CNIL | SAN-2025-011 | 27 novembre 2025 | Affaire AMERICAN EXPRESS CARTE FRANCE | SAN-2025-011-ESSENTIELS

POINT 1 — Un enregistrement téléphonique capturant la vie privée de l’appelant

Le système d’enregistrement téléphonique du service client d’AECF présentait un paramétrage défaillant qui permettait la captation de paroles à caractère privé sans aucun lien avec les finalités déclarées. L’enregistrement débutait immédiatement après la fin des messages du serveur vocal, avant toute interaction avec un téléconseiller, si bien que les échanges privés de l’appelant avec des tiers présents à ses côtés — dans son domicile, dans un espace partagé — étaient captés « de manière parfaitement claire et intelligible » selon les termes mêmes de la formation restreinte. L’enregistrement se poursuivait également pendant les mises en attente, captant là encore tout ce que le client disait, pensant ne pas être écouté. La formation restreinte a précisé que le manquement est constitué par le paramétrage lui-même, qui rendait cette captation possible, indépendamment de la fréquence effective des conversations privées enregistrées et de l’exploitation ou non de ces données. Cette analyse structurelle est déterminante : ce n’est pas l’usage qui est en cause, mais la vulnérabilité intrinsèque du dispositif au regard des finalités qu’il prétend servir — formation des salariés, contrôle de conformité, traitement des réclamations — auxquelles les segments captés avant ou pendant les mises en attente ne contribuent en rien.

POINT 2 — La minimisation des données comme exigence temporelle

La délibération SAN-2025-011 apporte une contribution doctrinale originale à la jurisprudence de la formation restreinte en matière de minimisation des données : elle décline ce principe selon une dimension temporelle. Le principe de minimisation, posé à l’article 5, paragraphe 1, c) du RGPD, n’exige pas seulement que les données collectées soient de la bonne nature et en quantité proportionnée ; il exige également qu’elles soient collectées aux bons moments, c’est-à-dire aux seuls instants où leur captation est nécessaire aux finalités poursuivies. Dans le contexte de l’enregistrement téléphonique, cela signifie concrètement que l’enregistrement doit se déclencher à la prise en main effective de l’appel par le téléconseiller et se suspendre pendant les mises en attente, car seuls ces segments temporels sont pertinents au regard des finalités de formation et de contrôle de conformité. Cette conception temporelle de la minimisation impose aux responsables de traitement une vigilance spécifique sur le paramétrage de leurs outils d’enregistrement automatique et sur la vérification régulière que ces mécanismes de déclenchement et de suspension fonctionnent correctement. Elle vient enrichir une jurisprudence déjà étoffée — SAN-2020-003, SAN-2023-008, SAN-2024-014 — et constitue un standard applicable à toute organisation utilisant des systèmes d’enregistrement téléphonique dans le cadre de relations clients.

POINT 3 — Un triptyque de violations du régime des traceurs couvrant l’intégralité du cycle du consentement

Les trois manquements à l’article 82 de la loi Informatique et Libertés retenus contre AECF forment un triptyque exhaustif qui illustre les trois dimensions temporelles du consentement : le dépôt avant toute expression de choix (violation du consentement préalable), le dépôt malgré le refus exprimé (violation du respect du refus), et la lecture de traceurs déjà déposés malgré le retrait du consentement (violation de l’effectivité du retrait). Ce triptyque traduit une défaillance systémique de l’architecture de gestion des cookies du site www.americanexpress.com/fr-fr, qui touchait à chacune des étapes du parcours de consentement de l’utilisateur. La CNIL a également apporté une précision technique importante sur le troisième manquement : un cookie présent sur le navigateur de l’utilisateur est systématiquement envoyé — et donc lu — dans chaque requête vers les domaines auxquels il est associé, ce qui signifie que la simple présence du traceur sur le navigateur après retrait du consentement constitue une opération de lecture continue et automatique, sans qu’il soit nécessaire de démontrer un acte délibéré de lecture de la part du responsable de traitement. Cette précision est fondamentale pour les développeurs web et les DPO, car elle impose de s’assurer que les traceurs sont effectivement supprimés du terminal lors du retrait du consentement, et non seulement « désactivés » côté serveur.

POINT 4 — La solidité de la doctrine probatoire en procédure de sanction

La délibération SAN-2025-011 livre une clarification procédurale d’importance sur les règles d’administration de la preuve dans les procédures de sanction menées devant la CNIL. La société AECF avait contesté, d’une part, la recevabilité d’un enregistrement téléphonique produit par le rapporteur dans sa réponse aux premières observations en défense, et d’autre part, la recevabilité d’un second contrôle en ligne diligenté a posteriori pour documenter les opérations de lecture de cookies. La formation restreinte a fermement rejeté ces deux contestations en posant un principe clair : il est loisible au rapporteur, comme à l’organisme mis en cause, de produire toute pièce utile à l’établissement des faits en cause « au cours de l’instruction et jusqu’à sa clôture ». Le rapport initial ne constitue pas une photographie figée des manquements reprochés, et l’instruction peut être complétée en réponse aux arguments du mis en cause, à condition que le principe du contradictoire soit assuré — ce qui était le cas en l’espèce, la société ayant pu se défendre sur chacune des pièces litigieuses dans le cadre de ses observations successives. Cette décision consolide la robustesse procédurale de la CNIL face aux stratégies de défense fondées sur des arguments techniques de recevabilité des preuves, tout en confirmant que les droits de la défense — notamment le droit à ne pas s’auto-incriminer et le principe d’égalité des armes — sont pleinement respectés dès lors que le contradictoire est effectif.

POINT 5 — Une coopération européenne unanime sur fond de mise en conformité partielle

La délibération SAN-2025-011 s’inscrit dans le cadre du mécanisme de guichet unique, avec l’implication de vingt-sept autorités nationales de protection des données de l’Union européenne et de l’Espace économique européen. Aucune de ces autorités n’a formulé d’objection pertinente et motivée à l’égard du projet de décision transmis le 16 octobre 2025, de sorte qu’elles sont réputées avoir approuvé la décision. Cette unanimité de vingt-sept régulateurs nationaux aux sensibilités parfois divergentes témoigne de la solidité des analyses de la CNIL et de la clarté des manquements constatés. Par ailleurs, la formation restreinte a expressément pris en compte le fait que la société s’était mise en conformité au cours de la procédure, tant en matière d’enregistrement téléphonique qu’en matière de traceurs. Cette mise en conformité, si elle ne fait pas disparaître les manquements passés, constitue un élément pris en compte dans l’appréciation globale de la situation et reflète la finalité que la CNIL assigne à ses procédures de sanction : non pas punir pour punir, mais obtenir et consolider la conformité effective des pratiques des responsables de traitement à l’égard des droits des personnes concernées.

POINTS ESSENTIELS