Cookies : la CNIL sanctionne AMERICAN EXPRESS d’une amende de 1,5 million d’euros
03 décembre 2025
Le 27 novembre 2025, la CNIL a sanctionné la société AMERICAN EXPRESS CARTE FRANCE, filiale française du groupe AMERICAN EXPRESS, d’une amende de 1,5 million d’euros pour le non-respect des règles applicables en matière de traceurs (cookies).
Le contexte
Le groupe AMERICAN EXPRESS, dont la société mère est située aux États-Unis, est le troisième émetteur de cartes de paiement au monde. En France, les produits American Express sont distribués par la société AMERICAN EXPRESS CARTE FRANCE, par le biais de banques tierces mais également du site web « www.americanexpress.com/fr-fr/ ».
En janvier 2023, la CNIL a mené plusieurs contrôles à partir de ce site et au sein des locaux de la société.
Sur la base des constatations réalisées, la – organe de la CNIL chargé de prononcer les sanctions – a considéré que la société AMERICAN EXPRESS CARTE FRANCE avait manqué aux règles régissant les traceurs (article 82 de la loi Informatique et Libertés) et prononcé à son encontre une amende de 1,5 million d’euros.
Le montant de cette amende tient compte du fait que la société a méconnu plusieurs obligations protectrices du consentement des internautes : en déposant des traceurs sans disposer de ce consentement ou malgré leur refus de consentir, ou encore en continuant à lire les traceurs précédemment déposés malgré le retrait de leur consentement. Il tient également compte du fait que les règles en matière de traceurs sont bien connues, en raison de leur ancienneté et de leur large diffusion par la CNIL, mais aussi du fait que la société s’est mise en conformité au cours de la procédure.
Les manquements sanctionnés
Des manquements aux règles régissant les traceurs (article 82 de la loi Informatique et Libertés)
La CNIL a sanctionné plusieurs pratiques de la société contraires à l’article 82 de la loi Informatique et Libertés :
- Dépôt de traceurs sans consentement de l’utilisateur : la CNIL a constaté que, dès l’arrivée de l’utilisateur sur le site web « www.americanexpress.fr/fr/ » et avant même qu’il n’interagisse avec la fenêtre lui permettant d’exprimer un choix, plusieurs traceurs, notamment à finalité publicitaire, étaient déposés sur son terminal.
- Dépôt de traceurs malgré le refus de l’utilisateur : la CNIL a également constaté que des traceurs à finalité publicitaire étaient déposés sur le terminal de l’utilisateur malgré son refus exprimé.
- Lecture de traceurs malgré le retrait du consentement : enfin, la CNIL a constaté que lorsqu’un utilisateur acceptait le dépôt et la lecture de traceurs, puis retirait son consentement, les traceurs précédemment déposés continuaient à être lus par la société.
