CNIL | SAN-2025-011 | 27 novembre 2025 | Affaire AMERICAN EXPRESS CARTE FRANCE | FAQ

QUESTIONS RELATIVES AUX COOKIES ET TRACEURS

1. Un cookie déposé sans consentement préalable peut-il être régularisé après le fait ?

Non. La délibération SAN-2025-011 l’affirme sans ambiguïté : la mise en conformité postérieure ne fait pas disparaître le manquement constitué à la date du contrôle. Lors des contrôles des 30 janvier 2023 et 16 mai 2025, la CNIL a constaté le dépôt de cookies non essentiels avant toute action de l’utilisateur. AECF a justifié d’une réduction du nombre de cookies non conformes entre les deux contrôles. La formation restreinte en prend acte comme d’une circonstance atténuante dans le calcul de l’amende, mais confirme sans réserve le manquement passé. Le seul comportement conforme est la neutralité technique à l’arrivée de l’utilisateur : aucun cookie non essentiel ne doit être déposé avant la collecte d’un consentement valide, exprès et éclairé.

2. Suffit-il qu’un bandeau de gestion des cookies s’affiche sur la page d’accueil pour être en conformité ?

Non. La délibération démontre qu’un bandeau de gestion du consentement opérationnel sur la page d’accueil n’est pas suffisant si des pages secondaires, des sous-domaines, ou des domaines tiers associés à la navigation déposent des cookies sans consentement ou malgré le refus. En l’espèce, la navigation sur www.americanexpress.com/fr-fr — avec refus préalable des cookies — conduisait, via un clic sur un bouton « obtenir plus d’infos », à l’ouverture d’une page du domaine email.amex-info.fr qui déposait trois cookies marketing. Le périmètre de gestion du consentement doit couvrir l’intégralité du parcours utilisateur, y compris les pages liées, les sous-domaines et les domaines tiers que la société contrôle ou avec lesquels elle a des relations contractuelles.

3. Qu’est-ce qu’un cookie « exempté » de consentement et comment distinguer les cookies soumis au consentement ?

L’article 82 de la loi Informatique et Libertés, tel qu’interprété par la CNIL dans sa délibération du 17 septembre 2020 (n° 2020-092), prévoit que certains cookies sont exemptés du consentement : il s’agit des cookies strictement nécessaires à la fourniture d’un service expressément demandé par l’utilisateur (authentification, panier d’achat, sécurité de la session) et des cookies de mesure d’audience strictement anonymisée, utilisés uniquement à des fins statistiques sans croisement avec d’autres données. Tous les autres cookies — publicité comportementale, retargeting, mesure de performance non anonymisée, personnalisation de contenu, partage sur les réseaux sociaux — sont soumis au consentement. En cas de doute, la règle est celle de la précaution : soumettre le cookie au consentement. La CNIL publie sur son site des listes indicatives de cookies exemptés.

4. Comment s’assurer techniquement que le retrait du consentement est effectif et empêche toute lecture ultérieure des cookies ?

La délibération SAN-2025-011 fournit une réponse technique précise, fondée sur la RFC 6265 et sur la recommandation CNIL du 17 septembre 2020 : dès lors qu’un cookie est présent sur le navigateur, il est automatiquement envoyé avec chaque requête HTTP vers le domaine associé — c’est-à-dire lu au sens de l’article 82. Pour empêcher cette lecture après retrait du consentement, le responsable de traitement doit invalider les cookies dès le retrait : soit en renvoyant dans une réponse HTTP un en-tête set-cookie avec une date d’expiration dans le passé (ce qui entraîne leur suppression par le navigateur), soit, pour les cookies non httpOnly, en les supprimant via un script JavaScript exécuté localement. AECF a mis en œuvre cette seconde solution en « modifiant la durée de vie des cookies pour indiquer qu’ils sont expirés » dès le retrait du consentement — ce qui constitue la bonne pratique à répliquer.

