CNIL | SAN-2025-011 | 27 NOVEMBRE 2025 | AFFAIRE AMERICAN EXPRESS CARTE FRANCE |
LA CNIL SANCTIONNE AMEX POUR AVOIR CAPTÉ DES CONVERSATIONS PRIVÉES AVANT MÊME LA MISE EN RELATION AVEC UN CONSEILLER.
ANALYSE CRITIQUE MANQUEMENTS FAQ CONSEILS
I.
Le cadre factuel : une double exposition aux manquements
La société AMERICAN EXPRESS CARTE FRANCE (ci-après « AECF » ou « la société »), filiale française d’AMERICAN EXPRESS COMPANY dont le siège est établi aux États-Unis, est le seul établissement de paiement du groupe implanté sur le territoire français. Elle distribue des cartes de paiement à débit différé via son site web www.americanexpress.com/fr-fr et par l’intermédiaire de banques tierces. À la date des contrôles, la société comptait environ 836 879 clients établis au sein de l’Union européenne, dont 831 443 résidant en France, chiffre porté à 848 000 au 31 décembre 2024. Outre le marché français, des entités distinctes du groupe assurent la distribution des produits American Express dans les autres États membres de l’Union européenne, ce qui explique que vingt-sept autorités de contrôle européennes ont été impliquées dans la procédure de coopération au titre du mécanisme de guichet unique.
L’attention de la CNIL a été attirée sur les traitements mis en œuvre par AECF à une date antérieure aux contrôles formels. Une délégation s’est rendue au siège de la société les 26 et 27 janvier 2023, dans le cadre d’une mission de contrôle sur place destinée à vérifier le respect des dispositions de la loi n° 78-17 du 6 janvier 1978 modifiée et du RGPD. Ce contrôle a été immédiatement suivi d’un contrôle en ligne, réalisé le 30 janvier 2023 à partir du site web www.americanexpress.com/fr-fr. La société a ensuite transmis, entre février et juillet 2023, plusieurs séries d’éléments complémentaires à la délégation.
Ces opérations de contrôle ont permis d’identifier deux catégories de manquements distincts et autonomes, relevant de régimes juridiques différents : d’une part, un manquement au principe de minimisation des données posé par l’article 5, paragraphe 1, c) du RGPD, relatif au paramétrage du dispositif d’enregistrement des appels téléphoniques ; d’autre part, trois types de manquements aux obligations régissant les traceurs, prévues par l’article 82 de la loi Informatique et Libertés, portant sur le dépôt de traceurs sans consentement, le dépôt de traceurs malgré le refus de l’utilisateur, et la lecture de traceurs malgré le retrait du consentement.
II.
La dimension européenne du dossier : guichet unique et coopération
La procédure SAN-2025-011 présente une dimension institutionnelle notable au regard du mécanisme de coopération européenne prévu par les articles 56 et 60 du RGPD. La CNIL a, le 27 novembre 2024, informé l’ensemble des autorités de contrôle européennes de sa compétence pour agir en qualité d’autorité de contrôle cheffe de file, au motif que l’établissement principal de la société se trouve en France. Vingt-sept autorités nationales de protection des données — allemande, autrichienne, belge, bulgare, chypriote, croate, danoise, espagnole, estonienne, finlandaise, grecque, hongroise, irlandaise, italienne, lettonne, lituanienne, luxembourgeoise, maltaise, néerlandaise, norvégienne, polonaise, portugaise, tchèque, roumaine, slovaque, slovène et suédoise — ont été identifiées comme autorités concernées, des personnes résidant dans ces États membres étant porteuses de cartes émises par AECF.
Conformément à l’article 60, paragraphe 3 du RGPD, le projet de décision adopté par la formation restreinte a été transmis aux autorités concernées le 16 octobre 2025. Au 14 novembre 2025, aucune d’elles n’avait formulé d’objection pertinente et motivée, de sorte qu’en application de l’article 60, paragraphe 6 du RGPD, elles sont réputées avoir approuvé le projet de décision. Cette approbation tacite unanime est significative : elle traduit la convergence de l’ensemble des autorités européennes concernées sur l’analyse des manquements retenus, et conforte l’autorité de la décision dans l’espace commun de protection des données.
