CNIL | SAN-2025-011 | 27 novembre 2025 | Affaire AMERICAN EXPRESS CARTE FRANCE | SAN-2025-011-SHORT

---

---

I.

 

Une société de paiement au cœur d’une double défaillance de conformité

Par délibération du 27 novembre 2025, la formation restreinte de la CNIL a sanctionné la société AMERICAN EXPRESS CARTE FRANCE (AECF), filiale française du groupe AMERICAN EXPRESS, établissement de paiement émettant et distribuant des cartes de débit différé auprès d’environ 848 000 clients dans l’Union européenne, pour deux catégories de manquements distincts constatés lors de contrôles menés en janvier 2023. Le premier manquement porte sur le principe de minimisation des données, prévu à l’article 5, paragraphe 1, c) du RGPD, en lien avec le paramétrage défaillant du système d’enregistrement des appels téléphoniques du service client. Le second regroupe trois violations distinctes des règles applicables aux traceurs, régies par l’article 82 de la loi Informatique et Libertés, relatives au dépôt de cookies sans consentement préalable, au dépôt de cookies malgré le refus de l’utilisateur, et à la lecture de cookies malgré le retrait du consentement.

---

---

II.

 

Un enregistrement téléphonique mal paramétré : la captation de la vie privée des appelants

Le premier manquement découle d’un paramétrage défaillant de l’outil d’enregistrement des appels téléphoniques utilisé par le service client d’AECF. Deux anomalies cumulatives ont été constatées lors du contrôle sur place des 26 et 27 janvier 2023. D’une part, l’enregistrement débutait immédiatement après la diffusion des messages d’information du serveur vocal, avant même la mise en relation avec un téléconseiller, ce qui permettait de capter les échanges privés de l’appelant — notamment les conversations tenues dans son environnement immédiat, avec des tiers présents physiquement. La pièce n° 25 du rapport initial du 10 avril 2025 permettait, selon les termes de la délibération, d’entendre « de manière parfaitement claire et intelligible les échanges privés entre un client et un tiers avant la mise en relation avec le téléconseiller ». D’autre part, l’enregistrement n’était pas interrompu lorsque l’appelant était mis en attente par le téléconseiller au cours de l’appel, ce qui était démontré par l’enregistrement du 26 janvier 2023 à 15h41, lequel rendait le disque d’attente parfaitement audible.

La formation restreinte a retenu que ces enregistrements réalisés en dehors des temps d’interaction entre le client et le téléconseiller ne répondaient à aucune des finalités déclarées par la société — formation et amélioration de la performance des salariés, contrôle de la conformité, traitement marginal des réclamations — et constituaient en conséquence un traitement de données ni nécessaires, ni adéquates, ni pertinentes au sens de l’article 5, paragraphe 1, c) du RGPD. Elle a expressément écarté l’argument selon lequel le manquement serait marginal en raison du nombre limité d’enregistrements affectés ou de l’absence d’exploitation des segments litigieux : c’est le paramétrage lui-même — qui rendait possible la captation — qui constitue la violation, indépendamment de l’effectivité de cette captation dans chaque appel ou de l’exploitation ultérieure des données captées.

La société avait, au cours de la procédure, modifié son système pour ne plus enregistrer les paroles du client avant la mise en contact avec l’agent et s’assurer que l’enregistrement est suspendu pendant les mises en attente. La formation restreinte a pris acte de ces mesures correctives, tout en maintenant que le manquement demeurait constitué pour le passé.

---

---

III.

 

Un dispositif de gestion des cookies structurellement défaillant

Le deuxième ensemble de manquements porte sur les règles régissant les traceurs, telles qu’issues de l’article 82 de la loi Informatique et Libertés. La CNIL a identifié trois violations successives, qui couvrent l’intégralité du cycle temporel du consentement.

