CNIL | SAN-2025-011 | 27 NOVEMBRE 2025 | AFFAIRE AMERICAN EXPRESS CARTE FRANCE |
AMERICAN EXPRESS CARTE FRANCE | LA CNIL SANCTIONNE AMEX POUR AVOIR CAPTÉ DES CONVERSATIONS PRIVÉES AVANT MÊME LA MISE EN RELATION AVEC UN CONSEILLER.
COOKIES, ENREGISTREMENTS TÉLÉPHONIQUES ABUSIFS ET REFUS DES CLIENTS IGNORÉS
ANALYSE CRITIQUE MANQUEMENTS FAQ CONSEILS
CADRE SUBSTANTIEL DU DOSSIER ET NATURE DES TRAITEMENTS EN CAUSE
La délibération SAN-2025-011 du 27 novembre 2025 concerne la société AMERICAN EXPRESS CARTE FRANCE (ci-après « AECF »), filiale française du groupe AMERICAN EXPRESS, troisième émetteur mondial de cartes de paiement. Établissement de paiement au sens du droit financier, AECF commercialise des cartes de paiement à débit différé auprès d’une clientèle concentrée sur le marché français — 831 443 clients résidant en France sur un total de 836 879 clients établis dans l’Union européenne au 31 décembre 2022 — et distribue ses produits à la fois via son site web www.americanexpress.com/fr-fr et par le canal de banques tierces.
Le périmètre des traitements en cause couvre deux registres distincts : d’une part, les traitements opérés via le site web de la société, dont l’analyse a révélé des pratiques illicites en matière de traceurs ; d’autre part, les traitements de données vocales liés à l’enregistrement des appels téléphoniques adressés au service client, dont le paramétrage a révélé une violation structurelle du principe de minimisation des données. Ces deux axes correspondent précisément aux deux chefs de manquement retenus par la formation restreinte : le manquement à l’article 5, §1, c) du RGPD sur le principe de minimisation, et les manquements à l’article 82 de la loi Informatique et Libertés sur le régime des cookies et autres traceurs.
La procédure a présenté la particularité d’être conduite dans le cadre du mécanisme de coopération européen prévu à l’article 56 du RGPD, la CNIL ayant notifié le 27 novembre 2024 l’ensemble des autorités de contrôle européennes de sa compétence en tant qu’autorité chef de file, l’établissement principal d’AECF étant situé en France. Vingt-sept autorités nationales de protection des données ont été impliquées dans la procédure, aucune n’ayant formulé d’objection pertinente et motivée au projet de décision transmis le 16 octobre 2025, conformément à l’article 60, §3, du RGPD.
LE MANQUEMENT AU PRINCIPE DE MINIMISATION DES DONNÉES — ARTICLE 5, §1, C) DU RGPD
LA PORTÉE DU PRINCIPE DE MINIMISATION APPLIQUÉ À L’ENREGISTREMENT TÉLÉPHONIQUE
L’article 5-1-c) du RGPD dispose que les données à caractère personnel doivent être « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ». La formation restreinte a régulièrement rappelé que l’appréciation de ce principe « repose sur la stricte adéquation entre les données collectées et les raisons présidant à leur collecte » (SAN-2023-013). En matière d’enregistrement des appels téléphoniques, ce principe impose non seulement de limiter la proportion des appels enregistrés, mais aussi de s’interroger sur l’objet même de ces enregistrements au regard des finalités poursuivies — ce second niveau d’analyse est celui qui, précisément, fait défaut dans le dossier AECF.
La formation restreinte s’appuie sur une jurisprudence constante pour asseoir ce raisonnement. Dès la délibération SAN-2020-003 du 28 juillet 2020, elle avait considéré qu’un responsable de traitement ne peut enregistrer intégralement des conversations téléphoniques sans démontrer la nécessité de cet enregistrement intégral au regard de la finalité poursuivie. Elle a ultérieurement réitéré cette position dans les délibérations SAN-2023-008 du 8 juin 2023 et SAN-2024-014 du 26 septembre 2024, en précisant que le contrôle de la qualité du service peut être réalisé par l’enregistrement d’un échantillon de conversations, de sorte que l’instauration d’un dispositif d’enregistrement systématique est excessive au regard de la finalité poursuivie.