Cette configuration multipartite a nécessairement influencé la conduite de la procédure. La CNIL a dû articuler son instruction nationale avec ses obligations de coopération, informer ses homologues, recueillir leurs positions et s’assurer de l’absence d’objections. Le fait qu’aucune autorité n’ait contesté le projet de décision démontre que les manquements identifiés — et notamment leur qualification juridique — étaient suffisamment établis et documentés pour emporter l’adhésion de vingt-sept régulateurs nationaux aux sensibilités et pratiques parfois divergentes.
III.
Le premier manquement : la minimisation des données dans l’enregistrement téléphonique
A. Le cadre normatif applicable
L’article 5, paragraphe 1, c) du RGPD impose que les données à caractère personnel soient « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ». Ce principe de minimisation, qui constitue l’un des piliers architecturaux du régime général de protection des données, exige du responsable de traitement qu’il procède à un examen rigoureux de l’adéquation entre les données effectivement collectées et les objectifs légitimes qu’il poursuit. Il ne suffit pas que des données soient utiles, ou qu’elles puissent servir à une finalité déclarée : encore faut-il qu’elles soient nécessaires à cette finalité, c’est-à-dire qu’aucun moyen moins intrusif ne permette d’atteindre le même objectif avec le même degré d’efficacité.
En matière d’enregistrement des appels téléphoniques, la formation restreinte a, dès la délibération SAN-2020-003 du 28 juillet 2020, posé le principe selon lequel un responsable de traitement ne saurait instaurer un dispositif d’enregistrement systématique des appels sans justifier de sa nécessité au regard des finalités déclarées. Elle a réaffirmé cette position dans les délibérations SAN-2023-008 du 8 juin 2023 et SAN-2024-014 du 26 septembre 2024, en précisant que l’enregistrement systématique est excessif lorsque la finalité de contrôle de la qualité du service peut être atteinte par l’enregistrement d’un échantillon de conversations. Le principe de minimisation impose ainsi deux niveaux d’analyse distincts : premièrement, la proportion des appels enregistrés doit être ajustée à ce qui est strictement nécessaire aux finalités poursuivies ; deuxièmement, l’objet même des enregistrements — c’est-à-dire les segments temporels effectivement capturés — doit répondre à la même exigence.
B. Le constat factuel : deux paramétrage défaillants
Le système d’enregistrement mis en place par AECF présentait deux anomalies cumulatives, toutes deux identifiées lors du contrôle sur place des 26 et 27 janvier 2023.
La première anomalie concernait le déclenchement de l’enregistrement avant la mise en relation avec un téléconseiller. Il était constant, et non contesté par la société, que l’enregistrement débutait immédiatement après la diffusion du message d’accueil et d’information du serveur vocal, avant que l’appelant ne soit mis en contact avec un agent. La formation restreinte a confirmé ce fait par la pièce n° 25 annexée au rapport initial du 10 avril 2025, qui permettait « d’entendre de manière parfaitement claire et intelligible les échanges privés entre un client et un tiers avant la mise en relation avec le téléconseiller ». Le rapporteur avait produit cet enregistrement en réponse aux premières observations de la société, laquelle contestait l’insuffisance des preuves. La formation restreinte a jugé que cet enregistrement était recevable, au motif qu’il avait été transmis à la délégation par la société elle-même et que celle-ci en avait donc parfaitement connaissance avant même la notification du rapport.
La seconde anomalie concernait la poursuite de l’enregistrement lorsque l’appelant est mis en attente par le téléconseiller au cours de l’appel. La société avait contesté ce fait dans ses premières observations en défense, estimant que le rapporteur n’en rapportait pas la preuve. La formation restreinte a retenu que ce fait était établi par l’enregistrement du 26 janvier 2023 à 15h41, qui rendait « parfaitement audible le disque d’attente diffusé ». Elle a précisé que, même si aucune parole privée n’était prononcée dans cet enregistrement, le paramétrage de l’outil permettait néanmoins cette captation, ce qui suffisait à caractériser le manquement.
C. La portée juridique de la qualification retenue
La formation restreinte a fondé sa qualification sur trois analyses convergentes.
En premier lieu, elle a réaffirmé que l’enregistrement de conversations téléphoniques constitue un traitement de données à caractère personnel indépendamment du contenu des paroles prononcées, dès lors que la collecte de la voix est couplée à d’autres éléments tels que le numéro de téléphone de la personne concernée. Cette position, déjà établie dans sa jurisprudence antérieure, est d’une importance considérable : elle signifie que le responsable de traitement ne peut pas se prévaloir de l’absence de contenu sensible dans un enregistrement pour nier l’existence d’un traitement de données. La qualification ne dépend pas de ce qui est dit, mais du fait même que la voix est captée et associée à une identité.