En premier lieu, la CNIL a constaté que plusieurs traceurs à finalité publicitaire — dont les cookies « demdex », « AMCVS5C36123F5245AF470A490D4540AdobeOrg » ou encore « TS0139a03f » — étaient déposés sur le terminal de l’utilisateur dès son arrivée sur le site www.americanexpress.com/fr-fr, avant même qu’il n’interagisse avec la fenêtre de gestion des cookies pour exprimer un choix. Ce dépôt préalable au consentement constitue une violation frontale du principe du consentement préalable, qui exige que le dépôt de tout traceur non strictement nécessaire soit précédé d’un choix éclairé et libre de l’utilisateur.

En deuxième lieu, la CNIL a constaté que des traceurs à finalité publicitaire continuaient à être déposés malgré le refus expressément exprimé par l’utilisateur. Ce mécanisme, lié à la navigation vers certaines pages ou sous-domaines du site, illustre la dissociation structurelle entre l’interface de gestion du consentement et les mécanismes techniques de dépôt des traceurs, lesquels opéraient indépendamment du signal de refus.

En troisième lieu, la CNIL a constaté que lorsqu’un utilisateur, après avoir accepté le dépôt de traceurs, retirait son consentement, les traceurs précédemment déposés continuaient à être lus. La formation restreinte a précisé le mécanisme technique en cause : tout cookie présent sur le navigateur est systématiquement envoyé dans les requêtes vers les domaines auxquels il est associé, ce qui constitue une opération de lecture automatique à chaque navigation. La seule présence du traceur sur le navigateur après retrait du consentement suffit donc à caractériser ce manquement, sans qu’il soit nécessaire de démontrer une opération de lecture active et délibérée de la part du responsable de traitement.

---

---

IV.

 

Un débat procédural sur l’administration de la preuve

La délibération SAN-2025-011 présente une originalité procédurale notable : la société AECF a contesté avec vigueur la régularité de l’administration de la preuve par le rapporteur, sur deux points distincts. Elle a d’abord soutenu que l’enregistrement téléphonique produit dans la réponse du rapporteur — après les premières observations en défense de la société — aurait dû figurer dans le rapport initial, et que sa production tardive violait les droits de la défense. Elle a ensuite soutenu que le second contrôle en ligne du 16 mai 2025, diligenté à la demande du rapporteur pour démontrer l’existence d’opérations de lecture de cookies, était irrecevable comme justificatif rétroactif d’un manquement non suffisamment prouvé dans le rapport initial.

La formation restreinte a rejeté ces deux contestations. S’agissant du premier point, elle a relevé que la pièce contestée avait été transmise à la délégation par la société elle-même et qu’AECF en avait donc parfaitement connaissance ; que le rapport initial avait clairement identifié le manquement reproché, permettant à la société de présenter sa défense ; et que le principe du contradictoire avait été respecté, la société ayant pu répondre à cette pièce dans ses secondes observations. S’agissant du second point, elle a rappelé que le contrôle complémentaire avait été décidé et réalisé conformément aux règles applicables, dans le cadre normal de l’instruction, et que la société avait pu présenter ses observations sur les éléments issus de ce contrôle. La formation restreinte a posé le principe selon lequel il est loisible au rapporteur de produire, au cours de l’instruction et jusqu’à sa clôture, toute pièce utile à l’établissement des faits en cause, sans que cette faculté constitue une violation des principes fondamentaux de la procédure dès lors que le contradictoire est assuré.

---

---

V.

 

Une coopération européenne unanime

La procédure SAN-2025-011 illustre le fonctionnement du mécanisme de guichet unique prévu par les articles 56 et 60 du RGPD. La CNIL, en sa qualité d’autorité cheffe de file, a transmis le projet de décision à vingt-sept autorités de contrôle européennes le 16 octobre 2025. Au 14 novembre 2025, aucune de ces autorités n’avait formulé d’objection pertinente et motivée, de sorte qu’elles sont réputées avoir approuvé le projet. Cette approbation tacite unanime de vingt-sept régulateurs nationaux confère à la décision une autorité particulière dans l’espace européen de protection des données et confirme la solidité des analyses juridiques conduites par la CNIL dans ce dossier.

---

 
 
 

---

POINTS ESSENTIELS

---