corps de la délibération. Cette décision, dont le contenu précis n’est pas reproduit dans les sources disponibles, a manifestement conduit la CNIL à viser expressément son règlement intérieur et les décrets d’application de la loi Informatique et Libertés dans l’entête de la décision.

---

B. SUR LA DÉTERMINATION DU MONTANT DE L’AMENDE

 

La formation restreinte prononce une amende administrative d’un million cinq cent mille euros (1 500 000 €) sur le fondement de l’article 83 du RGPD, en prenant en considération les critères suivants :

La nature, la gravité et la durée des manquements. La formation restreinte retient le « nombre important de personnes concernées » — plus de 848 000 clients — et la « nature transfrontalière des traitements », lesquels impliquent des personnes résidant dans vingt-sept États membres. Elle note que les manquements relatifs à l’article 82 ont « perduré au moins depuis janvier 2023 jusqu’à leur mise en conformité postérieure au rapport ».

La coopération de la société. La formation restreinte tient compte du fait que la société « a procédé à des mises en conformité en cours de procédure, pour l’ensemble des manquements », ce qui est considéré comme « une circonstance atténuante ».

La situation financière. La formation restreinte tient compte du produit net bancaire de la société, de 505 949 462,84 euros en 2024, et d’un résultat net de 23 465 049,59 euros pour la même année.

---

DISPOSITIF INTÉGRAL DE LA DÉLIBÉRATION

« PAR CES MOTIFS,

La formation restreinte de la CNIL, après en avoir délibéré, décide de :

– prononcer à l’encontre de la société AMERICAN EXPRESS CARTE FRANCE une amende administrative d’un montant de 1 500 000 (un million cinq cent mille) euros ;

– rendre publique, sur le site de la CNIL et sur le site de Légifrance, sa délibération, qui n’identifiera plus nommément la société à l’expiration d’un délai de deux ans à compter de sa publication.

Cette décision peut faire l’objet d’un recours devant le Conseil d’État dans un délai de quatre mois à compter de sa notification. »

---

CONTEXTUALISATION AU REGARD DE LA JURISPRUDENCE ANTÉRIEURE ET POSTÉRIEURE DE LA CNIL

La délibération SAN-2025-011 s’inscrit dans un mouvement jurisprudentiel cohérent et progressif de la CNIL en matière de protection des données dans le secteur des services financiers numériques, tout en enrichissant substantiellement le corpus doctrinal sur deux axes.

Sur l’article 82, la décision AMERICAN EXPRESS constitue une étape dans la construction d’une jurisprudence toujours plus exigeante quant à l’effectivité des mécanismes de consentement. L’apport spécifique de cette délibération réside dans la dimension téchnique de la preuve de la lecture, par la production d’un fichier HAR démontrant la persistance des opérations de lecture après retrait du consentement. Cette avancée probatoire avait été amorcée dans les décisions relatives à ORANGE SA (SAN-2024-019, 14 novembre 2024 — 50 M€), dans laquelle la CNIL avait constaté que « lorsque les utilisateurs du site orange.fr retiraient leur consentement, les cookies continuaient à être lus ». La décision AMERICAN EXPRESS va cependant plus loin en explicitant le mécanisme technique sous-jacent — la RFC 6265 — et en créant une présomption de lecture automatique opposable à tout responsable de traitement. Les décisions SAN-2025-010 (Condé Nast, 750 000 €) et SAN-2025-017 (INTERSPORTS, 3,5 M€), toutes deux postérieures d’un mois ou deux, attestent que la CNIL entend poursuivre cette politique de contrôle systématique des opérations sur les cookies dans leur dimension la plus technique.

Sur l’article 5-1-c, la jurisprudence de la CNIL en matière d’enregistrement téléphonique s’est construite en couches successives. La délibération SAN-2020-003 avait posé le principe que l’enregistrement intégral et systématique des appels est excessif au regard des finalités de formation. Les décisions SAN-2023-008 et SAN-2024-014 avaient confirmé ce principe. AMERICAN EXPRESS enrichit cette jurisprudence en y ajoutant la dimension temporelle : non seulement le volume des enregistrements doit être proportionné, mais les bornes temporelles de chaque enregistrement doivent être rigoureusement calées sur les finalités déclarées. Cette exigence, combinée avec la position sur l’irréductibilité du manquement à son exploitation effective, constitue désormais le standard auquel tout responsable de traitement exploitant un service client téléphonique devra se conformer.

---

 
 
 

---

POINTS ESSENTIELS

---

La délibération SAN-2025-011 du 27 novembre 2025, par laquelle la formation restreinte de la CNIL a infligé à la société AMERICAN EXPRESS CARTE FRANCE une amende administrative de 1 500 000 euros, constitue un arrêt de référence à double titre : elle enrichit substantiellement la jurisprudence en matière de cookies par une démonstration technique inédite fondée sur la RFC 6265 et le recours au fichier HAR comme outil de preuve de la lecture automatique des traceurs, et elle étend le principe de minimisation des données à la délimitation temporelle précise des enregistrements téléphoniques, au-delà de la seule question de leur volumétrie. Les manquements retenus s’articulent en cinq griefs distincts, répartis entre l’article 82 de la loi Informatique et Libertés et l’article 5-1-c du RGPD : dépôt de huit cookies non essentiels dès l’ouverture du site avant toute action de l’utilisateur ; dépôt de trois cookies marketing malgré le refus exprimé, via un domaine tiers accessible par un simple clic ; lecture persistante des cookies après retrait du consentement, en raison de la mécanique automatique d’envoi des cookies avec chaque requête HTTP — lecture établie par fichier HAR lors du second contrôle du 16 mai 2025 ; enregistrement des appels téléphoniques débutant avant la mise en relation avec un téléconseiller, captant des échanges privés sans lien avec les finalités déclarées — établi par un enregistrement comportant des paroles « parfaitement claires et intelligibles » ; absence d’interruption de l’enregistrement pendant les mises en attente. Sur le plan procédural, la délibération consolide la doctrine de la formation restreinte sur la liberté probatoire en cours d’instruction : un contrôle complémentaire diligenté par le rapporteur postérieurement au rapport initial est recevable dès lors qu’il illustre un grief préexistant et que le contradictoire est respecté — position directement fondée sur l’article 39 du décret du 29 mai 2019. La formation restreinte adopte en outre une conception structurelle — et non individualiste — des manquements au principe de minimisation, considérant qu’il est « indifférent que les conversations privées enregistrées ne fassent l’objet d’aucune exploitation » dès lors que le paramétrage de l’outil le permet ; de même, la présence d’un cookie sur le terminal après retrait du consentement suffit à caractériser une opération de lecture illicite, sans qu’il soit nécessaire de démontrer une exploitation commerciale effective. La sanction d’un million cinq cent mille euros, rendue dans le cadre du mécanisme de guichet unique impliquant vingt-sept autorités de contrôle européennes — aucune n’ayant formulé d’objection — tient compte de l’ampleur de la clientèle concernée (848 000 clients), de la nature transfrontalière des traitements, de la durée des manquements relatifs aux cookies (depuis janvier 2023) et, en atténuation, des mises en conformité progressivement opérées par la société en cours de procédure ; elle s’inscrit dans le corpus de décisions de l’année 2025 affirmant la détermination de la CNIL à contrôler non seulement l’existence d’un bandeau cookies, mais l’effectivité technique réelle de chacune de ses composantes — consentement préalable, étanchéité du refus sur l’ensemble du parcours de navigation, et invalidation immédiate des traceurs au retrait du consentement — faisant ainsi de la configuration des systèmes numériques, et non de leur seule interface visible, le terrain premier de la conformité.