En deuxième lieu, la formation restreinte a écarté l’argument de la société selon lequel le manquement serait marginal au regard du nombre d’enregistrements concernés et de l’absence d’exploitation des segments litigieux. Elle a jugé indifférent que les conversations privées enregistrées ne fassent l’objet d’aucune exploitation et que la majorité des appelants n’entretiennent pas de telles conversations pendant l’appel, dès lors que le paramétrage de l’outil « permettait cette captation » sans qu’elle présente de lien avec les finalités poursuivies. Cette analyse est fondée sur une lecture structurelle du principe de minimisation : ce n’est pas l’exploitation effective des données qui détermine la licéité de leur collecte, mais la nécessité intrinsèque de cette collecte au regard des finalités déclarées. Un système qui rend possible la captation de conversations privées sans que cette captation soit nécessaire aux finalités déclarées est constitutif d’un manquement, que ces données soient exploitées ou non.
En troisième lieu, la formation restreinte a constaté que ces enregistrements réalisés « en dehors des temps d’interaction entre le client et le téléconseiller » ne répondaient à aucune des trois finalités poursuivies par la société — formation et amélioration de la performance des salariés, contrôle de la conformité, traitement marginal des réclamations. Ces données n’étaient donc « ni nécessaires, ni adéquates, ni pertinentes » au regard des finalités déclarées, ce qui constituait le manquement.
D. La défense de la société et sa réfutation
AECF avait articulé sa défense autour de plusieurs arguments : le caractère limité des enregistrements concernés (un seul enregistrement sur 32 invoqué par le rapporteur, portant sur une durée de 14 secondes), l’inaudibilité de cet enregistrement (contestation de son caractère intelligible), l’absence d’impact sur les personnes concernées, la bonne foi de la société qui n’avait pas été alertée lors de ses précédents échanges avec la CNIL, et enfin les mesures correctives prises au cours de la procédure pour modifier le paramétrage du système.
La formation restreinte a réfuté ces arguments point par point. Sur l’inaudibilité, elle a opposé le constat factuel direct de la pièce n° 25 qui permettait d’entendre « de manière parfaitement claire et intelligible » les échanges en cause. Sur l’absence d’impact, elle a rappelé que le manquement au principe de minimisation ne requiert pas la démonstration d’un préjudice effectif pour être constitué : la collecte elle-même est excessive, indépendamment de ses suites. Sur la bonne foi, elle a relevé que le manquement reste constitué pour le passé nonobstant les modifications apportées en cours de procédure, et que la société ne pouvait pas légitimement croire en la conformité d’un système dont le paramétrage permettait objectivement la captation d’échanges privés sans lien avec ses finalités. La formation restreinte a néanmoins pris acte de ces mesures correctives, ce qui a été susceptible d’exercer une influence sur la modulation de la sanction.
IV.
Le deuxième manquement : les violations de l’article 82 de la loi Informatique et Libertés
A. Le régime juridique des traceurs et son articulation avec le RGPD
L’article 82 de la loi Informatique et Libertés transpose en droit français l’article 5, paragraphe 3 de la directive 2002/58/CE dite « ePrivacy ». Il soumet le dépôt et la lecture de traceurs sur le terminal d’un utilisateur à deux conditions alternatives : soit le consentement préalable de la personne concernée, soit la stricte nécessité pour la fourniture du service en ligne expressément demandé par l’utilisateur ou pour la transmission d’une communication électronique. Les traceurs qui n’entrent pas dans ces exceptions — notamment les cookies à finalité publicitaire ou analytique non anonyme — exigent donc un consentement libre, spécifique, éclairé et univoque, exprimé avant tout dépôt.
Ce régime, qui relève de la directive ePrivacy et non du RGPD au sens strict, présente une particularité importante en matière de compétence : la CNIL est matériellement compétente pour contrôler et sanctionner les opérations liées aux traceurs déposés sur les terminaux des internautes situés en France, indépendamment du mécanisme de guichet unique prévu par le RGPD, lequel n’a pas vocation à s’appliquer à ce titre. Cette distinction de compétence est toutefois sans incidence pratique en l’espèce, puisque les autorités européennes concernées ont été impliquées au titre des traitements transfrontaliers relevant du RGPD (minimisation), et non au titre des traceurs.