5. Qu’est-ce qu’un fichier HAR et pourquoi la CNIL l’utilise-t-elle comme outil de preuve ?

Un fichier HAR (HTTP Archive) est un enregistrement standardisé de l’ensemble des échanges réseau effectués par un navigateur lors d’une session de navigation. Il contient, pour chaque requête HTTP, l’URL de destination, les en-têtes de la requête (incluant les cookies envoyés), le code de réponse du serveur et l’horodatage. En produisant un fichier HAR lors du contrôle du 16 mai 2025, la délégation CNIL a pu démontrer avec précision que les cookies du domaine .americanexpress.com continuaient à être transmis avec les requêtes HTTP émises par le navigateur après que l’utilisateur avait retiré son consentement. Tout responsable de traitement souhaitant vérifier l’effectivité de son dispositif de gestion des cookies après retrait du consentement devrait intégrer une vérification HAR dans son protocole d’audit interne.

6. Quel est l’effet d’une mise en conformité partielle sur l’appréciation de la sanction par la CNIL ?

La mise en conformité partielle ou progressive est prise en compte par la formation restreinte comme circonstance atténuante, non comme cause d’exonération. En l’espèce, la réduction du nombre de cookies non conformes entre le contrôle de janvier 2023 et celui de mai 2025 a été relevée positivement, de même que les corrections apportées sur les trois volets du manquement à l’article 82. Ces éléments ont vraisemblablement contribué à une modération du montant de l’amende (1 500 000 € sur un plafond théorique de 2 % du chiffre d’affaires mondial). En revanche, la mise en conformité ne rétroagit pas sur la constitution du manquement : la CNIL sanctionne les pratiques constatées au moment des contrôles, et non l’état du système au jour de la délibération.

7. Les cookies déposés sur un domaine tiers lié à mon site peuvent-ils m’être reprochés ?

Oui, dès lors que la navigation sur votre site conduit, via un lien ou un bouton, vers ce domaine tiers. La délibération SAN-2025-011 retient le manquement relatif aux cookies déposés via email.amex-info.fr, domaine tiers accessible depuis le site principal d’AECF. Le fait que ce domaine soit techniquement distinct du domaine principal ne suffit pas à exonérer le responsable de traitement du site principal. La CNIL considère que le responsable de traitement du site principal est responsable des conséquences de la navigation qu’il génère, y compris sur des domaines tiers qu’il contrôle ou avec lesquels il a des relations contractuelles permettant de gérer les cookies.

---

QUESTIONS RELATIVES À L’ENREGISTREMENT DES APPELS TÉLÉPHONIQUES

8. À partir de quel moment précis l’enregistrement d’un appel au service client peut-il légalement débuter ?

La délibération SAN-2025-011 apporte une réponse précise et inédite sur ce point : l’enregistrement ne peut légalement commencer qu’au moment de la prise en charge effective de l’appel par un téléconseiller humain. L’enregistrement débutant dès la fin du message du serveur vocal — avant la mise en relation — capture des données « ni adéquates, ni pertinentes, ni limitées à ce qui est nécessaire » au regard des finalités déclarées. En effet, les échanges privés éventuellement tenus par l’appelant pendant le temps d’attente entre la fin du serveur vocal et la prise en charge par un agent « ne répondent à aucune des trois finalités poursuivies » (formation, conformité, réclamations). Le paramétrage de l’outil d’enregistrement doit donc être configuré pour ne déclencher l’enregistrement qu’à l’instant exact de la mise en relation effective.

9. L’enregistrement doit-il être suspendu pendant les mises en attente musicale ?

Oui. La formation restreinte retient que l’absence d’interruption de l’enregistrement lors des mises en attente constitue un manquement autonome au principe de minimisation, indépendamment du fait qu’aucune parole privée ne soit nécessairement prononcée pendant ces séquences. Le paramétrage de l’outil d’enregistrement doit donc suspendre automatiquement l’enregistrement dès que le téléconseiller met l’appelant en attente, et le reprendre dès la reprise de la conversation.

10. La capture de quelques secondes de conversation privée constitue-t-elle un manquement, même si les données ne sont pas exploitées ?

