La Commission nationale de l’informatique et des libertés, réunie en sa formation restreinte composée de M. Philippe-Pierre CABOURDIN, président, M. Vincent LESCLOUS, vice-président, Mme Laurence FRANCESCHINI et M. Didier KLING, membres,
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des données à caractère personnel et à la libre circulation de ces données ;
Vu la loi no 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 20 et suivants ;
Vu le décret no 2019-536 du 29 mai 2019 pris pour l'application de la loi no 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu la délibération no 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l'informatique et des libertés ;
Vu la décision n° 2025-1154 QPC du 8 août 2025 du Conseil constitutionnel ;
Vu la décision n° 2023-006C du 25 janvier 2023 de la vice-présidente déléguée de la Commission nationale de l’informatique et des libertés de charger le secrétaire général de procéder ou de faire procéder à une mission de vérification des traitements mise en œuvre par la société AMERICAN EXPRESS CARTE FRANCE ou pour son compte ;
Vu la décision de la vice-présidente déléguée de la Commission nationale de l’informatique et des libertés du 6 mars 2025 portant désignation d’un rapporteur devant la formation restreinte ;
Vu le rapport de M. Fabien TARISSAN, commissaire rapporteur, signifié à la société AMERICAN EXPRESS CARTE FRANCE le 10 avril 2025 ;
Vu les observations écrites versées par le Conseil de la société AMERICAN EXPRESS CARTE FRANCE le 12 mai 2025 ;
Vu la décision n° 2025-095C du 14 mai 2025 de la vice-présidente déléguée de la Commission nationale de l’informatique et des libertés de charger le secrétaire général de procéder ou de faire procéder à une mission de vérification de tout traitement accessible à partir du site web " https://www.americanexpress.com/fr-fr/ " ;
Vu la réponse du rapporteur aux observations de la société, signifiée à la société le 4 juin 2025 ;
Vu les nouvelles observations écrites versées par le Conseil de la société AMERICAN EXPRESS CARTE FRANCE le 7 juillet 2025 ;
Vu la clôture de l’instruction, signifiée à la société le 22 juillet 2025 ;
Vu le courrier du président de la formation restreinte du 23 juillet 2025, informant la société que le dossier était inscrit à l’ordre du jour de la formation restreinte du 18 septembre 2025 ;
Vu les observations orales formulées lors de la séance de la formation restreinte du 18 septembre 2025 ;
Vu les autres pièces du dossier ;
Étaient présents, lors de la séance de la formation restreinte du 18 septembre 2025 :
- M. Fabien TARISSAN, commissaire, entendu en son rapport ;
En qualité de représentants de la société AMERICAN EXPRESS CARTE FRANCE :
- […]
La société AMERICAN EXPRESS CARTE FRANCE ayant été informée de son droit de garder le silence sur les faits qui lui étaient reprochés et ayant eu la parole en dernier ;
La formation restreinte a adopté la décision suivante :
I. FAITS ET PROCÉDURE
1. La société AMERICAN EXPRESS CARTE FRANCE (ci-après, " la société " ou " la société AECF " ou " AECF ") est une société anonyme à conseil d’administration dont le siège social est situé 8-10 rue Henri Sainte-Claire Deville à Rueil-Malmaison (92500). Filiale de la société AMERICAN EXPRESS COMPANY, située aux Etats-Unis, le groupe est le troisième émetteur de cartes de paiement au monde.
2. La société AECF émet et commercialise des cartes de paiement à débit différé permettant à ses clients, en contrepartie d’une cotisation annuelle, de régler des achats de biens et services chez les commerçants affiliés au réseau American Express. A la fin de chaque mois, le détenteur de la carte se voit prélever la somme des débits de ladite carte sur un compte bancaire ouvert auprès d’une banque tierce, la société ne proposant pas de service de gestion de comptes bancaires.
3. Plusieurs types de cartes sont proposés, incluant différents services associés parmi lesquels une gamme d’assurances et d’assistance dont les garanties et le montant de prise en charge varient. En outre, la société propose à ses clients de souscrire des assurances complémentaires et agit, dans ce cadre, en qualité d’intermédiaire entre l’assureur et le client.
4. La société commercialise ses produits à travers son site web " www.americanexpress.com/fr-fr/ " et les distribue par le biais de banques tierces. Seule filiale du groupe AMERICAN EXPRESS établie sur le territoire français en tant qu’établissement de paiement, la société AECF a précisé que ses produits visaient le marché français, d’autres entités du groupe étant chargées de distribuer les produits American Express dans les autres pays de l’Union européenne.
5. Au 31 décembre 2022, la société comptait 836 879 clients établis au sein de l’Union européenne, dont 831 443 résidant en France. La société précise qu’au 31 décembre 2024, elle comptait 848 000 clients et titulaires de comptes en ligne.
6. La société a réalisé, en 2022, un produit net bancaire de plus de 354 millions euros pour un résultat net d’environ 14,2 millions euros, et, en 2023, un produit net bancaire de 379 millions euros pour un résultat net de 12,5 millions d’euros. Elle indique avoir réalisé en 2024 un produit net bancaire de 505 949 462,84 euros, pour un résultat net de 23 465 049,59 euros.
7. La société indique enfin qu’elle employait 716 salariés au 31 décembre 2024.
8. L’attention de la Commission nationale de l’informatique et des libertés (ci-après " la CNIL " ou " la Commission ") ayant été attirée sur les traitements mis en œuvre par la société AMERICAN EXPRESS CARTE FRANCE, une délégation a procédé, les 26 et 27 janvier 2023, à une mission de contrôle sur place au siège de la société. Celle-ci visait à vérifier le respect des dispositions de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (ci-après, " la loi Informatique et Libertés " ou " loi du 6 janvier 1978 modifiée ") et du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (ci-après " le Règlement " ou le " RGPD ").
9. Ce contrôle a été suivi d’un contrôle en ligne réalisé à partir du site web " https://www.americanexpress.com/fr-fr/ " le 30 janvier 2023.
10. Les 7, 14 et 21 février, 7 avril, 16 mai, 23 juin et 3 juillet 2023, la société AECF a adressé à la délégation des éléments complémentaires.
11. Conformément à l’article 56 du RGPD et au vu des éléments du dossier, la CNIL a, le 27 novembre 2024, informé l’ensemble des autorités de contrôle européennes de sa compétence pour agir en tant qu’autorité de contrôle cheffe de file concernant les traitements transfrontaliers mis en œuvre par la société, résultant de ce que son établissement principal se trouve en France. Après échanges entre la CNIL et les autorités de protection des données européennes dans le cadre du mécanisme de guichet unique, il apparait que les autorités allemande, autrichienne, belge, bulgare, chypriote, croate, danoise, espagnole, estonienne, finlandaise, grecque, hongroise, irlandaise, italienne, lettonne, lituanienne, luxembourgeoise, maltaise, néerlandaise, norvégienne, polonaise, portugaise, tchèque, roumaine, slovaque, slovène et suédoise sont concernées par les traitements mis en œuvre, des personnes résidant dans ces Etats membres étant porteuses de cartes émises par la société AECF.
12. Aux fins d’instruction de ces éléments, la vice-présidente déléguée de la Commission a, le 6 mars 2025, désigné M. Fabien TARISSAN en qualité de rapporteur sur le fondement de l’article 22 de la loi du 6 janvier 1978 modifiée.
