Cookies publicitaires et filiales internationales : la sanction de la filiale française d’American Express par la CNIL confirme l’exigence de conformité

Publié par le dans | Consulté 12 Fois

par Laure MONTIGNEAUX, étudiante du Master 2 Droit des communications électroniques

L’usage de cookies publicitaires est strictement encadré par la loi Informatique et Libertés. Les filiales de groupes internationaux doivent s’y conformer et ne peuvent être exemptées de l’obligation de mise en conformité, protégeant les utilisateurs contre la collecte de leurs données à des fins publicitaires.

Le 27 novembre 2025, la formation restreinte de la CNIL a sanctionné la société American Express Carte France, pour le non-respect de la réglementation en vigueur applicable aux cookies. L’autorité de contrôle a constaté un manquement de cette société à l’article 82 de la loi Informatique et Libertés et a prononcé une amende de 1,5 million d’euros. Cette sanction illustre l’importance du respect du consentement de l’utilisateur et le rôle central du contrôle de la CNIL dans la protection des données personnelles.

Source : site actecil

Un manquement au consentement de l’utilisateur :

L’installation de cookies publicitaires sur les terminaux des utilisateurs permet de collecter leurs préférences afin de proposer des publicités ciblées pour chaque profil. Cet usage est encadré par l’article 82 de la loi Informatique et Libertés.

Dans cette affaire, la CNIL a procédé à un premier contrôle en 2023, puis en 2025 afin de vérifier la mise en conformité de l’usage de traceurs par la société American Express Carte France. L’article 82 de la loi Informatique et Libertés impose que l’utilisateur ait expressément donné son accord. La CNIL a considéré que le dépôt de cookies publicitaires sans le consentement, ou en méconnaissance du choix de l’utilisateur constituait un manquement grave. Cette décision s’inscrit dans un cadre européen, car aucune autorité européenne de protection des données personnelles ne s’y est opposée. Elle rappelle donc que la filiale française du groupe American Express reste responsable de sa mise en conformité. Tout responsable de traitement est tenu de respecter le consentement des utilisateurs et ne peut utiliser des traceurs sans respecter le cadre légal.

Ainsi, la société American Express a été sanctionnée pour le non-respect de l’obligation d’obtention du consentement. L’amende a été fixée à 1,5 million d’euros compte tenu de la gravité du manquement et des capacités financières de l’entreprise.  

Les manquements constatés lors des contrôles effectués par la CNIL :

Le premier manquement concerne l’absence de consentement au dépôt de cookies. La CNIL a constaté le dépôt de trente-et-un cookies. Huit d’entre eux nécessitaient le recueil préalable du consentement. C’est notamment le cas de ceux ayant pour finalité la mesure de performance et l’optimisation du site web ainsi qu’une finalité marketing. Le consentement doit être une manifestation de volonté, libre, spécifique, univoque et éclairé, conformément à l’article 4 du RGPD. L’utilisateur doit avoir le choix de consentir ou non au traitement de ses données personnelles et de refuser ce traitement lorsque cela n’est pas nécessaire. L’installation de cookies à des fins publicitaires n’est pas nécessaire.

La CNIL relève également un manquement lorsque le dépôt de cookies se fait malgré le refus de l’utilisateur. La simple présence d’un dispositif de consentement est insuffisante lorsque celui-ci n’empêche pas le dépôt de traceurs en cas de refus.  En l’espèce, malgré un refus, un en-tête en lien avec la société proposait un bouton pour obtenir plus d’informations qui entraînait le dépôt de cookies dont certains étaient soumis à l’obtention du consentement.

Enfin, la lecture de cookies malgré le retrait du consentement de l’utilisateur constitue un manquement grave. Dans une décision de 2023, la formation restreinte a rappelé l’obligation de mettre en place un dispositif permettant à l’utilisateur de retirer de façon simple et à n’importe quel moment son consentement. Ainsi, l’utilisateur doit pouvoir refuser le dépôt avec autant de facilité qu’il l’accepte.  En l’espèce, la CNIL condamne la lecture des cookies qui ont été installés lors de la demande de consentement, mais qui sont toujours lus après le retrait de ce dernier. Il s’agit d’un manquement grave qui ne respecte pas le choix de refus de l’utilisateur. Au regard des dispositions de l’article 82, l’utilisation des cookies doit cesser après le retrait du consentement.

Un cadre légal du dépôt des cookies nécessaire à une protection de nos données personnelles :

Le dépôt des cookies et le respect du cadre réglementaire relèvent de la responsabilité du responsable de traitement, ici de la société American Express Carte France qui ne pouvait méconnaître les obligations de mise en conformité. De plus, la CNIL souligne que la société avait les moyens nécessaires pour mettre en œuvre les mesures de consentement au dépôt des cookies.

Cette décision illustre le rôle central de la CNIL dans le contrôle du respect du cadre légal et la sanction prononcée joue un rôle préventif à l’égard des filiales internationales. Une mise en conformité ne peut être partielle, il s’agit d’une exigence fondamentale qui s’applique à tous. Elle confirme l’interprétation stricte de la loi, notamment de l’article 82 de la loi Informatique et Libertés.

Sources :

https://cnil.fr/fr/cookies-la-cnil-sanctionne-american-express-dune-amende-de-15-million-deuros

https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000052981827

https://www.legifrance.gouv.fr/loda/article_lc/LEGIARTI000037813978