LE CONSTAT FACTUEL : UN PARAMÉTRAGE STRUCTURELLEMENT NON CONFORME
En l’espèce, les constations réalisées lors du contrôle sur place des 26 et 27 janvier 2023 ont établi qu’en l’absence d’opposition de la part du client, 50 % des appels entrants adressés au service client d’AECF étaient enregistrés. Ces enregistrements étaient conservés pendant 60 jours et exploités à trois fins : la formation et l’amélioration de la performance des salariés, le contrôle de la conformité, et, marginalement, le traitement des réclamations. Le volume concerné atteignait près de 600 000 enregistrements pour la seule année 2022.
La formation restreinte a identifié deux anomalies distinctes dans le paramétrage de l’outil d’enregistrement :
Première anomalie — l’enregistrement avant la mise en relation avec le téléconseiller. La société AECF ne contestait pas que l’enregistrement débutait immédiatement après la diffusion du message d’accueil et d’information du serveur vocal, avant même la mise en relation avec l’agent du service client. Ce fait était confirmé par la pièce n° 25 annexée au rapport initial du 10 avril 2025, qui permettait d’entendre « de manière parfaitement claire et intelligible les échanges privés entre un client et un tiers avant la mise en relation avec le téléconseiller ». La formation restreinte en a déduit que le paramétrage opéré permettait de capter des échanges privés tenus par les clients pendant la période d’attente précédant toute interaction commerciale effective.
Deuxième anomalie — la poursuite de l’enregistrement en cas de mise en attente. La formation restreinte a également retenu, sur la base de l’enregistrement du 26 janvier 2023 à 15h41, que l’enregistrement n’était pas interrompu lorsque l’appelant était mis en attente par le téléconseiller au cours de l’appel. Si aucune parole privée n’était prononcée lors de cet enregistrement particulier — le disque d’attente étant simplement audible —, le paramétrage permettait structurellement cette captation.
La formation restreinte a posé un principe d’analyse systémique : le manquement est constitué non pas seulement lorsqu’une conversation privée est effectivement captée, mais dès lors que le paramétrage de l’outil rend cette captation possible. Elle a ainsi écarté l’argument d’AECF selon lequel l’absence de captation effective dans la majorité des enregistrements testés devrait atténuer la qualification du manquement. Ce faisant, la délibération consacre une lecture prospective du principe de minimisation : il ne s’agit pas de mesurer le préjudice causé, mais d’apprécier la conformité du dispositif technique mis en place, indépendamment des conséquences concrètes de son déploiement.
LE TRAITEMENT DE DONNÉES À CARACTÈRE PERSONNEL PAR LA VOIX : UNE QUALIFICATION CONSOLIDÉE
La formation restreinte a réaffirmé, conformément à sa jurisprudence antérieure, que « la collecte de la voix couplée à d’autres éléments tels que le numéro de téléphone de la personne concernée, constitue un traitement de données à caractère personnel, et ce indépendamment du contenu ou du sens des paroles prononcées ». Cette qualification s’applique donc y compris aux segments d’enregistrement silencieux ou au cours desquels aucun échange substantiel n’a lieu — la simple captation de la ligne téléphonique, associée à l’identification de l’appelant, suffit à constituer un traitement de données.
Ce principe est fondamental pour l’appréciation du manquement : AECF ne pouvait se prévaloir ni de l’absence d’exploitation des segments litigieux, ni du caractère minime du nombre d’enregistrements concernés. Dès lors que le paramétrage technique permettait la captation, sans qu’aucune des trois finalités déclarées — formation, conformité, réclamations — ne justifie l’enregistrement de ces phases, le dispositif était constitutif d’un manquement à l’article 5-1-c) du RGPD.
LES MOYENS DE DÉFENSE D’AECF ET LEUR REJET
AECF a développé plusieurs lignes de défense dont aucune n’a convaincu la formation restreinte.
