CNIL | SAN-2025-011 | 27 novembre 2025 | Affaire AMERICAN EXPRESS CARTE FRANCE | CONSEILS

CONSEILS AUX RESPONSABLES DE TRAITEMENT

---

1. LA GESTION DES COOKIES ET TRACEURS : OBLIGATIONS IMPÉRATIVES ISSUES DE LA DÉLIBÉRATION

 

L’obligation de neutralité technique à l’arrivée sur le site. La délibération SAN-2025-011 rappelle avec force que tout responsable de traitement exploitant un site web doit s’assurer qu’aucun cookie non essentiel n’est déposé sur le terminal de l’utilisateur avant que celui-ci n’ait effectué une action positive — accepter, refuser ou paramétrer ses choix. Lors du contrôle du 30 janvier 2023, la délégation avait constaté que « trente-et-un cookies étaient déposés sur le terminal de l’utilisateur dès l’ouverture de la page d’accueil du site web www.americanexpress.com/fr-fr, sans action préalable de sa part », dont huit ne bénéficiaient pas de l’exemption prévue par l’article 82. Parmi ces huit cookies, se trouvaient notamment des cookies à finalité marketing (demdex, AMCVS5C36123F5245AF470A490D4540AdobeOrg, AMCV5C36123F5245AF470A490D4540AdobeOrg, TS0139a03f) et des cookies de mesure de performance et d’optimisation (mmapi.p.pd, mmapi.p.bid, mmapi.p.srv, mmapi.p.uat). La règle est absolue : seuls les cookies strictement nécessaires à la fourniture du service peuvent être déposés avant consentement.

La mise en conformité pratique implique pour le responsable de traitement de procéder à une cartographie exhaustive et actualisée de l’ensemble des cookies déposés sur son site, y compris ceux gérés par des tiers (partenaires publicitaires, outils d’analyse, plateformes de CRM), et de s’assurer que leur déclenchement est conditionné à la collecte d’un consentement valide. Il ne suffit pas qu’un bandeau cookies s’affiche : il faut que le code de déclenchement des scripts associés aux cookies soumis au consentement soit bloqué par défaut, et ne s’active qu’à la suite d’un acte positif de l’utilisateur.

L’obligation d’étanchéité du refus sur l’ensemble du périmètre de navigation. La formation restreinte retient qu’un manquement est constitué dès lors que, malgré le refus exprimé par l’utilisateur, sa navigation sur le site conduit au dépôt de cookies marketing — en l’espèce via l’URL http://email.amex-info.fr/demande-generique?elqCampaignId=65&inavfrmenucardspccards, ouverte dans un nouvel onglet suite à un clic sur un bouton présent sur la page d’accueil. Cette situation met en évidence une zone de risque fréquemment négligée : les pages secondaires, les landing pages commerciales, les domaines tiers associés au domaine principal. Le refus exprimé par l’utilisateur sur la page d’accueil doit avoir une portée effective sur l’ensemble du parcours de navigation, y compris lorsque ce parcours conduit vers des URLs ou des domaines distincts mais contrôlés ou affiliés. La CNIL souligne que le responsable de traitement « fournit désormais aux personnes concernées des moyens effectifs leur permettant de refuser toute action tendant à accéder à des informations déjà stockées dans leur équipement terminal », mais rappelle sans ambiguïté que la mise en conformité postérieure ne saurait effacer le manquement passé.

L’obligation d’assurer l’effectivité technique du retrait du consentement. C’est la leçon la plus exigeante — et la plus novatrice techniquement — de cette délibération. La formation restreinte affirme que « lors de la navigation d’un utilisateur sur un site web, les cookies présents sur son terminal sont systématiquement envoyés à travers des requêtes vers les domaines auxquels ils sont associés, autrement dit sont systématiquement lus » — comportement attendu de tout navigateur conformément à la RFC 6265. Il résulte de ce principe technique que la seule présence d’un cookie sur le navigateur après retrait du consentement constitue une opération de lecture illicite, sans qu’il soit nécessaire de démontrer une exploitation effective de la donnée.

Pour être conforme, le responsable de traitement doit mettre en œuvre des solutions techniques actives assurant la suppression ou l’invalidation des cookies au moment du retrait du consentement. La recommandation de la CNIL du 17 septembre 2020 précise à cet égard que des solutions techniques peuvent consister à « modifier la durée de vie des cookies pour indiquer qu’ils sont expirés en renvoyant dans une réponse HTTP un en-tête set-cookie approprié spécifiant une date d’expiration dans le passé, ce qui entraînera leur suppression par le navigateur », ou encore, « s’agissant des cookies ne disposant pas de l’attribut httpOnly, assurer leur suppression à l’aide d’un script exécuté localement sur le terminal ». La solution adoptée par AECF à la suite du contrôle — « modification de la durée de vie des cookies pour indiquer qu’ils sont expirés et qu’ils disparaissent du domaine americanexpress.com après le retrait du consentement d’un utilisateur » — constitue une référence de bonne pratique à intégrer dans tout système de gestion du consentement (CMP).