13. Le 10 avril 2025, à l’issue de son instruction, le rapporteur a fait notifier à la société un rapport détaillant les manquements aux articles 5-1-c du RGPD et 82 de la loi Informatique et Libertés qu’il estimait constitués en l’espèce. Ce rapport proposait à la formation restreinte de la Commission de prononcer à l’encontre de la société une amende administrative, ainsi qu’une injonction de mettre en conformité ses pratiques avec les dispositions susvisées, assortie d’une astreinte. Il proposait également que cette décision soit rendue publique mais qu’il ne soit plus possible d’identifier nommément la société à l’expiration d’un délai de deux ans à compter de sa publication.
14. Le 12 mai 2025, la société a produit des observations en réponse au rapport de sanction.
15. Le 16 mai 2025, à la demande du rapporteur et sur décision de la vice-présidente de la CNIL du 14 mai 2025 en application de l’article 39 du décret du 29 mai 2019, une délégation de la CNIL a procédé à un nouveau contrôle en ligne à partir du site web " https://www.americanexpress.com/fr-fr/ ". Le procès-verbal dressé à l’issue a été notifié à la société AMERICAN EXPRESS CARTE FRANCE le 4 juin 2025.
16. Le même jour, le rapporteur a répondu aux observations de la société.
17. Le 7 juillet 2025, la société a produit de nouvelles observations en réponse.
18. Le 22 juillet 2025, le rapporteur a, en application de l’article 40-III du décret n° 2019-536 du 29 mai 2019 pris pour l'application de la loi Informatique et Libertés (ci-après, " le décret du 29 mai 2019 "), informé la société que l’instruction était close.
19. Le 23 juillet 2025, la société a été informée que le dossier était inscrit à l’ordre du jour de la formation restreinte du 18 septembre 2025.
20. Le rapporteur et la société ont présenté des observations orales lors de la séance de la formation restreinte.
II. MOTIFS DE LA DECISION
A. Sur la procédure de coopération européenne
21. En application de l’article 60, paragraphe 3 du RGPD, le projet de décision adopté par la formation restreinte a été transmis le 16 octobre 2025 aux autorités de contrôle européennes concernées.
22. Au 14 novembre 2025, aucune de ces autorités n’avait formulé d’objection pertinente et motivée à l’égard de ce projet de décision, de sorte que, en application de l’article 60, para-graphe 6 du RGPD, ces dernières sont réputées l’avoir approuvé.
B. Sur l’administration de la preuve
23. La société conteste la manière dont la preuve a été administrée par le rapporteur pour caractériser les manquements relevés.
24. D’une part, s’agissant du manquement à l’article 5, paragraphe 1, c) du RGPD et plus particulièrement de l’enregistrement des appels lorsque l’appelant est mis en attente, la société observe que le rapporteur n’a produit, au soutien de son rapport, aucun élément de preuve attestant de ces enregistrements. Elle précise que ce n’est qu’au moment de sa réponse aux premières observations de la société – lesquelles soulignaient cette absence de preuve – que le rapporteur a produit un enregistrement permettant d’étayer son analyse. Elle considère que l’approche consistant à prendre en compte, au stade de sa réponse, de nouveaux éléments de preuve pour démontrer l'existence d’un manquement pourtant identifié dès le stade du rapport est contraire à l’obligation de diligence du rapporteur. Elle demande à la formation restreinte d’écarter les éléments produits.
25. D’autre part, s’agissant du manquement à l’article 82 de la loi Informatique et Libertés, la société considère que les éléments issus du contrôle en ligne du 16 mai 2025, diligenté à la demande du rapporteur, devraient être déclarés irrecevables. Elle estime en effet que le rapporteur aurait dû démontrer le manquement allégué dans son rapport initial – et donc procéder aux vérifications nécessaires en amont, et que des contrôles complémentaires réalisés a posteriori ne peuvent servir à justifier rétroactivement la constitution d’une infraction. Elle fait valoir qu’un tel procédé serait contraire à l’obligation de diligence du rapporteur mais également à son droit de ne pas s’auto-incriminer, dans la mesure où en apportant la preuve du manquement au stade de sa réponse, après avoir pris connaissance de la ligne de défense de la société, le rapporteur a contraint celle-ci à fournir des informations susceptibles d’être par la suite utilisées contre elle, sans qu’elle ait pleinement connaissance des éléments retenus à son encontre. Elle indique enfin que le principe d’égalité des armes n’aurait pas été respecté puisque, selon elle, l’absence de démonstration du manquement dans le rapport initial l’a désavantagée par rapport au rapporteur, en l’empêchant notamment de prendre les mesures de remédiation et de fournir les explications nécessaires dès la notification du rapport.
26. La formation restreinte rappelle qu’en application de l’article 39 du décret n° 2019-536 du 29 mai 2019, " lorsqu'une sanction est susceptible d'être prononcée, le président de la commission désigne un rapporteur n'appartenant pas à la formation restreinte et en informe le responsable de traitement ou le sous-traitant mis en cause. Le rapporteur procède à toutes diligences utiles avec le concours des services de la commission ". Il est ainsi loisible au rapporteur, comme à l’organisme mis en cause, de produire, au cours de l’instruction et jusqu’à sa clôture, toute pièce utile à l’établissement des faits en cause.
27. En l’espèce et premièrement, s’agissant de l’enregistrement produit par le rapporteur dans le cadre de sa réponse aux premières observations de la société, la formation restreinte relève, d’une part, que cette pièce a été transmise à la délégation par la société elle-même et que cette dernière en avait donc parfaitement connaissance, avant même la notification du rapport. D’autre part, la formation restreinte note que, dans son rapport initial, le rapporteur avait déjà clairement énoncé le manquement reproché et qu’il était donc loisible à la société, en toute connaissance de la qualification retenue et sans attendre la production d’un enregistrement illustratif, de fournir des explications sur les faits en cause et de prendre le cas échéant des mesures de remédiation, ce qu’elle a d’ailleurs fait et dont elle justifie dans ses observations du 12 mai 2025, antérieures à la réponse du rapporteur. Enfin, la formation restreinte relève que la société a pu se défendre sur cette pièce à l’occasion de ses secondes observations en réponse du 7 juillet 2025 et que le principe du contradictoire a dès lors été respecté.
28. Deuxièmement, s’agissant du contrôle en ligne du 16 mai 2025, la formation restreinte relève que ce contrôle a été décidé et réalisé conformément aux règles applicables, dans le cadre normal de l’instruction des manquements initialement relevés et que le premier rapport ne figeait pas. La société a par ailleurs pu, dans ses dernières écritures du 7 juillet 2025, répondre aux éléments issus de ces constatations. Il en résulte qu’aucune violation des principes fondamentaux invoqués par la société n’est caractérisée.
29. En outre, la formation restreinte relève que le manquement relatif à l’ineffectivité du retrait du consentement aux cookies non essentiels figure dans le rapport initial de sanction du 10 avril 2025, lequel rappelle le fonctionnement d’un navigateur web et précise que " lors de la navigation d’un utilisateur sur un site web, les cookies présents sur son terminal sont systématiquement envoyés à travers des requêtes vers les domaines auxquels ils sont associés, autrement dit sont systématiquement lus. Par exemple, s’agissant du site web de la société AMERICAN EXPRESS CARTE FRANCE, le cookie " dtCookie ", dont le domaine est " .americanexpress.com ", sera contenu dans toutes les requêtes destinées au domaine " americanexpress.com " et à tous ses sous-domaines ". Ainsi, la seule présence de cookies sur le navigateur de l’internaute, mise en évidence par le premier contrôle, permettait de retenir ce manquement, comme indiqué par le rapporteur dans son rapport. La formation restreinte relève que c’est pour répondre aux premières observations en défense de la société, qui faisait état de l’insuffisance des éléments de preuve pour caractériser le manquement allégué (en particulier concernant l’existence d’opérations de lecture) que le rapporteur a diligenté ce second contrôle destiné à fournir à la société, par la production d’un fichier HAR, l’illustration des opérations de lecture, d’ores et déjà établies.