Oui. C’est l’un des enseignements les plus marquants de la délibération. La formation restreinte considère qu’il est « indifférent que les conversations privées enregistrées ne fassent l’objet d’aucune exploitation » et qu’« un responsable de traitement ne peut mettre en place un traitement de données à caractère personnel sans s’assurer que celui-ci est nécessaire à ses besoins, a fortiori lorsqu’il repose sur un dispositif particulièrement intrusif ». Le manquement résulte du paramétrage du système, non de l’exploitation effective des données. En outre, « l’enregistrement de conversations téléphoniques […] constitue un traitement de données à caractère personnel […] indépendamment du contenu des paroles prononcées » — dès lors que la voix et le numéro de téléphone sont capturés, le traitement existe.

11. L’information préalable de l’appelant sur l’enregistrement suffit-elle à régulariser le manquement au principe de minimisation ?

Non. Ces deux obligations sont indépendantes et procèdent de dispositions distinctes. L’information préalable relève de l’article 13 du RGPD et concerne la transparence du traitement. Le principe de minimisation relève de l’article 5-1-c et concerne l’adéquation, la pertinence et le caractère non excessif des données collectées. AECF avait bien informé les appelants de l’enregistrement via un message du serveur vocal, et les invitait à couper le microphone de leur téléphone pendant la mise en attente si ils le souhaitaient — argument expressément écarté par la formation restreinte. L’information ne peut servir à justifier une collecte structurellement disproportionnée.

12. L’enregistrement à des fins de preuve d’un contrat d’assurance relève-t-il du même régime ?

Non, selon la délimitation opérée par la formation restreinte. AECF avait expressément soutenu que le grief ne devait pas concerner les enregistrements réalisés « à des fins de preuve de la conclusion d’un contrat d’assurance », ceux-ci faisant « l’objet d’une mise en demeure de la présidente de la CNIL dans le cadre d’une procédure distincte ». La formation restreinte a pris acte de cette délimitation. Les enregistrements liés à la preuve contractuelle relèvent d’une procédure séparée et d’un régime juridique distinct, impliquant notamment une appréciation différente de la base légale du traitement.

---

QUESTIONS RELATIVES À LA PROCÉDURE ET À LA GOUVERNANCE

13. Un responsable de traitement peut-il contester la recevabilité d’éléments de preuve produits par le rapporteur en cours d’instruction, postérieurement au rapport initial ?

Il peut soulever la contestation, mais les chances de succès sont limitées dès lors que le manquement était identifié dans le rapport initial et que les pièces complémentaires ne font qu’illustrer un grief préexistant. La formation restreinte rappelle que « il est ainsi loisible au rapporteur, comme à l’organisme mis en cause, de produire, au cours de l’instruction et jusqu’à sa clôture, toute pièce utile à l’établissement des faits en cause » (article 39 du décret du 29 mai 2019). Le principe du contradictoire est respecté dès lors que la société a pu prendre connaissance des pièces et y répondre dans ses observations. En revanche, si un contrôle complémentaire révélait un manquement entièrement nouveau non mentionné dans le rapport initial, la contestation serait plus fondée au regard du droit de la défense.

14. Quelles sont les obligations d’un responsable de traitement dans le cadre du mécanisme de guichet unique lorsqu’il traite des données transfrontalières ?

L’article 56 du RGPD impose à l’autorité cheffe de file — en l’espèce la CNIL, établissement principal d’AECF étant en France — d’informer l’ensemble des autorités de contrle concernées et de leur soumettre un projet de décision. En l’espèce, vingt-sept autorités européennes étaient concernées, des personnes résidant dans ces États étant porteuses de cartes émises par AECF. Aucune d’entre elles n’ayant formulé « d’objection pertinente et motivée » dans le délai imparti, elles sont réputées avoir approuvé le projet de décision en application de l’article 60 §6 du RGPD. Pour le responsable de traitement, cela signifie que toute décision rendue par l’autorité cheffe de file dans ce cadre a une portée européenne et est exécutoire dans l’ensemble des États membres concernés.