B. Le premier grief : dépôt de traceurs sans consentement préalable
La CNIL a constaté que, dès l’arrivée de l’utilisateur sur le site web www.americanexpress.com/fr-fr et avant même qu’il n’interagisse avec la fenêtre lui permettant d’exprimer un choix, plusieurs traceurs — dont certains à finalité publicitaire — étaient déposés sur son terminal. Parmi ces traceurs figuraient notamment « demdex », « AMCVS5C36123F5245AF470A490D4540AdobeOrg » et « TS0139a03f », aux finalités clairement orientées vers le profilage comportemental et le ciblage publicitaire.
Ce constat établissait une violation frontale du principe du consentement préalable : le dépôt de traceurs soumis à consentement avant toute interaction de l’utilisateur avec le bandeau de gestion des cookies prive ce consentement de tout caractère libre, éclairé et antérieur au traitement. La formation restreinte a régulièrement sanctionné ce type de pratique, notamment dans les délibérations relatives à Google (SAN-2021-023), Facebook (SAN-2022-021) et plus récemment SHEIN (SAN-2025-005). La doctrine de la CNIL est sur ce point d’une parfaite constance : le consentement doit précéder tout dépôt ou lecture de traceur non strictement nécessaire, sans exception.
C. Le deuxième grief : dépôt de traceurs malgré le refus exprimé
La CNIL a également constaté que des traceurs à finalité publicitaire étaient déposés sur le terminal de l’utilisateur malgré son refus expressément exprimé. Ce constat résultait d’un mécanisme spécifique : lorsqu’un utilisateur cliquait sur le bouton « Obtenir plus d’infos » ou tout lien conduisant à l’ouverture d’une page sur le domaine tiers « email.amex-info.fr », de nouveaux cookies marketing étaient déposés nonobstant le refus de consentement préalablement exprimé.
Ce grief illustre un phénomène structurel fréquemment rencontré dans les procédures de sanction relatives aux traceurs : la dissociation entre l’interface de gestion du consentement (le bandeau) et les mécanismes de dépôt effectif des traceurs, qui peuvent opérer indépendamment du signal de refus transmis par le navigateur. La formation restreinte a rappelé que le second contrôle en ligne du 16 mai 2025, diligenté à la demande du rapporteur et sur décision de la vice-présidente de la CNIL du 14 mai 2025, avait confirmé que le manquement initialement relevé perdurait au-delà des premières observations de la société. C’est précisément pour répondre aux arguments de la société contestant l’insuffisance des preuves que le rapporteur a diligenté ce contrôle complémentaire, dont la recevabilité a été vigoureusement contestée.
D. Le troisième grief : lecture de traceurs malgré le retrait du consentement
Le troisième grief soulevé par le rapporteur, et retenu par la formation restreinte, concernait la lecture de traceurs préalablement déposés malgré le retrait du consentement par l’utilisateur. La formation restreinte a rappelé, dans le rapport initial du 10 avril 2025, le mécanisme technique en cause : lors de la navigation d’un utilisateur sur un site web, les cookies présents sur son terminal sont « systématiquement envoyés à travers des requêtes vers les domaines auxquels ils sont associés, autrement dit sont systématiquement lus ». La seule présence de cookies sur le navigateur de l’internaute après retrait du consentement suffisait donc à caractériser le manquement, sans qu’il soit nécessaire de démontrer une opération de lecture distincte et volontaire.
C’est précisément pour fournir à la société une illustration plus concrète des opérations de lecture que le rapporteur a produit, lors de sa réponse aux premières observations, un fichier HAR issu du second contrôle en ligne. Ce fichier démontrait, de manière technique et objectivement vérifiable, que les traceurs précédemment déposés continuaient à être lus après le retrait du consentement. La formation restreinte a jugé que l’administration de cette preuve supplémentaire ne violait aucun principe fondamental et que le principe du contradictoire avait été respecté, la société ayant pu répondre à ces éléments dans ses secondes observations du 7 juillet 2025.
V.
La question probatoire et le contradictoire : un débat central
L’une des originalités procédurales de cette affaire réside dans la contestation, par la société AECF, de la régularité de l’administration de la preuve par le rapporteur. Cette contestation a pris deux formes distinctes et mérite une analyse approfondie, tant elle touche à des principes fondamentaux du droit de la sanction administrative.
A. La recevabilité des preuves produites en cours d’instruction
S’agissant du premier volet de la contestation, relatif à l’enregistrement téléphonique produit dans la réponse du rapporteur, la société faisait valoir que cette pièce aurait dû figurer dans le rapport initial et que sa production tardive violait l’obligation de diligence du rapporteur, son droit à ne pas s’auto-incriminer et le principe d’égalité des armes.