30. Dès lors, la formation restreinte considère que l’administration de la preuve dans ce dossier n’a méconnu aucun principe fondamental ni aucune des règles régissant les procédures de sanction menées devant la CNIL.
C. Sur le manquement à l’obligation de veiller à l’adéquation, à la pertinence et au ca-ractère non excessif des données en application de l’article 5, paragraphe 1, c) du RGPD
31. En droit, l’article 5-1-c du RGPD dispose que " les données à caractère personnel doivent être […] adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) ".
32. La formation restreinte a régulièrement rappelé que l’appréciation du respect du principe de minimisation des données repose sur la stricte adéquation entre les données collectées et les raisons présidant à leur collecte (CNIL, FR, Sanction, 18 septembre 2023, n° SAN-2023-013, publié).
33. En matière d’enregistrement des appels téléphoniques, le principe de minimisation des données implique notamment de n’enregistrer que les segments nécessaires à la poursuite des finalités définies pour ce traitement, et peut, selon la finalité poursuivie, s’opposer à leur enregistrement intégral et systématique, si cette finalité peut être atteinte par un moyen moins intrusif. Ainsi, dès lors que le contrôle de la qualité du service peut être réalisé par l’enregistrement d’un échantillon de conversations téléphoniques, la CNIL considère que l’instauration d’un dispositif d’enregistrement systématique des appels téléphoniques ayant lieu entre les salariés d’une société et ses clients est excessive au regard de la finalité poursuivie (CNIL, FR, 8 juin 2023, Sanction, SAN-2023-008, publié ; CNIL, FR, 26 septembre 2024, Sanction, SAN-2024-014, publié).
34. Le rapporteur rappelle que cette position n’est pas nouvelle, dans la mesure où, dans sa délibération n° SAN-2020-003 du 28 juillet 2020, à l’égard d’une société qui procédait à l’enregistrement des appels reçus par les salariés du service clients d’une société à des fins de formation, la formation restreinte de la CNIL avait déjà considéré que " la société ne justifie pas de la nécessité d’enregistrer l’intégralité des conversations téléphoniques passées par le service client, au regard de la finalité du traitement, à savoir la formation des salariés. (…) Si le nombre d’enregistrements peut varier en fonction de chaque salarié et des circonstances, en particulier des besoins de formation de celui-ci, (…) la société ne démontre pas avoir mis en place, pour le passé et l’avenir, un enregistrement des conversations téléphoniques des salariés limité à ce qui est nécessaire au regard de la finalité poursuivie. Or, un responsable de traitement ne peut mettre en place un traitement de données à caractère personnel sans s’assurer que celui-ci est nécessaire à ses besoins, a fortiori lorsqu’il repose sur un dispositif particulièrement intrusif pour les salariés. La formation restreinte considère donc, au vu de ces éléments, qu’un manquement à l’article 5-1-c) du RGPD est constitué ".
35. Le principe de minimisation des données impose également au responsable de traitement de s’interroger, au-delà de la question de la proportion des appels enregistrés, sur la nécessité de l’objet de ces enregistrements au regard des finalités poursuivies.
36. En l’espèce, dans son rapport du 10 avril 2025 et sa réponse du 4 juin 2025 aux observations de la société, le rapporteur relève que, lorsque des personnes contactent par téléphone le service client d’AECF, l’enregistrement de la conversation, d’une part, débute dès la fin des mentions d’information délivrées par le serveur vocal, avant même la mise en relation avec un téléconseiller, et, d’autre part, n’est pas interrompu lorsque l’appelant est mis en attente par un téléconseiller au cours de l’appel.
37. Il estime que des paroles à caractère privé prononcées par l’appelant et potentiellement par des tiers se trouvant à proximité du téléphone sont dès lors susceptibles d’être enregistrées, à la fois dès la fin des mentions délivrées par le serveur vocal, avant la mise en relation avec le téléconseiller, et en cas de mise en attente. Le rapporteur considère que les mesures mises en œuvre par la société (le paramétrage de l’outil […] fourni par la société […]) permettant l’enregistrement des paroles des personnes contactant le service client d’AECF, en dehors de celles échangées avec les salariés de la société, constitue un manquement au principe de minimisation des données prévu à l’article 5, paragraphe 1, c) du RGPD, ces parties de ces enregistrements n’apparaissant ni adéquates, ni pertinentes, ni limitées à ce qui est nécessaire à la poursuite des finalités déclarées. Il estime indifférent que les conversations privées enregistrées ne fassent l’objet d’aucune exploitation et que la majorité des personnes contactant la société n’entretiennent pas de telles conversations pendant l’appel dès lors que celles-ci, lorsqu’elles interviennent, ne devraient pas faire l’objet d’un enregistrement.
38. Le rapporteur précise que l’enregistrement de conversations téléphoniques, qui implique une collecte de la voix couplée à d’autres éléments tels que le numéro de téléphone de la personne concernée, constitue un traitement de données à caractère personnel, et ce indépendamment du contenu des paroles prononcées.
39. Le rapporteur indique que si des conversations privées ne sont pas nécessairement captées lors de l’ensemble des enregistrements, l’ensemble de ces appels sont toutefois susceptibles d’être concernés par le manquement, le paramétrage de l’outil permettant la captation de conversations privées ne présentant aucun lien avec les finalités poursuivies. Il estime que cela est démontré par l’extrait figurant en pièce n° 25 du rapport, les paroles de l’appelant et de son interlocuteur étant selon lui parfaitement audibles. Il estime que l’absence de parole prononcée entre la fin du message délivré par le serveur vocal et la prise de l’appel par le téléconseiller dans les dix autres enregistrements transmis à la délégation ne résulte que des aléas de l’échantillonnage réalisé et n’est pas de nature à remettre en cause la caractérisation du manquement.
40. Il estime que l’enregistrement des appels en cas de mise en attente est démontré par l’enregistrement du 26 janvier 2023 à 15h41 en pièce n° 1 de son rapport, le disque d’attente diffusé étant parfaitement audible, même si la personne concernée ne prononce aucune parole.
41. Il considère que le manquement reste constitué pour le passé en dépit des modifications apportées par la société à son système d’enregistrement des appels.
42. En défense, la société AECF, dans ses observations écrites des 12 mai et 7 juillet 2025, conteste le manquement reproché.
43. AECF précise en premier lieu que le manquement au principe de minimisation reproché ne saurait concerner les enregistrements réalisés à des fins de preuve de la conclusion d’un contrat d’assurance (appels avec le département assurance) – ceux-ci faisant d’ailleurs l’objet d’une mise en demeure de la présidente de la CNIL dans le cadre d’une procédure distincte. Ce manquement doit dès lors, selon AECF, n’être envisagé que pour les appels entrants reçus par le service clientèle, enregistrés à des fins de formation des salariés et de vérification de la conformité.
44. Au titre des autres finalités poursuivies, AECF fait valoir que les griefs formulés par le rapporteur concernent un nombre extrêmement limité d’enregistrements et, au sein de ces enregistrements, une partie minime de l’appel, et que ces enregistrements n’ont pas d’impact sur les personnes concernées. Elle invoque sa bonne foi, estime avoir de longue date mis en place les mesures suffisantes pour respecter le principe de minimisation des données et que, pour fonder les griefs qu’il formule, le rapporteur procède à une interprétation très extensive de ce principe.
45. En particulier elle estime qu’aucun élément ne permet de démontrer que l’ensemble des enregistrements est concerné et soutient que le rapporteur ne démontre pas suffisamment les faits susceptibles de caractériser le manquement allégué.