15. Comment une société peut-elle anticiper les contrôles en ligne de la CNIL sur son site web ?

La CNIL dispose du pouvoir de procéder à des contrôles en ligne à tout moment, sans préavis, à partir des seules URLs accessibles au public. Pour anticiper ces contrôles, toute société exploitant un site web soumis au consentement en matière de cookies devrait procéder à des audits techniques réguliers, comprenant notamment : (i) une vérification du comportement du site en mode sans action de l’utilisateur (absence de dépôt de cookies non essentiels), (ii) un test de navigation après clic sur « Tout refuser » (absence de dépôt malgré le refus, sur l’ensemble du périmètre), (iii) un test HAR de vérification de la lecture des cookies après retrait du consentement, (iv) une revue de l’ensemble des scripts tiers chargés sur chaque page. Ces tests doivent couvrir l’intégralité du parcours de navigation, y compris les pages secondaires et les domaines tiers liés.

---

 
 
 

---

POINTS ESSENTIELS

---

La délibération SAN-2025-011 du 27 novembre 2025, par laquelle la formation restreinte de la CNIL a infligé à la société AMERICAN EXPRESS CARTE FRANCE une amende administrative de 1 500 000 euros, constitue un arrêt de référence à double titre : elle enrichit substantiellement la jurisprudence en matière de cookies par une démonstration technique inédite fondée sur la RFC 6265 et le recours au fichier HAR comme outil de preuve de la lecture automatique des traceurs, et elle étend le principe de minimisation des données à la délimitation temporelle précise des enregistrements téléphoniques, au-delà de la seule question de leur volumétrie. Les manquements retenus s’articulent en cinq griefs distincts, répartis entre l’article 82 de la loi Informatique et Libertés et l’article 5-1-c du RGPD : dépôt de huit cookies non essentiels dès l’ouverture du site avant toute action de l’utilisateur ; dépôt de trois cookies marketing malgré le refus exprimé, via un domaine tiers accessible par un simple clic ; lecture persistante des cookies après retrait du consentement, en raison de la mécanique automatique d’envoi des cookies avec chaque requête HTTP — lecture établie par fichier HAR lors du second contrôle du 16 mai 2025 ; enregistrement des appels téléphoniques débutant avant la mise en relation avec un téléconseiller, captant des échanges privés sans lien avec les finalités déclarées — établi par un enregistrement comportant des paroles « parfaitement claires et intelligibles » ; absence d’interruption de l’enregistrement pendant les mises en attente. Sur le plan procédural, la délibération consolide la doctrine de la formation restreinte sur la liberté probatoire en cours d’instruction : un contrôle complémentaire diligenté par le rapporteur postérieurement au rapport initial est recevable dès lors qu’il illustre un grief préexistant et que le contradictoire est respecté — position directement fondée sur l’article 39 du décret du 29 mai 2019. La formation restreinte adopte en outre une conception structurelle — et non individualiste — des manquements au principe de minimisation, considérant qu’il est « indifférent que les conversations privées enregistrées ne fassent l’objet d’aucune exploitation » dès lors que le paramétrage de l’outil le permet ; de même, la présence d’un cookie sur le terminal après retrait du consentement suffit à caractériser une opération de lecture illicite, sans qu’il soit nécessaire de démontrer une exploitation commerciale effective. La sanction d’un million cinq cent mille euros, rendue dans le cadre du mécanisme de guichet unique impliquant vingt-sept autorités de contrôle européennes — aucune n’ayant formulé d’objection — tient compte de l’ampleur de la clientèle concernée (848 000 clients), de la nature transfrontalière des traitements, de la durée des manquements relatifs aux cookies (depuis janvier 2023) et, en atténuation, des mises en conformité progressivement opérées par la société en cours de procédure ; elle s’inscrit dans le corpus de décisions de l’année 2025 affirmant la détermination de la CNIL à contrôler non seulement l’existence d’un bandeau cookies, mais l’effectivité technique réelle de chacune de ses composantes — consentement préalable, étanchéité du refus sur l’ensemble du parcours de navigation, et invalidation immédiate des traceurs au retrait du consentement — faisant ainsi de la configuration des systèmes numériques, et non de leur seule interface visible, le terrain premier de la conformité.