La formation restreinte a réfuté ces arguments de manière méthodique. Elle a d’abord relevé que la pièce contestée avait été transmise à la délégation par la société elle-même lors du contrôle sur place, de sorte qu’AECF en avait « parfaitement connaissance, avant même la notification du rapport ». Elle a ensuite rappelé que le rapport initial avait « clairement énoncé le manquement reproché » et qu’il était loisible à la société de fournir des explications sur les faits en cause sans attendre la production d’un enregistrement illustratif — ce qu’elle avait d’ailleurs fait dans ses observations du 12 mai 2025, antérieures à la réponse du rapporteur. Elle a enfin souligné que la société avait pu se défendre sur cette pièce lors de ses secondes observations du 7 juillet 2025 et que le principe du contradictoire avait donc été respecté.
La formation restreinte a ainsi posé le principe selon lequel il est « loisible au rapporteur, comme à l’organisme mis en cause, de produire, au cours de l’instruction et jusqu’à sa clôture, toute pièce utile à l’établissement des faits en cause ». Cette formulation inscrit la procédure de sanction de la CNIL dans une logique inquisitoriale tempérée, dans laquelle le rapporteur conserve la possibilité d’approfondir son instruction en réponse aux arguments du mis en cause, sans que cette faculté puisse être regardée comme une atteinte aux droits de la défense dès lors que le principe du contradictoire est respecté.
B. La recevabilité du second contrôle en ligne du 16 mai 2025
Le second volet de la contestation portait sur la recevabilité des éléments issus du contrôle en ligne du 16 mai 2025. La société estimait que ce contrôle a posteriori ne pouvait pas servir à « justifier rétroactivement la constitution d’une infraction » et qu’il violait son droit à ne pas s’auto-incriminer ainsi que le principe d’égalité des armes.
La formation restreinte a rejeté ces arguments de manière également ferme. Elle a rappelé que ce contrôle avait été « décidé et réalisé conformément aux règles applicables, dans le cadre normal de l’instruction des manquements initialement relevés et que le premier rapport ne figeait pas ». Elle a précisé que la société avait pu répondre aux éléments issus de ces constatations dans ses dernières écritures du 7 juillet 2025, ce qui excluait toute violation des principes fondamentaux invoqués. Surtout, elle a rappelé que le manquement relatif à l’ineffectivité du retrait du consentement figurait déjà dans le rapport initial, et que le second contrôle avait uniquement pour objet de fournir une illustration concrète des opérations de lecture — dont le principe était déjà établi par la présence des traceurs sur le navigateur après retrait du consentement.
Cette décision consolide une doctrine procédurale importante : le rapport initial de sanction ne constitue pas une photographie figée des manquements reprochés. L’instruction peut être complétée, à l’initiative du rapporteur, par des contrôles supplémentaires portant sur les mêmes manquements, à condition que le principe du contradictoire soit respecté. Cette faculté est d’autant plus précieuse qu’elle permet au rapporteur de répondre aux stratégies de défense consistant à contester l’insuffisance des preuves présentées dans le rapport initial.
VI.
Les moyens de défense de la société : une stratégie d’atténuation partielle
A. La stratégie globale de défense
La défense d’AECF s’est articulée autour de plusieurs axes complémentaires : contestation de la recevabilité des preuves, contestation au fond des manquements allégués, invocation de la bonne foi et de l’absence de précédents jurisprudentiels explicites sur certains points, et enfin mise en avant des mesures correctives prises au cours de la procédure.
Cette stratégie mixte, combinant des moyens dilatoires sur la forme et des arguments substantiels sur le fond, reflète une approche défensive classique dans les procédures de sanction administrative. Elle présente toutefois une limite structurelle : une fois les manquements factuellement établis et les preuves déclarées recevables, la contestation au fond ne peut plus porter que sur la qualification juridique des faits et sur les éléments susceptibles d’influencer la modulation de la sanction.
B. La contestation du manquement à l’article 5-1-c du RGPD
Sur le fond du manquement à la minimisation, AECF avait invoqué plusieurs arguments : le nombre extrêmement limité d’enregistrements concernés, la partie minime des appels affectée, l’absence d’impact sur les personnes concernées, l’inaudibilité de l’enregistrement invoqué par le rapporteur, et l’absence de captation de conversations privées dans les dix autres enregistrements transmis à la délégation. Elle avait également fait valoir que la difficulté liée au paramétrage de l’outil ne lui avait pas été signalée lors de ses échanges antérieurs avec la CNIL dans le cadre de sa mission d’accompagnement.