46. S’agissant de l’enregistrement entre la fin du message d’accueil et d’informations du serveur vocal et la mise en relation avec l’agent du service client, AECF expose que le rapporteur n’invoque qu’un seul enregistrement d’appel sur les 32 transmis, dont la partie litigieuse se limite à 14 secondes et est inintelligible (impossibilité d’identifier une personne), de sorte qu’il ne peut être établi qu’elle comporterait des données à caractère personnel. AECF conteste la possibilité de déduire de cet enregistrement inintelligible l’existence d’une violation potentielle du principe de minimisation des données. Elle considère qu’un tel enregistrement est dépourvu d’impact sur les personnes concernées, celui-ci n’ayant pas vocation à collecter des données à caractère personnel et n’étant pas exploité. Elle précise que le client est informé par un message que la conversation sera enregistrée sauf opposition de sa part et qu’il peut donc s’attendre à être enregistré. Elle ajoute qu’il peut couper le micro de son téléphone pendant le temps d’attente.
47. Dans ses premières observations en défense, AECF conteste par ailleurs tout enregistrement lorsque l’appelant est mis en attente et estime que le rapporteur n’en rapporte pas la preuve. Dans ses secondes observations, elle précise que la pièce invoquée par le rapporteur dans sa réponse n’établit aucun manquement dès lors qu’aucune conversation privée n'est enregistrée et aucune donnée à caractère personnel n’est traitée.
48. AECF estime que le rapporteur procède à une interprétation extensive du principe de minimisation des données en alléguant une violation seulement potentielle procédant des paramétrages de l’outil d’enregistrement, sans se fonder sur des captations effectives de conversation comportant des données à caractère personnel.
49. La société explique qu’en tout état de cause le manquement allégué est marginal au regard du nombre de personnes concernées, de l’absence de captation de conversations privées lors de chaque appel et de l’absence d’exploitation de ces enregistrements.
50. AECF précise que la difficulté ne lui avait pas été signalée dans le cadre de ses précédents échanges avec la CNIL (dans le cadre de sa mission d’accompagnement) et que cette dernière n’avait jamais, dans ses publications, précisé que l'enregistrement des appels devait commencer après que l'appelant a été mis en relation avec l’agent ni que les enregistrements devaient être limités aux paroles échangées entre le client et l’agent du service client. Elle estime avoir dès lors légitimement pu croire en la conformité de son système d’enregistrement des appels.
51. AECF indique enfin avoir, au cours de la procédure, modifié son système d’enregistrement des appels pour ne plus enregistrer les paroles du client avant la mise en contact avec l’agent et s’assurer que l’enregistrement n’est pas réalisé lorsque le client est mis en attente. Elle entend ainsi démontrer sa bonne foi et précise que cela ne saurait valoir reconnaissance du manquement reproché, qu’elle conteste.
52. La formation restreinte relève qu’il est constant que les clients d’AECF peuvent contacter le service client de la société par téléphone et que, sauf opposition de la part des personnes concernées, 50 % de ces appels entrants sont enregistrés et peuvent être réécoutés à l’aide de l’outil […], développé par la société […].
53. Le volume d’appels reçus s’est élevé en 2022 à près de 1,2 million, dont la moitié a fait l’objet d’un enregistrement, soit 600 000 appels – ce qui n’équivaut pas nécessairement à 600 000 personnes concernées, un même client pouvant procéder à plusieurs appels.
54. Il est aussi constant que ces enregistrements sont en principe conservés pendant 60 jours pour la réalisation des finalités suivantes :
- la formation et l’amélioration de la performance de ses salariés,
- le contrôle de la conformité,
- marginalement le traitement des réclamations formulées par les clients.
55. Il résulte des constations réalisées lors du contrôle sur place, des pièces transmises par la société ainsi que des échanges entre le rapporteur et cette dernière que l’appelant est immédiatement mis en relation avec un serveur vocal l’informant de sa possibilité de s’opposer à l’enregistrement de l’appel. Après avoir sélectionné la rubrique correspondant à sa demande, l’appelant est mis en contact avec un téléconseiller, qui authentifie le client avant tout partage d’informations personnelles.
56. La société ne conteste pas qu’en l’absence d’opposition du client, l’enregistrement des appels débutait, à la date du contrôle sur place, immédiatement après la diffusion du message d’accueil et d’informations du serveur vocal, avant la mise en relation avec l’agent du service client.
57. Ces faits sont confirmés par l’enregistrement en pièce n° 25 annexée au rapport initial du 10 avril 2025, celui-ci permettant d’entendre de manière parfaitement claire et intelligible les échanges privés entre un client et un tiers avant la mise en relation avec le téléconseiller. Il est ainsi suffisamment démontré que le paramétrage opéré par la société de son outil d’enregistrement des appels téléphoniques permettait de capter les échanges privés tenus par ses clients entre la fin du message d’information délivré par le serveur vocal et la première interaction avec un téléconseiller.
58. Par ailleurs, si la société conteste, dans ses premières observations en réponse, la poursuite de l’enregistrement en cas de mise en attente de l’appel par le téléconseiller, la formation restreinte relève que celle-ci est établie par l’enregistrement du 26 janvier 2023 à 15h41 invoqué par le rapporteur, le disque d’attente diffusé étant parfaitement audible ainsi qu’il l’indique. Si aucune parole privée n’est prononcée lors de cet enregistrement, le paramétrage de l’outil d’enregistrement par la société permettait cette captation.
59. Ces enregistrements contiennent nécessairement des données à caractère personnel dès lors que, comme l’a déjà jugé la formation restreinte, la collecte de la voix couplée à d’autres éléments tels que le numéro de téléphone de la personne concernée, constitue un traitement de données à caractère personnel, peu important le contenu ou le sens des paroles prononcées.
60. Ces enregistrements réalisés en dehors des temps d’interaction entre le client et le téléconseiller, qui permettent la captation d’échanges privés, ne répondent à aucune des trois finalités poursuivies par la société : la formation et l’amélioration de la performance de ses salariés, le contrôle de la conformité, ou le traitement des réclamations formulées par les clients.
61. Les données ainsi collectées ou susceptibles de l’être en raison du paramétrage de l’outil d’enregistrement défini par la société n’étaient dès lors ni nécessaires, ni adéquates, ni pertinentes au regard des finalités pour lesquelles elles sont traitées, de sorte que le dispositif mis en place par la société était constitutif, à la date du contrôle sur place, d’un manquement au principe de minimisation des données.
62. Ce manquement était susceptible d’atteindre la protection des données à caractère personnel d’un nombre important de personnes au regard du volume d’appels concernés (600 000 appels par an). Le nombre réel de personnes concernées demeure toutefois inconnu, l’échantillonnage réalisé dans le cadre des opérations de contrôle permettant de démontrer que des segments non nécessaires des appels étaient enregistrés et non d’estimer le nombre de personnes concernées par des captations effectives de données à caractère personnel lors de ces enregistrements contraires au principe de minimisation des données.
63. La formation restreinte précise que les échanges antérieurs de la société AECF avec les services de la CNIL en charge de la mission d’accompagnement des acteurs dévolue à cette dernière sont sans effet sur la responsabilité de la société, celle-ci étant tenue, en sa qualité de responsable de traitement, d’assurer la conformité de l’ensemble des traitements de données à caractère personnel qu’elle met en œuvre à la réglementation protectrice de ces données et en particulier au principe de minimisation des données.
64. La formation restreinte note enfin que la société démontre avoir, postérieurement à la notification du rapport de sanction, procédé à des modifications techniques de son dispositif d’enregistrement des appels téléphoniques reçus par les téléconseillers de son service client, de sorte qu’il n’est plus soutenu qu’il ne serait pas conforme aux règles et principes applicables.