Sur le périmètre du manquement, la société a soutenu que le grief ne pouvait concerner les enregistrements réalisés à des fins de preuve de la conclusion d’un contrat d’assurance, ceux-ci faisant l’objet d’une procédure distincte devant la présidente de la CNIL. La formation restreinte a admis cette délimitation, restreignant donc le grief aux appels entrants du service clientèle enregistrés à des fins de formation et de vérification de la conformité.
Sur la preuve de la captation, AECF a contesté que l’enregistrement litigieux démontrait l’existence de données à caractère personnel, qualifiant les propos captés d’« inintelligibles ». La formation restreinte a écarté cet argument au motif que la pièce n° 25 permettait au contraire d’entendre « de manière parfaitement claire et intelligible » les échanges en cause, et que de toute façon, comme rappelé ci-dessus, la qualification de traitement de données à caractère personnel ne dépend pas de l’intelligibilité du contenu.
Sur la bonne foi et l’absence de clarification préalable, AECF a fait valoir que la difficulté liée au démarrage anticipé des enregistrements ne lui avait jamais été signalée dans le cadre de ses échanges avec la CNIL, et que celle-ci n’avait jamais précisé dans ses publications que l’enregistrement devait commencer après la mise en relation avec l’agent. La formation restreinte a écarté cet argument sans ambiguïté : le principe de minimisation est un principe général du RGPD qui s’impose de plein droit, sans que son application à un cas d’espèce particulier doive faire l’objet d’une publication préalable de la CNIL. L’argument revient à subordonner la conformité réglementaire à une notification personnalisée de l’autorité de contrôle, ce qui est incompatible avec la structure normative du RGPD.
Sur les mesures correctives, AECF a indiqué avoir, au cours de la procédure, modifié son système d’enregistrement pour ne plus capturer les paroles du client avant la mise en contact avec l’agent, et pour s’assurer que l’enregistrement n’est pas réalisé pendant la mise en attente. La formation restreinte a pris acte de ces mesures, tout en considérant que le manquement demeurait constitué pour la période antérieure.
LES MANQUEMENTS À L’ARTICLE 82 DE LA LOI INFORMATIQUE ET LIBERTÉS — LE RÉGIME DES COOKIES ET TRACEURS
LE CADRE NORMATIF APPLICABLE : LA DIRECTIVE EPRIVACY ET L’ARTICLE 82
Le régime des cookies et autres traceurs relève non du RGPD mais de la directive ePrivacy, transposée à l’article 82 de la loi Informatique et Libertés, qui exige le recueil du consentement préalable et libre de l’utilisateur avant tout dépôt ou lecture de traceurs sur son terminal, à l’exception des traceurs strictement nécessaires. Cette architecture normative emporte des conséquences procédurales importantes : la CNIL demeure compétente ratione materiae pour les opérations liées aux traceurs déposés sur les terminaux des internautes situés en France, indépendamment du mécanisme de guichet unique prévu par le RGPD — et cela même pour une société dont l’établissement principal est situé en France.
La doctrine de la CNIL en la matière est ancienne et abondamment documentée : ses lignes directrices et recommandations sur les cookies et autres traceurs ont été publiées et largement diffusées depuis 2020, et la formation restreinte a sanctionné de nombreux organismes pour des manquements similaires depuis lors. Ce corpus normatif est directement opposable à AECF.
LES TROIS MANQUEMENTS CONSTATÉS
Le contrôle en ligne réalisé le 30 janvier 2023, complété par le second contrôle du 16 mai 2025, a permis d’établir trois violations distinctes de l’article 82.
Premier manquement — Dépôt de traceurs sans consentement préalable. La formation restreinte a constaté que dès l’arrivée d’un utilisateur sur la page d’accueil du site www.americanexpress.com/fr-fr, et avant même qu’il n’interagisse avec la fenêtre de gestion des cookies, plusieurs traceurs à finalité publicitaire étaient déposés sur son terminal. Parmi ces traceurs figuraient notamment les cookies demdex, AMCVS5C36123F5245AF470A490D4540AdobeOrg et TS0139a03f, dont la finalité publicitaire était documentée. Le dépôt de traceurs soumis à consentement avant toute expression de choix de l’utilisateur constitue une violation directe et caractérisée de l’article 82 de la loi Informatique et Libertés.