La formation restreinte a balayé ces arguments en s’appuyant sur une analyse structurelle du principe de minimisation : le manquement ne résulte pas de la captation effective de conversations privées dans chaque appel, mais du paramétrage de l’outil qui « permettait cette captation » sans que celle-ci présente de lien avec les finalités poursuivies. L’argument de l’échantillonnage — selon lequel l’absence de paroles prononcées dans dix enregistrements sur onze démontrerait que le manquement est marginal — a été écarté avec la précision que cette absence « ne résulte que des aléas de l’échantillonnage réalisé et n’est pas de nature remettre en cause la caractérisation du manquement ». Le manquement est systémique, pas anecdotique.
C. La contestation des manquements à l’article 82 de la loi
Sur les manquements relatifs aux traceurs, la société a principalement contesté la recevabilité des preuves issues du second contrôle en ligne et a fait valoir les mesures de mise en conformité entreprises au cours de la procédure. Elle n’a pas, semble-t-il, contesté en substance les constats factuels relatifs au dépôt de traceurs sans consentement préalable, se concentrant davantage sur les aspects procéduraux et sur la valeur atténuante des mesures correctives.
La formation restreinte a pris acte de la mise en conformité partielle intervenue au cours de la procédure, ce qui a été susceptible d’influencer favorablement l’appréciation de la bonne foi de la société et, corrélativement, la modulation de la réponse sanctionnatrice.
VII.
L’analyse du principe de minimisation dans le contexte de l’enregistrement téléphonique
A. La jurisprudence de la formation restreinte : une ligne directrice cohérente
La délibération SAN-2025-011 s’inscrit dans une jurisprudence de la formation restreinte en matière d’enregistrement téléphonique qui remonte à la délibération SAN-2020-003 du 28 juillet 2020. Dans cette décision pionnière, la formation restreinte avait posé le principe selon lequel « un responsable de traitement ne peut mettre en place un traitement de données à caractère personnel sans s’assurer que celui-ci est nécessaire à ses besoins, a fortiori lorsqu’il repose sur un dispositif particulièrement intrusif pour les salariés ». La délibération SAN-2023-008 du 8 juin 2023, puis la délibération SAN-2024-014 du 26 septembre 2024, ont réaffirmé et développé cette doctrine, en précisant que l’enregistrement systématique est excessif lorsque la finalité peut être atteinte par un moyen moins intrusif.
La délibération SAN-2025-011 apporte une contribution originale à cette jurisprudence en déplaçant l’analyse vers la dimension temporelle de l’enregistrement. La question n’est plus seulement de savoir si l’enregistrement systématique de 50 % des appels est proportionné à la finalité de formation (point sur lequel la formation restreinte ne se prononce pas expressément dans cette affaire, ce volet relevant d’une procédure distincte), mais si les segments temporels effectivement captés — notamment ceux précédant la mise en relation avec le téléconseiller et ceux correspondant aux mises en attente — répondent aux exigences de nécessité et d’adéquation.
B. L’apport doctrinal de la décision : la nécessité comme critère temporel
L’enseignement le plus original de cette décision réside dans sa conception du principe de minimisation comme critère temporel : le responsable de traitement ne doit pas seulement s’interroger sur la quantité et la nature des données collectées, mais également sur les moments auxquels cette collecte est légitime. Un enregistrement qui débuterait au moment précis où le téléconseiller prend l’appel et se suspendrait pendant les mises en attente serait, dans cette logique, pleinement conforme au principe de minimisation, car il n’enregistrerait que les échanges nécessaires aux finalités déclarées. À l’inverse, un enregistrement qui s’étend aux plages temporelles sans interaction entre le client et le conseiller — qu’il s’agisse du temps d’attente précédant la mise en relation ou du temps de mise en attente — capte des données qui ne présentent aucun lien de nécessité avec ces finalités.
Cette conception temporelle de la minimisation est particulièrement pertinente dans le contexte des systèmes d’enregistrement automatiques, dont le paramétrage peut présenter des lacunes involontaires mais néanmoins constitutives de manquements. Elle impose aux responsables de traitement une vigilance spécifique sur le déclenchement et la suspension des enregistrements, et une vérification que ces mécanismes sont correctement paramétrés pour n’enregistrer que les échanges nécessaires aux finalités déclarées.
VIII.
L’analyse des manquements aux règles relatives aux traceurs
A. La doctrine de la CNIL sur les cookies : une architecture normative solide
La CNIL dispose, en matière de traceurs, d’une architecture normative d’une remarquable cohérence, composée des lignes directrices adoptées le 17 septembre 2020 et de la recommandation pratique du même jour, complétées par de nombreuses délibérations de sanction. Depuis 2020, la formation restreinte a sanctionné à de très nombreuses reprises des organismes pour des manquements similaires, rendant ses décisions publiques. Cette répétition sanctionnatrice a conduit la formation restreinte à considérer que « les règles en matière de traceurs sont bien connues, en raison de leur ancienneté et de leur large diffusion par la CNIL », ce qui est un facteur aggravant dans l’appréciation des manquements.
L’architecture des manquements retenus dans la délibération SAN-2025-011 reproduit un schéma déjà rencontré dans de nombreuses procédures antérieures : dépôt avant consentement, dépôt malgré le refus, lecture malgré le retrait. Ces trois violations forment un triptyque complet qui touche à chacune des dimensions temporelles du consentement — avant, pendant et après l’expression du choix de l’utilisateur. Leur cumul dans une même affaire traduit une défaillance systémique du dispositif de gestion des consentements, et non une simple défaillance technique ponctuelle.
B. Le mécanisme de la lecture après retrait du consentement
Le troisième grief — la lecture de traceurs malgré le retrait du consentement — mérite une attention particulière en raison de la clarification technique qu’elle a nécessitée. La formation restreinte a rappelé le mécanisme en cause avec une précision technique notable : lorsqu’un cookie est présent sur le navigateur d’un utilisateur, il est systématiquement envoyé dans les requêtes vers les domaines auxquels il est associé, « autrement dit [il] est systématiquement lu ». La seule présence d’un cookie préalablement déposé sur le navigateur — même si ce cookie n’est pas relu de manière active et délibérée par le responsable de traitement — constitue une opération de lecture automatique à chaque requête vers le domaine concerné.
Cette précision technique est d’une importance pratique considérable pour les responsables de traitement. Elle signifie que la conformité au droit des traceurs ne peut pas se limiter à la mise en place d’un mécanisme de refus fonctionnel : encore faut-il s’assurer que les traceurs précédemment déposés sont effectivement supprimés du terminal de l’utilisateur lorsque celui-ci retire son consentement, et non seulement que leur lecture « active » est interrompue. Un traceur persistant sur le navigateur continue à être « lu » au sens de l’article 82 à chaque requête vers son domaine, même si le système de ciblage publicitaire ne l’exploite plus.
IX.
La question constitutionnelle : la décision QPC du 8 août 2025
La délibération SAN-2025-011 mentionne, parmi les pièces auxquelles elle se réfère, la décision n° 2025-1154 QPC du 8 août 2025 du Conseil constitutionnel. Cette mention, dont la signification précise n’est pas développée dans le texte de la délibération accessible, témoigne néanmoins de l’existence d’une question prioritaire de constitutionnalité soulevée dans le cadre de la procédure, vraisemblablement relative aux fondements législatifs des pouvoirs de sanction de la CNIL.
La référence à cette décision du Conseil constitutionnel, sans développement ultérieur dans le corps de la délibération, suggère que la question soulevée a été tranchée dans un sens qui n’affectait pas la procédure en cours — soit parce que le Conseil a déclaré les dispositions contestées conformes à la Constitution, soit parce que la décision a été rendue dans un sens permettant à la formation restreinte de poursuivre son instruction. Cette précision contextuelle est utile pour comprendre la temporalité de la procédure : la clôture de l’instruction a été notifiée à la société le 22 juillet 2025, soit antérieurement à la décision QPC du 8 août 2025, laquelle était donc postérieure à la clôture de l’instruction mais antérieure à la séance de la formation restreinte du 18 septembre 2025 et à la délibération finale du 27 novembre 2025.
X.
La procédure séparée relative aux enregistrements du département assurance
Un élément procédural important mérite d’être mis en évidence : la société AECF a précisé, dans ses observations en défense, que le manquement au principe de minimisation reproché ne saurait concerner les enregistrements réalisés à des fins de preuve de la conclusion d’un contrat d’assurance, les appels avec le département assurance faisant « l’objet d’une mise en demeure de la présidente de la CNIL dans le cadre d’une procédure distincte ». Cette précision est d’une portée juridique notable.