65. La formation restreinte décide que le manquement est toutefois bien constitué pour le passé.
D. Sur le manquement à l’obligation d’informer les personnes concernées et d’obtenir leur consentement avant d’inscrire des informations (cookies) sur leur terminal de communications électroniques ou d’accéder à celles-ci (lecture des cookies) en application de l’article 82 de la loi Informatique et Libertés
66. Les règles régissant l’utilisation, par un service de communications électroniques, des cookies et autres traceurs sur les équipements terminaux utilisés dans l’Union européenne sont fixées à l’article 5, paragraphe 3, de la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, telle que modifiée par la directive 2009/136/CE du 25 novembre 2009.
67. Ces règles ont été transposées en droit français à l’article 32, paragraphe II, de la loi Informatique et Libertés, devenu l’article 82 depuis la réécriture de cette loi par l’ordonnance n° 2018-1125 du 12 décembre 2018. Celui-ci prévoit que " Tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, sauf s’il l’a été au préalable, par le responsable du traitement ou son représentant :
1° De la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ;
2° Des moyens dont il dispose pour s’y opposer.
Ces accès ou inscriptions ne peuvent avoir lieu qu’à condition que l'abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle.
Ces dispositions ne sont pas applicables si l’accès aux informations stockées dans l’équipement terminal de l’utilisateur ou l’inscription d’informations dans l’équipement terminal de l’utilisateur :
1° Soit, a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ;
2° Soit, est strictement nécessaire à la fourniture d'un service de communication en ligne à la demande expresse de l’utilisateur ".
68. En l’espèce, le rapporteur a relevé dans son rapport initial trois manquements de la société relatifs au dépôt et à la lecture de cookies sur le terminal de l’utilisateur :
- avant toute action de sa part ;
- malgré le refus exprimé par celui-ci ;
- après retrait de son consentement.
69. Il précise avoir, en complément au contrôle en ligne du 30 janvier 2023, sollicité le 13 mai 2025, à la suite des observations de la société, la réalisation d’un nouveau contrôle en ligne à partir du site web " www.americanexpress.com/fr-fr ", afin de vérifier la réalité des mesures que la société indiquait avoir mises en œuvre ainsi que l’éventuelle lecture de cookies après retrait du consentement de l’utilisateur. Ce nouveau contrôle en ligne a été réalisé le 16 mai 2025.
70. La société reconnaît l’existence des deux premiers manquements relevés par le rapporteur à la date du premier contrôle en ligne du 30 janvier 2023. S’agissant du troisième manquement, elle considère, dans ses premières observations en réponse, que le rapporteur n’en fournit pas la preuve puis, dans ses secondes observations, que les constats résultant du contrôle en ligne du 16 mai 2025 devraient être écartés. Elle indique en tout état de cause s’être depuis mise en conformité avec les dispositions de l’article 82 de la loi Informatique et Libertés et avoir renforcé sa gouvernance de la gestion des cookies.
71. Il y a lieu d’examiner successivement chacun des trois volets du manquement aux obligations en matière de cookies envisagés par le rapporteur dans son rapport.
1. Sur le dépôt de cookies sur le terminal de l’utilisateur avant toute action de sa part
72. En droit, l’article 82 de la loi n° 78-17 du 6 janvier 1978 impose le recueil d’un consentement préalable avant de procéder à des opérations de lecture ou d’écriture sur l’équipement terminal (ordinateur, téléphone, etc.) de la personne concernée. Toute action visant à stocker des informations ou à accéder à des informations stockées dans l’équipement terminal d’un abonné ou d’un utilisateur est en principe soumise à cette exigence. Ces mêmes dispositions prévoient des exceptions à cette obligation pour les opérations, soit ayant pour finalité exclusive de permettre ou faciliter la communication par voie électronique, soit strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur. Ces dispositions ont été interprétées par la CNIL dans ses lignes directrices et sa recommandation du 17 septembre 2020 (délibérations nos 2020-091 et 2020-092 du 17 septembre 2020).
73. Le rapporteur relève qu’il ressort du contrôle en ligne du 30 janvier 2023 que, dès l’arrivée de l’utilisateur sur le site web " www.americanexpress.com/fr-fr/ ", et avant toute action de sa part, huit cookies, qui ne bénéficient pas de l’exemption prévue par les textes susvisés et auraient donc dû être soumis au consentement de l’utilisateur, étaient déposés.
74. Le rapporteur note que le contrôle en ligne du 16 mai 2025 a permis de démontrer que ces huit cookies n’étaient à cette date plus déposés lors de l’arrivée sur le site " www.americanexpress.com/fr-fr ", avant le recueil du consentement. Il considère toutefois qu’un manquement à l’article 82 de la loi Informatique et Libertés est caractérisé pour le passé.
75. La société AECF ne conteste pas qu'à l'époque du premier contrôle en ligne du 30 janvier 2023, des cookies étaient déposés sans l'obtention du consentement de l'utilisateur, alors que l'exemption du consentement prévue à l'article 82 ne trouvait pas à s’appliquer. Elle indique s’être depuis mise en conformité et avoir en particulier déployé, en novembre 2024, un nouveau processus de revue de la catégorisation de chaque nouveau cookie en fonction de ses finalités, afin de s’assurer que les cookies non exemptés du recueil du consentement soient bien catégorisés comme tels et associés à un script conditionnant leur dépôt et leur lecture au consentement. Elle indique que seuls les " cookies essentiels " sont désormais déposés avant toute action de la part d'un utilisateur sur la page d'accueil.
76. La formation restreinte relève qu’il ressort du procès-verbal du contrôle en ligne du 30 janvier 2023 et des déclarations de la société AECF dans le cadre de la présente procédure de sanction qu’à la date de ce contrôle, trente-et-un cookies étaient déposés sur le terminal de l’utilisateur dès l’ouverture de la page d’accueil du site web " www.americanexpress.com/fr-fr/ ", sans action préalable de sa part et notamment sans qu’il n’interagisse avec le site ni n’opère de choix entre les boutons " Tout refuser ", " Gérer les paramètres " et " Tout accepter " apparaissant sur la fenêtre surgissante lors de l’arrivée sur le site. Il est également démontré par ce procès-verbal et reconnu par la société AECF que parmi ces trente-et-un cookies, huit nécessitaient le recueil préalable du consentement de l’utilisateur en ce qu’ils n’entraient pas dans le champ de l’exemption prévue par l’article 82 de la loi Informatique et Libertés précité. Il s’agit plus particulièrement des cookies suivants :
- les cookies " mmapi.p.pd ", " mmapi.p.bid ", " mmapi.p.srv " et " mmapi.p.uat " ayant pour finalité " la mesure de la performance et l’optimisation du site web ", c’est-à-dire l’optimisation de l’expérience de l’utilisateur sur le site web et la compréhension des contenus susceptibles d’intéresser les visiteurs ;
- les cookies " AMCVS_5C36123F5245AF470A490D45%40AdobeOrg ", " AMCV_5C36123F5245AF470A490D45%40AdobeOrg ", " demdex " et " TS0139a03f ", lié au domaine " gct.americanexpress.com ", ayant une finalité " marketing ", c’est-à-dire publicitaire.
77. Le manquement est reconnu par la société AECF.
78. Au vu de l’ensemble de ces éléments, la formation restreinte considère qu’en déposant des cookies non exemptés de l’obligation de recueil du consentement sur le terminal de l’utilisateur, dès son arrivée sur le site web et avant toute action de sa part, la société a commis un manquement à l’article 82 de la loi Informatique et Libertés.
79. Au regard des mesures prises par la société au cours de la procédure, attestées par le procès-verbal de contrôle en ligne du 16 mai 2025, la formation restreinte note que la société s’est, pour les huit cookies précédemment visés, mise en conformité en cessant de les déposer sans recueil préalable du consentement de l’utilisateur lors de l’arrivée sur le site " www.americanexpress.com/fr-fr ". Le manquement n’en reste pas moins caractérisé pour le passé.
2. Sur le dépôt de cookies sur le terminal de l’utilisateur malgré le refus des opérations de lecture et d’écriture
80. La formation restreinte rappelle qu’elle a déjà sanctionné des organismes qui ne rendaient pas effectif le choix exprimé par les utilisateurs en matière de cookies (délibération n° SAN-2021-013 du 27 juillet 2021 et délibération n° SAN-2023-024 du 29 décembre 2023, publiés).
a. À partir du site " www.americanexpress.com/fr-fr "
81. En l’espèce, le rapporteur relevait dans son rapport que, lorsque l’utilisateur refusait le dépôt de cookies (en cliquant sur le bouton " Tout refuser " de la fenêtre prévue pour la gestion des cookies), six nouveaux cookies, qu’il considérait comme non essentiels, étaient néanmoins déposés sur son terminal. Au regard des explications fournies par la société quant aux finalités poursuivies par ces cookies, le rapporteur, dans sa réponse et lors de la séance, a indiqué abandonner cette branche du manquement.
82. La formation restreinte constate dès lors que cette branche du manquement n’est plus soutenue par le rapporteur et n’est en tout état de cause pas caractérisée.
b. À partir du site " email.amex-info.fr "
83. En l’espèce, le rapporteur relève qu’il ressort du contrôle en ligne du 30 janvier 2023 qu’après avoir exprimé son refus au dépôt et à la lecture des cookies non essentiels sur le site " www.americanexpress.com/fr-fr/ ", la délégation a continué sa navigation sur le site et, à partir de l’onglet " devenir client " – situé au niveau de l’en-tête de la page d’accueil –, a constaté qu’un menu déroulant permettait d’accéder à différentes rubriques parmi lesquelles " les Cartes AMERICAN EXPRESS ". Au sein de cette rubrique, un clic sur le bouton intitulé " obtenir + d’infos " (positionné dans un encart à droite de la page) a permis à la délégation de constater l’ouverture, dans un nouvel onglet, d’une page ayant pour URL " http://email.amex-info.fr/demande-generique?elqCampaignId=65&inav=fr_menu_cards_pccards ", entraînant le dépôt de dix nouveaux cookies. Le rapporteur considère que, parmi ces dix cookies, trois nécessitaient le recueil du consentement et qu’un manquement à l’article 82 de la loi Informatique et Libertés est dès lors caractérisé, dans la mesure où l’utilisateur avait exprimé son refus d’un tel dépôt. S’il prend acte de la mise en conformité de la société sur ce point, il estime que le manquement demeure caractérisé pour le passé.
84. La société AECF ne conteste pas l’existence du manquement et indique s’être, postérieurement au contrôle en ligne du 30 janvier 2023, mise en conformité. Elle précise qu’elle fournit désormais aux personnes concernées des moyens effectifs leur permettant de refuser toute action tendant à accéder à des informations déjà stockées dans leur équipement terminal ou à inscrire des informations dans cet équipement.
85. La formation restreinte relève qu’il résulte des constatations réalisées le 30 janvier 2023 que, malgré le refus des cookies dits non essentiels exprimé par l’utilisateur sur le site web " www.americanexpress.com/fr-fr/ ", sa navigation sur ce site conduisait à cette date au dépôt sur son terminal, via l’URL " http://email.amex-info.fr/demande-generique?elqCampaignId=65&inav=fr_menu_cards_pccards ", de trois cookies à finalité marketing soumis au consentement préalable de l’utilisateur. Le mécanisme de refus des cookies offert par la société sur le site web " www.americanexpress.com/fr-fr/ " n’était dès lors pas effectif, en violation de l’article 82 de la Loi informatique et Libertés, ce que la société reconnaît.
86. La formation retreinte note que la société a depuis corrigé ce manquement et considère que le manquement demeure constitué pour le passé.
3. Sur la lecture de cookies sur le terminal de l’utilisateur après retrait du consentement
87. En droit, la loi Informatique et Libertés prévoit expressément que, dès lors qu’elles n’entrent pas dans le champ des exceptions mentionnées aux deux derniers alinéas de l’article 82, les opérations d’accès ou d’inscription d’informations dans le terminal d’un utilisateur ne peuvent avoir lieu qu’après que ce dernier a exprimé son consentement.
88. Ces dispositions, telles qu’interprétées de manière constante par la Commission depuis sa recommandation relative aux cookies et autres traceurs du 5 décembre 2013 (délibération no 2013-378) et, en tout dernier lieu, dans sa recommandation du 17 septembre 2020 (délibération n°2020-092 du 17 septembre 2020), impliquent non seulement que les personnes concernées donnent leur consentement à l’accès ou à l’inscription d’informations dans leur terminal, mais également que celles ayant donné leur consentement soient en mesure de le retirer de manière simple et à tout moment.
89. Dans une décision du 29 décembre 2023, la formation restreinte a ainsi expressément rappelé que, " si l’article 82 de la loi Informatique et Libertés conditionne le dépôt de cookies au consentement de l’abonné ou de l’utilisateur, il offre nécessairement, de manière corrélative, le droit à l’intéressé de retirer son consentement et de revenir ainsi sur son choix d’accepter que des cookies soient déposés sur son terminal " (CNIL, FR, 29 décembre 2023, Sanction, SAN-2023-024, publié).
90. S’agissant des modalités techniques permettant d’assurer l’effectivité du retrait du consentement, la CNIL a précisé, dans sa recommandation précitée du 17 septembre 2020, que " pour que le retrait du consentement soit effectif, il peut être nécessaire de mettre en place des solutions spécifiques pour garantir l’absence de lecture ou d’écriture des traceurs précédemment utilisés ". Ces solutions peuvent par exemple consister à modifier la durée de vie des cookies pour indiquer qu’ils sont expirés (en renvoyant dans une réponse http un en-tête " set cookie " appropriée spécifiant une date d’expiration dans le passé), ce qui entraînera leur suppression par le navigateur, ou encore, s’agissant des cookies ne disposant pas de l’attribut " httpOnly ", à assurer leur suppression à l’aide d’un script exécuté localement sur le terminal, via l’utilisation des interfaces de programmation d’application " cookies " des navigateurs web.
91. En l’espèce, le rapporteur relève dans son rapport initial qu’il résulte du contrôle en ligne du 30 janvier 2023 qu’après avoir accepté le dépôt de cookies non essentiels sur son terminal, puis retiré son consentement et poursuivi sa navigation sur le site, la délégation a constaté la présence sur son navigateur de l’ensemble des cookies déposés avant retrait du consentement, parmi lesquels plusieurs étaient pourtant soumis au consentement de l’utilisateur. Le rapporteur rappelle dans son rapport le fonctionnement technique d’un navigateur, précisant que " lors de la navigation d’un utilisateur sur un site web, les cookies présents sur son terminal sont systématiquement envoyés à travers des requêtes vers les domaines auxquels ils sont associés, autrement dit sont systématiquement lus. Par exemple, s’agissant du site web de la société AMERICAN EXPRESS CARTE FRANCE, le cookie " dtCookie ", dont le domaine est " .americanexpress.com ", sera contenu dans toutes les requêtes destinées au domaine " americanexpress.com " et à tous ses sous-domaines ". Il relève dès lors que la seule présence de ces cookies sur le navigateur entraîne nécessairement des opérations de lecture, qui interviennent malgré le retrait du consentement de l’utilisateur et constituent un manquement à l’article 82 de la loi Informatique et Libertés.
92. Dans ses premières observations en défense, la société soutient que le rapporteur n’apporte aucune preuve de ces opérations de lecture et que la seule présence des cookies sur le terminal de l’utilisateur est insuffisante pour démontrer un manquement. Elle fait au contraire valoir que la méthode utilisée permet d’assurer la prise en compte effective du retrait du consentement, les cookies précédemment déposés n’étant, selon elle, plus lus après un tel retrait.
93. Le rapporteur, prenant acte de ces observations et conformément aux pouvoirs dont il dispose (cf. points 28 et 29 de la présente délibération), a dès lors demandé à ce que des constatations complémentaires soient réalisées. A la suite de ce contrôle en ligne du 16 mai 2025, le rapporteur a, à l’appui de sa réponse, produit un fichier HAR démontrant que les cookies précédemment déposés et toujours présents sur le navigateur continuaient, après retrait du consentement, à être lus.
94. Dans ses secondes observations en réponse, la société indique avoir, en réaction à la réponse du rapporteur et en adoptant les solutions préconisées par celui-ci, mis en œuvre des améliorations afin de s'assurer qu’après le retrait de consentement de l’utilisateur, seules les requêtes associées à des cookies non essentiels soient envoyées à partir de l'appareil de l'utilisateur (modification de la durée de vie des cookies pour indiquer qu’ils sont expirés et qu’ils disparaissent du domaine americanexpress.com après le retrait du consentement d'un utilisateur). Elle indique que les cookies concernés ne sont ainsi plus présents dans terminal de l'utilisateur après le retrait du consentement et qu’aucune requête associée aux cookies non essentiels soumis au consentement n’est plus envoyée depuis le terminal de l’utilisateur à la suite du retrait de son consentement par ce dernier. Elle produit en ce sens un procès-verbal de constat dressé par un commissaire de justice.
95. La formation restreinte rappelle, comme souligné par le rapporteur dans son rapport du 10 avril 2025, que lors de la navigation d’un utilisateur sur un site web, les cookies présents sur son terminal sont systématiquement envoyés à travers des requêtes vers les domaines auxquels ils sont associés, autrement dit sont systématiquement lus. Il s’agit du comportement attendu d’un navigateur web, les conditions dans lesquelles ces derniers devraient traiter les cookies étant notamment précisées dans la RFC 6265, un document technique de l’Internet Engineering Task Force (IETF).
96. Ainsi, les cookies dits first-party (associés au domaine actuellement visité par l’internaute) dont la présence a été constatée sur le navigateur de la délégation lors du contrôle en ligne du 30 janvier 2023 étaient nécessairement lus par AECF lors de la navigation sur le site " www.americanexpress.com/fr-fr ", si bien que le manquement apparait constitué dès cette date.
97. La formation restreinte relève que ces constatations ont été confirmées par le procès-verbal établi lors du contrôle en ligne du 16 mai 2025, le fichier HAR établi démontrant qu’à la suite du retrait de son consentement au dépôt et à la lecture de cookies non exemptés par l’utilisateur, les cookies ne bénéficiant pas de l’exemption prévue par l’article 82 de la loi Informatique et Libertés au regard de leurs finalités telles qu’elles résultent de la politique de confidentialité de la société, et dont le dépôt avait été constaté le 30 janvier 2023, ont continué à être envoyés à travers des requêtes vers le domaine " .americanexpress.com " et le sous-domaine " www.americanexpress.com " auxquels ils sont associés. Ainsi, des opérations de lecture de cookies soumis au consentement de l’utilisateur se sont poursuivis après le retrait de celui-ci.
98. La société indique d’ailleurs dans ses dernières observations qu’elle a, après réception des observations en réponse du rapporteur, mis en œuvre des démarches permettant de faire cesser ces opérations de lecture de cookies non exemptés malgré le retrait du consentement de l’utilisateur, dont elle reconnaît dès lors implicitement la réalité à la date du contrôle en ligne du 16 mai 2025. Elle indique d’ailleurs " Le fichier HAR a montré que certaines requêtes étaient envoyées depuis l'appareil des utilisateurs vers les serveurs d’AECF après le retrait du consentement ".
99. En sa qualité de responsable de traitement, la société était pleinement responsable de ces opérations et disposait de l’ensemble des moyens et compétences pour les faire cesser.
100. Dès lors, il en résulte un manquement à l’article 82 de la loi Informatique et Libertés pour ne pas avoir garanti l’effectivité du retrait du consentement de l’utilisateur.
101. La formation restreinte note que, si la société s’est depuis mise en conformité sur ce point, le manquement demeure néanmoins caractérisé pour le passé.
III. SUR LES MESURES CORRECTRICES ET LEUR PUBLICITÉ
A. Sur le prononcé d’une amende administrative et son montant
102. Aux termes de l’article 20-IV de la loi n° 78-17 du 6 janvier 1978 modifiée, " lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi, le président de la Commission nationale de l'informatique et des libertés peut […] saisir la formation restreinte de la commission en vue du prononcé, après procédure contradictoire, de l'une ou de plusieurs des mesures suivantes : […]
2° Une injonction de mettre en conformité le traitement avec les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi ou de satisfaire aux demandes présentées par la personne concernée en vue d’exercer ses droits, qui peut être assortie, sauf dans les cas où le traitement est mis en œuvre par l’Etat, d’une astreinte dont le montant ne peut excéder 100 000 euros par jour de retard à compter de la date fixée par la formation restreinte ;
7° À l'exception des cas où le traitement est mis en œuvre par l'État, une amende administrative ne pouvant excéder 10 millions d'euros ou, s'agissant d'une entreprise, 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu. Dans les hypothèses mentionnées aux 5 et 6 de l'article 83 du règlement (UE) 2016/679 du 27 avril 2016, ces plafonds sont portés, respectivement, à 20 millions d'euros et 4 % dudit chiffre d'affaires. La formation restreinte prend en compte, dans la détermination du montant de l'amende, les critères précisés au même article 83 ".
103. L’article 83 du RGPD prévoit en outre que " chaque autorité de contrôle veille à ce que les amendes administratives imposées en vertu du présent article pour des violations du présent règlement visées aux paragraphes 4, 5 et 6 soient, dans chaque cas, effectives, proportionnées et dissuasives ", avant de préciser les éléments devant être pris en compte pour décider s'il y a lieu d’imposer une amende administrative et pour décider du montant de cette amende.
104. Enfin, l’article 22, alinéa 2 de la loi Informatique et Libertés dispose que " la formation restreinte peut rendre publique les mesures qu’elle prend ".
105. Le rapporteur propose à la formation restreinte de prononcer à l’encontre de la société une amende administrative au regard des manquements constitués aux articles 5, paragraphe 1, c) du RGPD et 82 de la loi Informatique et Libertés.
106. La société AECF estime le montant de l’amende proposé par le rapporteur disproportionné et insuffisamment motivé au regard du principe de prévisibilité des peines prévu à l’article 7 de la Convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales. Elle sollicite sa réduction substantielle par la formation restreinte.
107. Pour cela, elle conteste la réalisation du critère de gravité en indiquant avoir corrigé deux des manquements en matière de cookies avant la notification du rapport de sanction et le manquement au principe de minimisation des données concernant l’enregistrement des appels téléphoniques dans le mois suivant cette notification. S’agissant du manquement relatif au retrait du consentement aux cookies, la société indique avoir au cours de la procédure mis en œuvre les recommandations de la CNIL pour y remédier. Elle précise dès lors qu’aucun des manquements relevés ne subsiste plus à ce jour, ce qui démontre selon elle sa coopération et sa bonne foi.
108. Au regard des critères énoncés à l’article 83 du RGPD, elle invoque également l’absence de gravité des manquements ainsi que l’absence de plainte adressée à la Commission. AECF précise en particulier que le montant proposé par le rapporteur ne peut être que revu à la baisse au regard du caractère marginal du manquement au principe de minimisation des données et, en particulier, du nombre de personnes concernées – moindre que celui initialement allégué par le rapporteur, le nombre de personnes concernées étant inférieur à celui des appels reçus. La société estime également que la remédiation qu’elle a apportée aux manquements relatifs au dépôt de cookies sans le consentement de l’utilisateur ou malgré son refus constatés en 2023 aurait dû conduire le rapporteur à revoir à la baisse le montant de l’amende sollicitée, ce qu’il n’a pas fait. La société invoque enfin l’existence de démarches anciennes de mise en conformité de son outil d’enregistrement des appels auprès des services de la CNIL en charge de l’accompagnement des acteurs.
1. Sur le prononcé de l’amende
109. La formation restreinte relève tout d’abord que, s’agissant du manquement à l’article 5, paragraphe 1, c) du RGPD, le nombre de personnes concernées et de conversations privées effectivement enregistrées est réduit. Il ressort en effet des enregistrements transmis que, pour la très grande majorité des appels, les conseillers prennent en charge la communication immédiatement après la fin du message délivré par le serveur vocal (aucune conversation privée n’ayant alors le temps d’être enregistrée) et que, lorsque ce n’est pas le cas, l’appelant prend généralement soin de ne pas entretenir de conversation parallèle. Ainsi, sur les onze enregistrements transmis par la société, un seul permet effectivement d’entendre une conversation privée, qui ne contenait en l’espèce aucune information présentant une particulière sensibilité. Par ailleurs, la formation restreinte relève que ce manquement résulte d’un mauvais paramétrage de l’outil d’enregistrement et qu’il n’est pas établi que les enregistrements réalisés en dehors des temps d’interaction entre le client et le téléconseiller auraient procédé d’une démarche intentionnelle de la part de la société ni fait l’objet d’une quelconque exploitation par cette dernière. Enfin, il convient de souligner qu’aussitôt après avoir été informée de ce mauvais paramétrage, la société a procédé aux modifications permettant d’assurer la mise en conformité du dispositif. Ainsi, si le manquement à l’article 5, paragraphe 1, c) apparait constitué pour le passé, il ne justifie pas, compte tenu de l’ensemble des circonstances venant d’être rappelées, l’imposition d’une sanction.
110. En revanche, s’agissant du manquement à l’article 82 de la loi Informatique et Libertés, il doit être relevé que les manquements commis relatifs à l’inscription et la lecture de cookies en dépit de l’absence, du refus ou du retrait du consentement de l’utilisateur ne sont pas apparents pour ce dernier et que sa confiance légitime dans l’effectivité des choix opérés en la matière a ainsi été trompée.
111. La gravité de ce manquement est en outre renforcée par le fait que la société ne pouvait ignorer les règles applicables, compte tenu de leur ancienneté et de leur large diffusion par la CNIL.
112. Enfin, si la mise en conformité de la société à la suite des contrôles et au cours de la procédure de sanction pour l’ensemble des manquements constatés doit être portée à son crédit, elle révèle également que la société disposait de l’ensemble des moyens nécessaires à la mise en œuvre des règles et principes applicables en matière de cookies, et qu’elle aurait ainsi pu prendre les mesures qui s’imposaient sans attendre de faire l’objet d’un contrôle de la Commission.
113. En conséquence, la formation restreinte estime, au vu de l’ensemble de ces éléments et au regard des critères fixés à l’article 83 du RGPD, qu’il y a lieu de prononcer une amende administrative au titre du manquement à l’article 82 de la loi Informatique et Libertés.
2. Sur le montant de l’amende
114. Afin de fixer le montant de l’amende devant être prononcée à l’encontre de la société, il convient de tenir compte de la gravité du manquement commis telle qu’elle résulte de ce qui précède, ainsi que des démarches de mise en conformité déployées à la suite des contrôles et au cours de la procédure de sanction.
115. Il doit également être tenu compte du montant maximum de l’amende encourue, en l’espèce 10 millions d’euros ou 2 % du chiffre d’affaires annuel, ainsi que des capacités financières et de l’importance économique de la société, qui a réalisé :
- en 2022, un produit net bancaire de plus de 354 millions euros pour un résultat net d’environ 14,2 millions euros ;
- en 2023, un produit net bancaire de 379 millions euros pour un résultat net de 12,5 millions d’euros ;
- et selon ses propres déclarations, en 2024, un produit net bancaire de 505 949 462,84 euros et un résultat net de 23 465 049,59 euros.
116. S’agissant du montant de l’amende qui doit être proportionnée et dissuasive, au regard des responsabilités et capacités financières de la société et des critères pertinents de l’article 83 du RGPD, la formation restreinte considère qu’apparait adapté de prononcer à l’encontre de la société AECF une amende administrative d’un montant d’un million cinq cent mille euros (1 500 000 €) au regard du manquement à l’article 82 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
B. Sur le prononcé d’une injonction assortie d’une astreinte
117. Le rapporteur a indiqué lors de la séance ne pas solliciter le prononcé d’une injonction à l’encontre de la société.
118. La formation restreinte constate en tout état de cause la mise en conformité opérée en cours de procédure par la société concernant l’ensemble des manquements caractérisés et dit dès lors n’y avoir lieu au prononcé d’une injonction.
C. Sur la publicité de la sanction
119. Le rapporteur propose que la décision adoptée par la formation restreinte soit rendue publique, au regard de la gravité des manquements en cause, de la position de la société sur le marché ainsi que du nombre de personnes concernées. Il considère que cette mesure apparait proportionnée, dès lors qu’il est proposé que la décision n’identifie plus nommément la société à l’expiration d’un délai de deux ans à compter de sa publication.
120. La société AECF s’oppose à la publication de la décision et estime à titre subsidiaire que celle-ci devrait en tout état de cause exclure les informations particulièrement sensibles ou protégées par des secrets d'affaires qu’elle a communiquées dans le cadre de ses secondes observations en défense.
121. La formation restreinte considère qu’une telle mesure de publicité se justifie au regard de la gravité avérée des manquements en cause, de la position de la société sur le marché et du nombre de personnes concernées, lesquelles doivent être informées.
122. Elle estime en outre que cette mesure apparait proportionnée dès lors que la décision n’identifiera plus nommément la société à l’issue d’un délai de deux ans à compter de sa publication.
123. Enfin, elle considère que les informations figurant dans la présente délibération ne constituent pas des informations sensibles et ne sont pas susceptibles d’être protégées par le secret des affaires.
PAR CES MOTIFS
La formation restreinte de la CNIL, après en avoir délibéré, décide de :
• prononcer une amende administrative à l’encontre de la société AMERICAN EXPRESS CARTE FRANCE d’un montant d’un million cinq cent mille euros (1 500 000 €) pour manquement à l’article 82 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;
• rendre publique, sur le site web de la CNIL et sur le site web de Légifrance, sa délibération, qui ne permettra plus d’identifier nommément la société à l’issue d’une durée de deux ans à compter de sa publication.
Le président
Philippe-Pierre CABOURDIN
Cette décision est susceptible de faire l’objet d’un recours devant le Conseil d’État dans un délai de deux mois à compter de sa notification.