Recommandations pratiques pour la gouvernance des cookies :

Le responsable de traitement veillera à mettre en place une revue périodique et systématique de la catégorisation de chaque cookie présent sur son site, en distinguant avec rigueur les cookies exemptés du consentement (finalité exclusive de facilitation de la communication électronique, ou strictement nécessaires à un service expressément demandé) des cookies soumis au consentement (mesure d’audience non anonymisée, publicité comportementale, personnalisation de contenu). Il est impératif de documenter, dans un registre actualisé, l’ensemble des finalités associées à chaque cookie, les tiers bénéficiaires éventuels, et les mesures techniques garantissant l’effectivité du choix de l’utilisateur.

L’engagement d’une CMP (Consent Management Platform) ne dispense pas le responsable de traitement d’une vérification technique de son bon fonctionnement sur l’intégralité du périmètre de son site. La délibération AMERICAN EXPRESS démontre que des manquements peuvent subsister malgré la présence d’un bandeau cookies fonctionnel sur la page d’accueil, dès lors que des pages secondaires ou des sous-domaines échappent à son périmètre d’action.

La preuve par fichier HAR comme outil de surveillance. La formation restreinte a retenu, comme élément de preuve déterminant, un fichier HAR (HTTP Archive) produit lors du contrôle du 16 mai 2025, démontrant la persistance des opérations de lecture après retrait du consentement. Les responsables de traitement doivent intégrer ce type de vérification dans leurs audits internes de conformité : un test HAR post-retrait de consentement doit figurer dans le protocole de contrôle qualité de tout déploiement ou mise à jour d’un système de gestion des cookies.

---

---

2. L’ENREGISTREMENT DES APPELS TÉLÉPHONIQUES ET LE PRINCIPE DE MINIMISATION

 

La délimitation temporelle précise du périmètre d’enregistrement. La délibération impose aux responsables de traitement exploitant un service client téléphonique une obligation de précision dans le paramétrage de leur outil d’enregistrement. La formation restreinte retient que l’enregistrement débutant « immédiatement après la diffusion du message d’accueil et d’informations du serveur vocal, avant la mise en relation avec l’agent du service client », permet la captation de « paroles à caractère privé prononcées par l’appelant et potentiellement par des tiers se trouvant à proximité du téléphone », qui « ne répondent à aucune des trois finalités poursuivies par la société » (formation des salariés, contrôle de la conformité, traitement des réclamations). La règle est donc claire : l’enregistrement doit commencer au moment précis de la prise en charge effective de l’appel par un téléconseiller, et non dès lors que l’utilisateur a sélectionné sa rubrique dans le serveur vocal.

La même rigueur s’impose pour les mises en attente en cours d’appel : l’enregistrement doit être interrompu ou suspendu pendant les séquences de mise en attente par le téléconseiller. La formation restreinte retient ce manquement distinct — établi par l’enregistrement du 26 janvier 2023 à 15h41, dont « le disque d’attente diffusé [est] parfaitement audible » — au motif que le paramétrage de l’outil permettait cette captation, indépendamment du fait qu’aucune parole privée n’y soit prononcée lors de cet enregistrement précis.

L’irréductibilité du principe de minimisation au regard de l’exploitation effective. L’argument invoqué par AECF — selon lequel le manquement serait « marginal » en raison de « l’absence de captation de conversations privées lors de chaque appel » et de « l’absence d’exploitation de ces enregistrements » — est expressément écarté par la formation restreinte. Le manquement au principe de minimisation résulte du paramétrage même du système, non de l’exploitation des données captées. Cette position invite les responsables de traitement à raisonner en termes de risque structurel et non d’impact individuel mesurable : un dispositif dont le paramétrage est de nature à permettre la captation de données excédant les finalités déclarées est constitutif d’un manquement, même si cette captation ne se concrétise qu’occasionnellement.

Recommandations pratiques pour la mise en conformité des enregistrements d’appels :

Il convient en premier lieu de réaliser un audit complet du paramétrage de l’outil d’enregistrement des appels, incluant la cartographie précise des déclencheurs (début et fin de l’enregistrement), la vérification de la suspension effective en cas de mise en attente, et la documentation des finalités justifiant l’enregistrement de chaque segment. En deuxième lieu, les durées de conservation doivent être strictement proportionnées aux finalités — en l’espèce, AECF conservait les enregistrements soixante jours, ce que la formation restreinte n’a pas remis en cause, mais qui constitue une donnée à documenter et à justifier. En troisième lieu, l’information préalable de l’appelant — via le message du serveur vocal — doit être actualisée pour refléter fidèlement les conditions effectives d’enregistrement telles que mises en conformité.

---

CONSEILS AUX PERSONNES CONCERNÉES

---

1. COMPRENDRE ET EXERCER VOS DROITS FACE AUX COOKIES

 

La signification réelle du bouton « Tout refuser ». La délibération AMERICAN EXPRESS illustre de manière saisissante une limite structurelle des dispositifs de gestion du consentement aux cookies tels qu’ils sont déployés sur la plupart des sites commerciaux : le clic sur « Tout refuser » ne garantit pas, à lui seul, que les cookies non essentiels ne sont plus déposés ni lus. En l’espèce, la CNIL a constaté qu’après que l’utilisateur avait exprimé son refus sur le site www.americanexpress.com/fr-fr, un clic sur le bouton « obtenir plus d’infos » dans la rubrique des cartes conduisait à l’ouverture d’une page tierce qui déposait à nouveau trois cookies marketing. De même, les cookies précédemment acceptés continuaient d’être lus après retrait du consentement — c’est-à-dire envoyés avec chaque requête HTTP vers le domaine du site — jusqu’à ce que la société corrige le paramétrage de son système.

En pratique, la personne concernée qui souhaite limiter sa surveillance publicitaire en ligne doit donc adopter des mesures de protection complémentaires : utiliser un navigateur doté d’un bloqueur de traceurs (type extensions uBlock Origin, Privacy Badger), effacer régulièrement les cookies de son navigateur, voire utiliser le mode navigation privée qui empêche la persistance des cookies entre les sessions.

Le droit à l’information sur les finalités de chaque cookie. Toute personne a le droit d’obtenir, avant toute collecte, une information claire sur la finalité de chaque cookie soumis à son consentement. Si vous visitez un site web et que la fenêtre de gestion des cookies ne précise pas clairement la finalité de chaque catégorie — publicité comportementale, personnalisation, mesure d’audience, partage avec des tiers — vous êtes en droit de ne pas donner votre consentement et d’adresser une demande d’information au responsable de traitement sur la base de l’article 13 du RGPD. En l’absence de réponse satisfaisante dans un délai d’un mois, une plainte peut être déposée auprès de la CNIL (formulaire en ligne sur cnil.fr).

Le droit de retrait du consentement et ses modalités. L’article 7-3 du RGPD garantit qu’« il est aussi simple de retirer que de donner son consentement ». Si vous constatez qu’après avoir cliqué sur « Tout refuser » ou sur un bouton de retrait du consentement, des publicités ciblées persistent — révélant que votre profil de navigation est toujours utilisé à des fins publicitaires — vous disposez du droit d’adresser au responsable de traitement une demande de suppression des données collectées antérieurement à votre retrait (article 17 du RGPD), ainsi qu’une demande d’opposition à tout traitement ultérieur de vos données à des fins de marketing (article 21 du RGPD).

---

2. COMPRENDRE ET EXERCER VOS DROITS FACE AUX ENREGISTREMENTS TÉLÉPHONIQUES

 

Votre droit à l’information préalable à l’enregistrement. Lorsque vous contactez un service client par téléphone, vous devez être informé, dès le début de l’appel, de la possibilité que votre conversation soit enregistrée et des finalités poursuivies. En l’espèce, AECF informait ses appelants de cette possibilité et leur offrait la faculté de s’y opposer, conformément à la loi. Si vous n’êtes pas informé de l’enregistrement avant que celui-ci ne débute, ou si vous ignorez la finalité précise de cet enregistrement, vous êtes en droit d’exercer votre droit d’accès (article 15 du RGPD) pour obtenir communication de l’enregistrement vous concernant, et votre droit à l’effacement (article 17 du RGPD) si l’enregistrement excède les finalités déclarées.

L’importance de vos échanges privés en cours d’appel. La délibération révèle que des paroles prononcées en présence de tiers, avant la prise en charge effective de l’appel par un agent, peuvent être captées et enregistrées. Si vous appelez un service client depuis votre domicile, il est prudent de ne pas engager de conversation privée avec une tierce personne présente pendant le temps d’attente avant la mise en relation avec un conseiller. Si vous avez des raisons de penser que de telles paroles ont été captées, vous pouvez exercer votre droit d’accès pour vérifier la nature et l’étendue des données enregistrées.

Le droit d’opposition à l’enregistrement de l’appel. Lorsqu’un message vocal vous informe que votre appel est susceptible d’être enregistré, vous disposez généralement de la faculté de vous y opposer en cours de serveur vocal. Si cette faculté n’est pas offerte de manière claire et accessible, vous êtes en droit de la revendiquer explicitement auprès du téléconseiller et, en cas de refus ou d’impossibilité technique, d’en informer la CNIL. La jurisprudence de la CNIL rappelle que l’opposition à l’enregistrement ne doit pas être rendue excessivement complexe au point de constituer un obstacle à l’exercice effectif des droits des personnes.

Votre recours en cas de non-respect de vos droits. En application de l’article 77 du RGPD, toute personne a le droit d’introduire une réclamation auprès de la CNIL si elle estime que le traitement de ses données à caractère personnel ne respecte pas les dispositions applicables. Le délai de traitement d’une plainte par la CNIL varie selon la complexité du dossier, mais toute plainte fait l’objet d’un accusé de réception et d’un traitement individualisé. S’agissant de cookies ou de traceurs, le formulaire de plainte dédié est accessible sur le site cnil.fr à la rubrique « Je dépose une plainte ». En complément, et sans attendre l’issue de la procédure CNIL, vous pouvez exercer vos droits directement auprès du responsable de traitement — en l’occurrence la société AMERICAN EXPRESS CARTE FRANCE, DPO joignable à l’adresse mentionnée dans sa politique de confidentialité.

---

 
 
 

---

POINTS ESSENTIELS

---

La délibération SAN-2025-011 du 27 novembre 2025, par laquelle la formation restreinte de la CNIL a infligé à la société AMERICAN EXPRESS CARTE FRANCE une amende administrative de 1 500 000 euros, constitue un arrêt de référence à double titre : elle enrichit substantiellement la jurisprudence en matière de cookies par une démonstration technique inédite fondée sur la RFC 6265 et le recours au fichier HAR comme outil de preuve de la lecture automatique des traceurs, et elle étend le principe de minimisation des données à la délimitation temporelle précise des enregistrements téléphoniques, au-delà de la seule question de leur volumétrie. Les manquements retenus s’articulent en cinq griefs distincts, répartis entre l’article 82 de la loi Informatique et Libertés et l’article 5-1-c du RGPD : dépôt de huit cookies non essentiels dès l’ouverture du site avant toute action de l’utilisateur ; dépôt de trois cookies marketing malgré le refus exprimé, via un domaine tiers accessible par un simple clic ; lecture persistante des cookies après retrait du consentement, en raison de la mécanique automatique d’envoi des cookies avec chaque requête HTTP — lecture établie par fichier HAR lors du second contrôle du 16 mai 2025 ; enregistrement des appels téléphoniques débutant avant la mise en relation avec un téléconseiller, captant des échanges privés sans lien avec les finalités déclarées — établi par un enregistrement comportant des paroles « parfaitement claires et intelligibles » ; absence d’interruption de l’enregistrement pendant les mises en attente. Sur le plan procédural, la délibération consolide la doctrine de la formation restreinte sur la liberté probatoire en cours d’instruction : un contrôle complémentaire diligenté par le rapporteur postérieurement au rapport initial est recevable dès lors qu’il illustre un grief préexistant et que le contradictoire est respecté — position directement fondée sur l’article 39 du décret du 29 mai 2019. La formation restreinte adopte en outre une conception structurelle — et non individualiste — des manquements au principe de minimisation, considérant qu’il est « indifférent que les conversations privées enregistrées ne fassent l’objet d’aucune exploitation » dès lors que le paramétrage de l’outil le permet ; de même, la présence d’un cookie sur le terminal après retrait du consentement suffit à caractériser une opération de lecture illicite, sans qu’il soit nécessaire de démontrer une exploitation commerciale effective. La sanction d’un million cinq cent mille euros, rendue dans le cadre du mécanisme de guichet unique impliquant vingt-sept autorités de contrôle européennes — aucune n’ayant formulé d’objection — tient compte de l’ampleur de la clientèle concernée (848 000 clients), de la nature transfrontalière des traitements, de la durée des manquements relatifs aux cookies (depuis janvier 2023) et, en atténuation, des mises en conformité progressivement opérées par la société en cours de procédure ; elle s’inscrit dans le corpus de décisions de l’année 2025 affirmant la détermination de la CNIL à contrôler non seulement l’existence d’un bandeau cookies, mais l’effectivité technique réelle de chacune de ses composantes — consentement préalable, étanchéité du refus sur l’ensemble du parcours de navigation, et invalidation immédiate des traceurs au retrait du consentement — faisant ainsi de la configuration des systèmes numériques, et non de leur seule interface visible, le terrain premier de la conformité.