American Express condamnée à une amende de 1,5 million d'euros pour violation de la loi sur les cookies en France

protection des données
Written By Nathalie Pouderoux

Malgré des années de réglementation et de contrôle, la conformité en matière de cookies reste un domaine dans lequel même les organisations les plus sophistiquées ont des lacunes. La récente amende de 1,5 million d'euros infligée par la Commission nationale de l'informatique et des libertés (CNIL) à American Express Carte France illustre clairement comment des erreurs techniques dans les mécanismes de consentement peuvent se traduire par un risque réglementaire important.

Contexte de l'enquête de la CNIL

American Express Carte France, filiale française du groupe American Express, gère le site web français du groupe et distribue des produits de paiement par l'intermédiaire de banques partenaires et de ses propres canaux en ligne. Début 2023, la CNIL a procédé à une série d'inspections du site web et des activités sur site de l'entreprise, en se concentrant sur l'utilisation des cookies et des technologies de suivi similaires.

Ces inspections ont donné lieu à une mesure coercitive formelle. En novembre 2025, la CNIL a conclu que l'entreprise avait enfreint l'article 82 de la loi française sur la protection des données, qui exige le consentement préalable de l'utilisateur pour l'installation et la lecture de la plupart des cookies non essentiels.

Les pratiques dénoncées par la CNIL

La CNIL a identifié trois manquements majeurs. Premièrement, les cookies publicitaires étaient placés dès que les utilisateurs arrivaient sur le site web, avant même qu'ils aient interagi avec la bannière relative aux cookies ou exprimé une préférence. Concrètement, les utilisateurs étaient suivis avant même d'avoir eu la possibilité de faire un véritable choix.

Deuxièmement, la CNIL a constaté que des cookies publicitaires étaient toujours déployés même lorsque les utilisateurs avaient explicitement refusé leur consentement. Cela allait à l'encontre de l'objectif du mécanisme de consentement et, selon l'autorité de régulation, rendait le refus sans effet.

Troisièmement, lorsque les utilisateurs acceptaient initialement les cookies puis retiraient leur consentement, les cookies déjà placés continuaient d'être lus. Le retrait du consentement, qui devrait être aussi facile et efficace que son octroi, n'était donc pas correctement respecté.

En fixant le montant de l'amende, la CNIL a clairement indiqué qu'il ne s'agissait pas de questions juridiques nouvelles ou incertaines. Les règles relatives aux cookies sont en vigueur depuis de nombreuses années et ont été largement clarifiées par des lignes directrices et des décisions d'application antérieures. Si l'autorité a reconnu que l'entreprise avait corrigé ses pratiques au cours de l'enquête, cela n'a pas pour autant éliminé la gravité des infractions sous-jacentes.

Points clés à retenir pour les entreprises

L'affaire American Express met en évidence un thème récurrent dans l'application des règles relatives aux cookies, à savoir l'écart entre ce que promet une bannière de consentement et ce qui se passe réellement en coulisses.

Pour les entreprises, les points clés à retenir sont d'ordre pratique plutôt que théorique. Le consentement doit être techniquement appliqué, et pas seulement communiqué visuellement. Si les cookies sont activés avant qu'un choix ne soit fait, ou continuent de fonctionner après un refus ou un retrait, le cadre de conformité est probablement défectueux.

Cela rappelle également que la responsabilité ne s'arrête pas à la bannière. Les outils publicitaires tiers, les services d'analyse et les systèmes de gestion des balises doivent tous être configurés de manière à respecter les choix des utilisateurs en temps réel.

Enfin, cette décision renforce le fait que les régulateurs attendent des organisations qu'elles traitent la conformité des cookies comme un domaine mature du droit de la protection des données. Pour les entreprises disposant d'écosystèmes numériques complexes, des tests réguliers, des audits et une coordination interfonctionnelle entre les équipes juridiques, marketing et informatiques sont essentiels. La conformité des cookies peut sembler opérationnelle, mais comme le montre cette affaire, les conséquences réglementaires et financières d'une erreur peuvent être considérables.

Comment Gerrish Legal peut vous aider?

Gerrish Legal est un cabinet juridique numérique et dynamique. Nous sommes fiers de prodiguer des conseils juridiques experts et de haute qualité à nos précieux clients. Nous sommes spécialisés dans de nombreux aspects du droit numérique tels que le RGPD, la confidentialité des données, le droit numérique et technologique, le droit commercial et la propriété intellectuelle.

Nous offrons aux entreprises le soutien dont elles ont besoin pour gérer leurs activités avec succès et en toute confiance tout en se conformant aux réglementations légales, sans avoir à se plier aux exigences numériques en constante évolution.

Nous sommes là pour vous aider, contactez-nous dès aujourd’hui pour plus d’informations. 

Article de Nathalie Pouderoux, Consultante pour Gerrish Legal

Nathalie Pouderoux
Previous

Votre guide commercial pour la conformité à l'IA en 2026
Next

Les régulateurs européens ciblent les géants technologiques afin de lutter contre les pratiques anticoncurrentielles dans le domaine de l'IA