Le 27 novembre 2025, la formation restreinte de la CNIL, autorité française de protection des données, a adopté la délibération SAN-2025-011 qui vient lourdement sanctionner la société American Express Carte France, filiale française du groupe American Express.
Cette décision s’inscrit dans la dynamique de renforcement de son action répressive contre les violations des règles de protection des données personnelles, notamment celles relatives aux cookies (sujet particulièrement suivi par la CNIL) et au consentement des utilisateurs.
La CNIL relève ainsi plusieurs manquements de la filiale française en matière de protection des données et notamment :
- Dépôt et lecture de cookies publicitaires sans consentement préalable valable sur le terminal des utilisateurs ;
- Poursuite du placement et de la lecture de traceurs malgré le refus ou le retrait du consentement exprimé par les utilisateurs ;
- Potentiellement des enregistrements excessifs de segments d’appels téléphoniques, capturant des informations privées sans justification suffisante pour la finalité déclarée.
Or, de telles pratiques sont tout à fait contraires aux principes fondamentaux du RGPD et à l’article 82 de la loi Informatique et Libertés, qui encadrent le recueil et l’usage des traceurs ainsi que le traitement des données personnelles.
La CNIL a donc prononcé une amende administrative de 1 500 000 € à l’encontre d’American Express Carte France, accompagnée d’une exigence de mise en conformité des pratiques de traitement des traceurs et du consentement.
Par cette décision, la CNIL nous rappelle notamment que :
- Les données collectées doivent être limitées à ce qui est nécessaire au regard de la finalité poursuivie : il s’agit là du fameux principe de minimisation de la donnée ;
- Il est impératif d’informer les personnes concernées et d’obtenir leur consentement avant d’inscrire des informations (cookies) sur leur terminal de communications électroniques ou d’accéder à celles-ci (lecture des cookies) en application de l’article 82 de la loi Informatique et Libertés.
Sujet phare de l’autorité depuis plusieurs années maintenant, la CNIL devrait poursuivre ses contrôles en 2026.