Cookies : la CNIL sanctionne AMERICAN EXPRESS d’une amende de 1,5 million d’euros

Cookies : la CNIL sanctionne AMERICAN EXPRESS d’une amende de 1,5 million d’euros
Article RGPD Sanction RGPD Sanctions CNIL

Le 27 novembre 2025, la Commission nationale de l’informatique et des libertés (CNIL) a infligé une amende de 1,5 million d’euros à la société AMERICAN EXPRESS CARTE FRANCE, filiale française du groupe AMERICAN EXPRESS. Elle lui reproche plusieurs violations des règles encadrant l’usage des traceurs et cookies, prévues à l’article 82 de la loi Informatique et Libertés.


Contexte de la sanction

AMERICAN EXPRESS, dont le siège est situé aux États-Unis, est l’un des principaux émetteurs de cartes de paiement au monde. En France, ses produits sont commercialisés par AMERICAN EXPRESS CARTE FRANCE, notamment via le site www.americanexpress.com/fr-fr/.


En janvier 2023, la CNIL a mené plusieurs contrôles, en ligne et dans les locaux de la société. Les vérifications ont révélé des pratiques non conformes à l’article 82 de la loi Informatique et Libertés concernant le dépôt et la lecture de cookies.


À l’issue de ces constats, la formation restreinte de la CNIL a prononcé une amende de 1,5 million d’euros, tenant compte à la fois de la gravité des manquements et de la mise en conformité effectuée en cours de procédure.


Les manquements relevés

1. Dépôt de cookies sans consentement préalable

Des traceurs — notamment publicitaires — étaient déposés dès l’arrivée sur le site, avant toute interaction avec la bannière cookies.
Or, aucun cookie non essentiel ne peut être déposé sans un consentement clair, libre et éclairé.


2. Dépôt de cookies malgré un refus

La CNIL a constaté que certains cookies publicitaires continuaient d’être déposés même après un refus exprimé.


3. Lecture de cookies malgré un retrait du consentement

Lorsque l’utilisateur retirait son consentement, les cookies précédemment déposés continuaient à être lus.
Le retrait doit pourtant provoquer immédiatement l’arrêt de toute lecture.


Conseils pratiques : comment éviter ce type de sanction ?

Pour permettre à vos équipes DPO, marketing et IT de rester conformes, voici une checklist opérationnelle issue des bonnes pratiques de la CNIL :


1. Vérifier techniquement le fonctionnement réel des cookies

Ne vous contentez pas d’un audit documentaire.
Testez le site en situation réelle, avec les outils suivants :

  • Console navigateur
  • Outils “Storage / Cookies”
  • Extensions type “Cookie Inspector”

Contrôlez :

  • Aucun cookie non essentiel avant consentement
  • Aucun cookie marketing en cas de refus
  • Lecture interrompue après retrait

2. Configurer correctement votre CMP (bannière cookies)

Assurez-vous que :

  • Les boutons Accepter et Refuser soient d’un même niveau (visibilité et accessibilité)
  • Le “Continuer sans accepter” soit disponible
  • Le choix soit respecté sans dark patterns

Astuce : Vérifiez également la durée de conservation du consentement (6 mois conseillés par la CNIL).


3. Documenter votre conformité

En cas de contrôle, la CNIL demande des preuves.

Préparez :

  • Les paramétrages de votre CMP
  • Les rapports d’audit technique
  • Les logs de déclenchement des cookies
  • Les instructions données à vos sous-traitants (agence web, développeurs, régies)


4. Encadrer strictement les dépôts de cookies par les tiers

Scripts marketing, widgets, vidéos embarquées…
Exigez une liste exhaustive des cookies déposés par les outils tiers.
Vérifiez qu’aucun script ne se déclenche avant consentement.


5. Tester le retrait du consentement

C’est l’un des points les plus souvent oubliés.

Assurez-vous que :

  • Le retrait est accessible depuis toutes les pages
  • Les cookies déposés sont immédiatement bloqués ou supprimés
  • Aucune lecture technique ne persiste en arrière-plan


6. Former les équipes internes

Marketing, communication, IT, métiers…
La conformité cookies nécessite la coordination de plusieurs services.

Organisez des formations régulières sur :

  • Le principe de consentement
  • Le fonctionnement des CMP
  • Les risques juridiques et réputationnels

En savoir plus sur les formations


Conclusion

Cette sanction contre AMERICAN EXPRESS rappelle que les règles relatives aux cookies sont parfaitement connues et que la CNIL se montre exigeante, notamment sur le respect effectif du choix des utilisateurs.
Les organisations doivent s’assurer que leur CMP ne soit pas seulement correctement paramétrée en théorie, mais totalement maîtrisée en pratique.

Retour aux actualités
Partager l'article

Articles similaires

Un site web non conforme RGPD ? C’est tout le contrat qui s’écroule
Article RGPD

Un site web non conforme RGPD ? C’est tout le contrat qui s’écroule

Une décision récente de la Cour d’appel de Grenoble rappelle une réalité juridique lourde de conséquences : un site web non conforme au RGPD peut justifier la rupture du contrat de prestation aux torts exclusifs du prestataire. Le RGPD ne se limite pas à une simple formalité, c’est un socle légal incontournable.
Lire la suite
Caméras augmentées et RGPD : la CNIL dit « non » au déploiement dans les bureaux de tabac
Article RGPD

Caméras augmentées et RGPD : la CNIL dit « non » au déploiement dans les bureaux de tabac

Le 11 juillet 2025, la CNIL a publié une prise de position claire : les caméras dites « augmentées » utilisées pour estimer l’âge des clients à l’entrée des bureaux de tabac ne sont pas conformes au RGPD. Cette décision pose un cadre fort face aux expérimentations en cours mêlant intelligence artificielle, reconnaissance faciale et régulation des ventes de produits interdits aux mineurs.
Lire la suite