Elle révèle que les pratiques d’AECF en matière d’enregistrement téléphonique ont fait l’objet d’une double investigation par la CNIL : d’une part, la procédure de sanction SAN-2025-011 portant sur les enregistrements réalisés dans le cadre du service clientèle (à des fins de formation, de contrôle de conformité et de traitement des réclamations) ; d’autre part, une procédure de mise en demeure distincte portant sur les enregistrements réalisés à des fins de preuve de la conclusion de contrats d’assurance. Cette bifurcation procédurale traduit la conscience de la CNIL de la complexité des pratiques d’enregistrement d’AECF et de la nécessité de traiter séparément des finalités distinctes.
La délibération SAN-2025-011 a donc exclusivement porté sur les enregistrements du service clientèle, à l’exclusion des enregistrements du département assurance. Cette délimitation du périmètre de la procédure est juridiquement importante : elle signifie que les constats opérés et les manquements retenus ne préjugent pas de l’issue de la procédure distincte relative aux enregistrements du département assurance, laquelle pourrait donner lieu à des développements ultérieurs.
XI.
La mesure corrective et la conformité en cours de procédure
Un aspect notable de la délibération SAN-2025-011 réside dans la place accordée aux mesures correctives prises par la société au cours de la procédure. La formation restreinte a expressément pris acte du fait qu’AECF avait, « au cours de la procédure, modifié son système d’enregistrement des appels pour ne plus enregistrer les paroles du client avant la mise en contact avec l’agent et s’assurer que l’enregistrement n’est pas réalisé lorsque le client est mis en attente ».
La société avait précisé que ces modifications ne sauraient valoir reconnaissance du manquement reproché, qu’elle contestait. Cette précaution rhétorique n’a pas convaincu la formation restreinte, qui a retenu le manquement pour le passé « en dépit des modifications apportées par la société à son système d’enregistrement des appels ». La conformité en cours de procédure est donc sans effet sur la qualification des manquements passés, mais elle peut — et c’est là tout son intérêt stratégique — influer favorablement sur l’appréciation de la bonne foi du responsable de traitement et, corrélativement, sur la modulation de la sanction.
De même, la formation restreinte a relevé que la société s’était mise en conformité au cours de la procédure s’agissant de ses pratiques en matière de traceurs, ce qui a été expressément pris en compte dans l’appréciation globale de la situation. Cette référence à la mise en conformité dans le corps de la délibération témoigne d’une lecture finaliste du droit de la sanction : la CNIL ne cherche pas uniquement à punir les manquements passés, mais à obtenir et consolider la conformité future.
XII.
La portée doctrinale de la délibération dans le paysage européen de la protection des données
La délibération SAN-2025-011 présente une portée doctrinale qui dépasse les seuls manquements retenus contre AECF. Elle s’inscrit dans un mouvement jurisprudentiel plus large, observable au niveau européen, qui tend à renforcer les exigences relatives à la minimisation des données dans les contextes d’enregistrement automatique et à consolider les règles applicables aux traceurs.
Sur le premier point, la décision enrichit la jurisprudence de la CNIL sur l’enregistrement téléphonique en introduisant la dimension temporelle de la minimisation et en précisant que le manquement peut être constitué par le seul paramétrage défaillant d’un outil, indépendamment de l’exploitation effective des données captées. Cette avancée est cohérente avec la jurisprudence de la CJUE, qui a rappelé dans l’arrêt Natsionalna agentsia za prihodite du 14 décembre 2023 que « l’absence de violation de données à caractère personnel ne suffit pas à démontrer l’absence de manquement » à l’article 32 du RGPD — principe transposable par analogie à l’article 5-1-c) s’agissant de la captation potentielle de données excessives.
Sur le second point, la confirmation des trois griefs relatifs aux traceurs — dépôt avant consentement, dépôt malgré le refus, lecture malgré le retrait — s’inscrit dans une séquence répressive qui a déjà concerné des acteurs majeurs du numérique en France (Google, Meta, Amazon, Apple, Microsoft, TikTok, Snapchat) et qui s’est étendue en 2025 à SHEIN (SAN-2025-005) pour 150 millions d’euros et à Google/Alphabet (SAN-2025-004) pour 325 millions d’euros. La sanction prononcée contre AECF, dans un dossier impliquant pourtant des millions de clients, reflète la prise en compte par la formation restreinte de l’étendue réelle du traitement, du profil de la société et de sa mise en conformité partielle au cours de la procédure.
POINTS ESSENTIELS
27.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats