Excessive use of cookies: beware of indigestion!

Le 27 novembre 2025, la formation restreinte de la CNIL, autorité française de protection des données, a adopté la délibération SAN-2025-011 qui vient lourdement sanctionner la société American Express Carte France, filiale française du groupe American Express.

Cette décision s’inscrit dans la dynamique de renforcement de son action répressive contre les violations des règles de protection des données personnelles, notamment celles relatives aux cookies (sujet particulièrement suivi par la CNIL) et au consentement des utilisateurs.

La CNIL relève ainsi plusieurs manquements de la filiale française en matière de protection des données et notamment :

• Dépôt et lecture de cookies publicitaires sans consentement préalable valable sur le terminal des utilisateurs ;
• Poursuite du placement et de la lecture de traceurs malgré le refus ou le retrait du consentement exprimé par les utilisateurs ;
• Potentiellement des enregistrements excessifs de segments d’appels téléphoniques, capturant des informations privées sans justification suffisante pour la finalité déclarée.

Or, de telles pratiques sont tout à fait contraires aux principes fondamentaux du RGPD et à l’article 82 de la loi Informatique et Libertés, qui encadrent le recueil et l’usage des traceurs ainsi que le traitement des données personnelles.

La CNIL a donc prononcé une amende administrative de 1 500 000 € à l’encontre d’American Express Carte France, accompagnée d’une exigence de mise en conformité des pratiques de traitement des traceurs et du consentement.

Par cette décision, la CNIL nous rappelle notamment que :

• Les données collectées doivent être limitées à ce qui est nécessaire au regard de la finalité poursuivie : il s’agit là du fameux principe de minimisation de la donnée ;
• Il est impératif d’informer les personnes concernées et d’obtenir leur consentement avant d’inscrire des informations (cookies) sur leur terminal de communications électroniques ou d’accéder à celles-ci (lecture des cookies) en application de l’article 82 de la loi Informatique et Libertés.

Sujet phare de l’autorité depuis plusieurs années maintenant, la CNIL devrait poursuivre ses contrôles en 2026.

On November 27, 2025, the restricted panel of the CNIL, the French data protection authority, adopted deliberation SAN-2025-011, which imposes heavy penalties on American Express Carte France, the French subsidiary of the American Express group.

This decision is part of a broader effort to strengthen enforcement against violations of personal data protection rules, particularly those relating to cookies (a subject of particular interest to the CNIL) and user consent.

The CNIL has identified several breaches of data protection by the French subsidiary, including:

• Placing and reading advertising cookies without valid prior consent on users’ devices;
• Continuing to place and read trackers despite users’ refusal or withdrawal of consent;
• Potentially excessive recording of telephone call segments, capturing private information without sufficient justification for the stated purpose.

However, such practices are completely contrary to the fundamental principles of the GDPR and Article 82 of the French Data Protection Act, which govern the collection and use of trackers and the processing of personal data.

The CNIL therefore imposed an administrative fine of €1,500,000 on American Express Carte France, accompanied by a requirement to bring its practices for processing trackers and consent into compliance.

With this decision, the CNIL reminds us in particular that:

– The data collected must be limited to what is necessary for the purpose pursued: this is the well-known principle of data minimization;

– It is imperative to inform the individuals concerned and obtain their consent before storing information (cookies) on their electronic communications device or accessing it (reading cookies) in accordance with Article 82 of the French Data Protection Act.

A key issue for the authority for several years now, the CNIL is expected to continue its checks in 2026.