Deuxième manquement — Dépôt de traceurs malgré le refus de l’utilisateur. La formation restreinte a constaté que lorsqu’un utilisateur cliquait sur le bouton « Tout refuser » dans la fenêtre de gestion des cookies, puis naviguait vers certaines pages — notamment via le bouton « Obtenir plus d’infos » d’une rubrique de présentation des cartes —, une nouvelle page s’ouvrait sur le domaine tiers email.amex-info.fr, qui déposait à nouveau des cookies marketing sur le terminal de l’utilisateur, nonobstant le refus précédemment exprimé. Ce mécanisme, par lequel un refus clairement manifesté est court-circuité par l’ouverture d’un sous-domaine tiers, constitue une violation grave du principe de consentement préalable et libre.
Troisième manquement — Lecture de traceurs malgré le retrait du consentement. La formation restreinte a enfin constaté que lorsqu’un utilisateur avait initialement accepté le dépôt et la lecture de traceurs, puis retirait son consentement, les traceurs précédemment déposés continuaient à être lus par la société. Sur ce point, la formation restreinte s’est appuyée sur une analyse technique relative au fonctionnement d’un navigateur web : dès lors qu’un cookie est présent sur le terminal de l’utilisateur, il est systématiquement envoyé dans toutes les requêtes vers les domaines auxquels il est associé, c’est-à-dire qu’il est systématiquement lu. La seule présence du cookie dtCookie sur le navigateur de l’internaute, après retrait de son consentement, suffisait donc à établir la réalité des opérations de lecture.
LA CONTESTATION PROCÉDURALE D’AECF SUR L’ADMINISTRATION DE LA PREUVE
AECF a élevé, sur chacun de ces deux chefs, des contestations procédurales d’une certaine consistance, articulées autour de deux arguments principaux.
Sur l’enregistrement produit au stade de la réponse. S’agissant du manquement à l’article 5-1-c), la société a soutenu que le rapporteur avait produit la pièce n° 25 — l’enregistrement démontrant la captation de conversations privées — non dans son rapport initial, mais en réponse aux premières observations d’AECF qui soulignaient l’insuffisance probatoire initiale. Elle en déduisait une violation de l’obligation de diligence du rapporteur et demandait l’écartement de cette pièce.
La formation restreinte a rejeté cet argument pour trois raisons cumulatives. D’une part, la pièce avait été transmise à la délégation par la société elle-même, qui en avait donc parfaitement connaissance avant même la notification du rapport. D’autre part, le rapport initial avait clairement énoncé le manquement reproch en termes suffisamment précis pour permettre à la société d’y répondre et de prendre des mesures correctives — ce qu’elle avait d’ailleurs fait, comme attesté par ses observations du 12 mai 2025. D’autre part encore, la société avait pu se défendre sur cette pièce dans ses secondes observations du 7 juillet 2025, de sorte que le principe du contradictoire avait été respecté. La formation restreinte a ainsi rappelé le principe général selon lequel « il est loisible au rapporteur, comme à l’organisme mis en cause, de produire, au cours de l’instruction et jusqu’à sa clôture, toute pièce utile à l’établissement des faits en cause ».
Sur la recevabilité du second contrôle en ligne. AECF a soutenu que le contrôle en ligne du 16 mai 2025, diligent à la demande du rapporteur pour pallier les insuffisances probatoires initiales concernant le manquement à l’article 82, devrait être déclaré irrecevable. Elle invoquait à cet effet trois moyens distincts : la violation de l’obligation de diligence du rapporteur, la violation du droit de ne pas s’auto-incriminer (au motif que ce contrôle postérieur à la prise de connaissance de la ligne de défense de la société l’aurait contrainte à fournir des informations utilisées contre elle), et la violation du principe d’égalité des armes.
La formation restreinte a écarté l’ensemble de ces moyens. Sur le premier, elle a relevé que le contrôle avait été décidé et réalisé conformément aux règles applicables, dans le cadre normal de l’instruction des manquements initialement relevés, et que le rapport initial ne « figeait » pas le périmètre de l’instruction. Sur le deuxième et le troisième moyens, elle a relevé que la société avait pu, dans ses dernières écritures du 7 juillet 2025, répondre aux éléments issus du second contrôle, de sorte qu’aucune violation des principes fondamentaux n’était caractérisée.
Plus fondamentalement, la formation restreinte a précisé que le manquement relatif à l’ineffectivité du retrait du consentement figurait déjà dans le rapport initial, qui indiquait que la seule présence de cookies sur le navigateur de l’internaute, mise en évidence par le premier contrôle, permettait de retenir ce manquement. Le second contrôle avait été diligent, non pour constituer le manquement, mais uniquement pour fournir à la société une illustration concrète des opérations de lecture, en réponse à ses contestations probatoires.
LES MOYENS DE DÉFENSE D’AECF SUR LE FOND DES MANQUEMENTS À L’ARTICLE 82
LA CONTESTATION DU MANQUEMENT RELATIF AU DÉPÔT SANS CONSENTEMENT
AECF a soutenu que la présence de traceurs au premier chargement de la page d’accueil correspondait à des traceurs exemptés ou nécessaires, et que le consentement n’était pas requis pour l’ensemble des cookies identifiés. La formation restreinte n’a pas retenu cet argument, les traceurs à finalité publicitaire identifiés lors du contrôle n’étant pas au nombre des traceurs exonérés de l’obligation de consentement.
LA CONTESTATION DU MANQUEMENT RELATIF À L’INEFFECTIVITÉ DU REFUS
S’agissant des cookies déposés malgré le refus via le sous-domaine email.amex-info.fr, AECF n’a pas spécifiquement contesté le mécanisme technique en cause. La formation restreinte a retenu que la redirection vers un domaine tiers, déclenchée par un simple clic de navigation après expression du refus, contournait structurellement l’expression valable de ce refus.
LA CONTESTATION DU MANQUEMENT RELATIF À LA LECTURE APRÈS RETRAIT
AECF a fait valoir que les éléments de preuve produits au premier contrôle ne permettaient pas d’établir suffisamment l’existence d’opérations de lecture. C’est précisément pour répondre à cette contestation que le rapporteur a diligent le second contrôle, aboutissant à la production d’un fichier HAR illustrant les opérations de lecture — fichier dont la recevabilité a été maintenue par la formation restreinte dans les termes exposés supra.
ANALYSE CRITIQUE DE LA DÉLIBÉRATION
LA PORTÉE SYSTÉMIQUE DU RAISONNEMENT SUR LA MINIMISATION
La contribution la plus significative de cette délibération au corpus doctrinal de la formation restreinte tient au raisonnement qu’elle opère sur le principe de minimisation appliqué aux enregistrements téléphoniques. En retenant que le manquement est constitué par le seul paramétrage de l’outil — indépendamment de la captation effective de conversations privées lors de chaque appel —, la formation restreinte adopte une approche préventive et systémique. Elle ne sanctionne pas les conséquences concrètes du dispositif, mais le risque structurel qu’il fait peser sur les droits des personnes concernées.
Cette lecture s’inscrit dans la jurisprudence de la CJUE, qui a précisé dans son arrêt Natsionalna agentsia za prihodite du 14 décembre 2023 (C-20241065, point 47) que « l’absence de violation de données à caractère personnel ne suffit pas à démontrer l’absence de manquement » — et réciproquement, que la caractérisation d’un manquement ne suppose pas l’établissement d’un préjudice effectif. Des défauts de configuration peuvent être sanctionnés en tant que tels, en raison du risque qu’ils font peser sur l’intégrité des données traitées.
Cette orientation jurisprudentielle a des implications considérables pour les responsables de traitement : la conformité à l’article 5-1-c) ne s’apprécie pas au regard de l’usage effectif des données collectées, mais au regard de la conception du dispositif de traitement lui-même. L’argument selon lequel les données litigieuses n’ont pas été exploitées, ou que leur captation est marginale au regard du volume total des enregistrements, est par construction inopérant face à ce standard.
LA CONSOLIDATION DE LA DOCTRINE SUR LE CONSENTEMENT AUX TRACEURS
En matière de traceurs, la délibération ne constitue pas une rupture jurisprudentielle, mais confirme et consolide une doctrine fermement établie depuis les lignes directrices et recommandations de 2020. Elle apporte néanmoins deux précisions utiles.
La première précision porte sur le mécanisme de dérivation via sous-domaines tiers : la formation restreinte a constaté que le consentement exprimé sur le domaine principal americanexpress.com ne valait pas pour les dépôts opérés automatiquement via le sous-domaine email.amex-info.fr lors d’un clic de navigation. Cette configuration, techniquement ordinaire dans l’architecture des grandes plateformes, contourne le mécanisme de recueil du consentement sans que l’utilisateur puisse en avoir conscience. Elle illustre la nécessité, pour les responsables de traitement, de cartographier l’ensemble des sous-domaines tiers susceptibles de déposer des traceurs et de s’assurer que le signal de refus leur est transmis.
La seconde précision porte sur la preuve de la lecture des traceurs : la formation restreinte a admis que la seule présence d’un cookie sur le terminal de l’internaute suffit à établir les opérations de lecture, dès lors que le fonctionnement technique du navigateur web garantit que ce cookie sera systématiquement inclus dans les requêtes vers les domaines associés. Cette présomption technique, solidement étayée, permet de ne pas imposer au rapporteur de démontrer à chaque fois l’existence d’opérations d’exfiltration actives, ce qui simplifierait considérablement la détection des infractions.
L’ENCADREMENT DE L’INSTRUCTION ET LA FLEXIBILITÉ PROBATOIRE
La gestion de la contradiction probatoire dans cette affaire mérite une attention particulière. La formation restreinte a admis une procédure d’instruction progressive, dans laquelle le rapporteur a pu produire des pièces nouvelles et diligenter un second contrôle après la notification du rapport initial. Cette flexibilité est justifiée par l’article 39 du décret du 29 mai 2019, qui autorise le rapporteur à procéder « à toutes diligences utiles » jusqu’à la clôture de l’instruction.
Cette souplesse procédurale n’est pas sans tension avec les exigences du droit de la défense. La société n’avait pas eu pleine connaissance, lors de la notification du rapport initial, de l’ensemble des éléments de preuve qui lui seraient ultérieurement opposés. La formation restreinte a néanmoins jugé que le principe du contradictoire avait été respecté dès lors que la société avait pu répondre aux nouvelles pièces dans ses secondes observations. Cette appréciation est défendable sur le plan formel, mais elle soulève une question de fond : les éléments produits au stade de la réponse du rapporteur ont naturellement influencé les choix stratégiques de défense d’AECF, qui ne pouvait pas les anticiper au moment de ses premières observations.
La question du droit à ne pas s’auto-incriminer, soulevée par AECF, méritait un examen plus développé que celui opéré par la formation restreinte. Ce principe, qui trouve son expression dans le droit au silence consacré par l’article 47 de la Charte des droits fondamentaux de l’Union européenne, a fait l’objet d’une décision du Conseil constitutionnel (décision n° 2025-1154 QPC du 8 août 2025, visée dans la délibération sans être explicitée dans le raisonnement) dont l’articulation avec les pouvoirs d’instruction de la formation restreinte n’est pas pleinement développée. On peut regretter que la formation restreinte n’ait pas saisi cette occasion pour préciser la portée de ce droit dans le cadre des procédures de sanction administrative conduites devant la CNIL.
LA TENSION ENTRE OBLIGATION DE DILIGENCE DU RAPPORTEUR ET DROITS DE LA DÉFENSE
Sur un plan plus général, la délibération illustre une tension structurelle dans la procédure de sanction de la CNIL : le rapporteur, dont la fonction est d’instruire les manquements et de les soumettre à la formation restreinte, dispose d’une grande liberté pour faire évoluer le périmètre probatoire de l’instruction jusqu’à sa clôture. Cette liberté est justifiée par la recherche de la vérité et la nécessité de fournir une information complète à la formation restreinte. Mais elle peut créer une asymétrie procédurale, dans la mesure où le responsable de traitement mis en cause adapte sa défense au rapport initial et peut se trouver mis en difficulté par la production tardive de nouveaux éléments.
La formation restreinte a jugé que cette asymétrie était compensée par la possibilité de répondre aux nouvelles pièces dans les écritures ultérieures. Cette appréciation, qui relève d’un contrôle de légalité externe de la procédure, n’épuise pas la question de savoir si une procédure d’instruction plus encadrée ne serait pas souhaitable — notamment en imposant au rapporteur de produire l’ensemble des éléments de preuve qu’il entend invoquer dans son rapport initial, sauf circonstances justifiées. Cette évolution renforcerait les garanties procédurales sans compromettre l’efficacité des enquêtes de la CNIL.
POINTS ESSENTIELS
La délibération SAN-2025-011 du 27 novembre 2025, par laquelle la formation restreinte de la CNIL a infligé à la société AMERICAN EXPRESS CARTE FRANCE une amende administrative de 1 500 000 euros, constitue un arrêt de référence à double titre : elle enrichit substantiellement la jurisprudence en matière de cookies par une démonstration technique inédite fondée sur la RFC 6265 et le recours au fichier HAR comme outil de preuve de la lecture automatique des traceurs, et elle étend le principe de minimisation des données à la délimitation temporelle précise des enregistrements téléphoniques, au-delà de la seule question de leur volumétrie. Les manquements retenus s’articulent en cinq griefs distincts, répartis entre l’article 82 de la loi Informatique et Libertés et l’article 5-1-c du RGPD : dépôt de huit cookies non essentiels dès l’ouverture du site avant toute action de l’utilisateur ; dépôt de trois cookies marketing malgré le refus exprimé, via un domaine tiers accessible par un simple clic ; lecture persistante des cookies après retrait du consentement, en raison de la mécanique automatique d’envoi des cookies avec chaque requête HTTP — lecture établie par fichier HAR lors du second contrôle du 16 mai 2025 ; enregistrement des appels téléphoniques débutant avant la mise en relation avec un téléconseiller, captant des échanges privés sans lien avec les finalités déclarées — établi par un enregistrement comportant des paroles « parfaitement claires et intelligibles » ; absence d’interruption de l’enregistrement pendant les mises en attente. Sur le plan procédural, la délibération consolide la doctrine de la formation restreinte sur la liberté probatoire en cours d’instruction : un contrôle complémentaire diligenté par le rapporteur postérieurement au rapport initial est recevable dès lors qu’il illustre un grief préexistant et que le contradictoire est respecté — position directement fondée sur l’article 39 du décret du 29 mai 2019. La formation restreinte adopte en outre une conception structurelle — et non individualiste — des manquements au principe de minimisation, considérant qu’il est « indifférent que les conversations privées enregistrées ne fassent l’objet d’aucune exploitation » dès lors que le paramétrage de l’outil le permet ; de même, la présence d’un cookie sur le terminal après retrait du consentement suffit à caractériser une opération de lecture illicite, sans qu’il soit nécessaire de démontrer une exploitation commerciale effective. La sanction d’un million cinq cent mille euros, rendue dans le cadre du mécanisme de guichet unique impliquant vingt-sept autorités de contrôle européennes — aucune n’ayant formulé d’objection — tient compte de l’ampleur de la clientèle concernée (848 000 clients), de la nature transfrontalière des traitements, de la durée des manquements relatifs aux cookies (depuis janvier 2023) et, en atténuation, des mises en conformité progressivement opérées par la société en cours de procédure ; elle s’inscrit dans le corpus de décisions de l’année 2025 affirmant la détermination de la CNIL à contrôler non seulement l’existence d’un bandeau cookies, mais l’effectivité technique réelle de chacune de ses composantes — consentement préalable, étanchéité du refus sur l’ensemble du parcours de navigation, et invalidation immédiate des traceurs au retrait du consentement — faisant ainsi de la configuration des systèmes numériques, et non de leur seule interface visible, le terrain premier de la conformité.
24.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats