CNIL | SAN-2025-011 | 27 NOVEMBRE 2025 | AFFAIRE AMERICAN EXPRESS CARTE FRANCE |
POINT 1 — Un enregistrement téléphonique capturant la vie privée de l’appelant
Le système d’enregistrement téléphonique du service client d’AECF présentait un paramétrage défaillant qui permettait la captation de paroles à caractère privé sans aucun lien avec les finalités déclarées. L’enregistrement débutait immédiatement après la fin des messages du serveur vocal, avant toute interaction avec un téléconseiller, si bien que les échanges privés de l’appelant avec des tiers présents à ses côtés — dans son domicile, dans un espace partagé — étaient captés « de manière parfaitement claire et intelligible » selon les termes mêmes de la formation restreinte. L’enregistrement se poursuivait également pendant les mises en attente, captant là encore tout ce que le client disait, pensant ne pas être écouté. La formation restreinte a précisé que le manquement est constitué par le paramétrage lui-même, qui rendait cette captation possible, indépendamment de la fréquence effective des conversations privées enregistrées et de l’exploitation ou non de ces données. Cette analyse structurelle est déterminante : ce n’est pas l’usage qui est en cause, mais la vulnérabilité intrinsèque du dispositif au regard des finalités qu’il prétend servir — formation des salariés, contrôle de conformité, traitement des réclamations — auxquelles les segments captés avant ou pendant les mises en attente ne contribuent en rien.
POINT 2 — La minimisation des données comme exigence temporelle
La délibération SAN-2025-011 apporte une contribution doctrinale originale à la jurisprudence de la formation restreinte en matière de minimisation des données : elle décline ce principe selon une dimension temporelle. Le principe de minimisation, posé à l’article 5, paragraphe 1, c) du RGPD, n’exige pas seulement que les données collectées soient de la bonne nature et en quantité proportionnée ; il exige également qu’elles soient collectées aux bons moments, c’est-à-dire aux seuls instants où leur captation est nécessaire aux finalités poursuivies. Dans le contexte de l’enregistrement téléphonique, cela signifie concrètement que l’enregistrement doit se déclencher à la prise en main effective de l’appel par le téléconseiller et se suspendre pendant les mises en attente, car seuls ces segments temporels sont pertinents au regard des finalités de formation et de contrôle de conformité. Cette conception temporelle de la minimisation impose aux responsables de traitement une vigilance spécifique sur le paramétrage de leurs outils d’enregistrement automatique et sur la vérification régulière que ces mécanismes de déclenchement et de suspension fonctionnent correctement. Elle vient enrichir une jurisprudence déjà étoffée — SAN-2020-003, SAN-2023-008, SAN-2024-014 — et constitue un standard applicable à toute organisation utilisant des systèmes d’enregistrement téléphonique dans le cadre de relations clients.
POINT 3 — Un triptyque de violations du régime des traceurs couvrant l’intégralité du cycle du consentement
Les trois manquements à l’article 82 de la loi Informatique et Libertés retenus contre AECF forment un triptyque exhaustif qui illustre les trois dimensions temporelles du consentement : le dépôt avant toute expression de choix (violation du consentement préalable), le dépôt malgré le refus exprimé (violation du respect du refus), et la lecture de traceurs déjà déposés malgré le retrait du consentement (violation de l’effectivité du retrait). Ce triptyque traduit une défaillance systémique de l’architecture de gestion des cookies du site www.americanexpress.com/fr-fr, qui touchait à chacune des étapes du parcours de consentement de l’utilisateur. La CNIL a également apporté une précision technique importante sur le troisième manquement : un cookie présent sur le navigateur de l’utilisateur est systématiquement envoyé — et donc lu — dans chaque requête vers les domaines auxquels il est associé, ce qui signifie que la simple présence du traceur sur le navigateur après retrait du consentement constitue une opération de lecture continue et automatique, sans qu’il soit nécessaire de démontrer un acte délibéré de lecture de la part du responsable de traitement. Cette précision est fondamentale pour les développeurs web et les DPO, car elle impose de s’assurer que les traceurs sont effectivement supprimés du terminal lors du retrait du consentement, et non seulement « désactivés » côté serveur.
POINT 4 — La solidité de la doctrine probatoire en procédure de sanction
La délibération SAN-2025-011 livre une clarification procédurale d’importance sur les règles d’administration de la preuve dans les procédures de sanction menées devant la CNIL. La société AECF avait contesté, d’une part, la recevabilité d’un enregistrement téléphonique produit par le rapporteur dans sa réponse aux premières observations en défense, et d’autre part, la recevabilité d’un second contrôle en ligne diligenté a posteriori pour documenter les opérations de lecture de cookies. La formation restreinte a fermement rejeté ces deux contestations en posant un principe clair : il est loisible au rapporteur, comme à l’organisme mis en cause, de produire toute pièce utile à l’établissement des faits en cause « au cours de l’instruction et jusqu’à sa clôture ». Le rapport initial ne constitue pas une photographie figée des manquements reprochés, et l’instruction peut être complétée en réponse aux arguments du mis en cause, à condition que le principe du contradictoire soit assuré — ce qui était le cas en l’espèce, la société ayant pu se défendre sur chacune des pièces litigieuses dans le cadre de ses observations successives. Cette décision consolide la robustesse procédurale de la CNIL face aux stratégies de défense fondées sur des arguments techniques de recevabilité des preuves, tout en confirmant que les droits de la défense — notamment le droit à ne pas s’auto-incriminer et le principe d’égalité des armes — sont pleinement respectés dès lors que le contradictoire est effectif.
POINT 5 — Une coopération européenne unanime sur fond de mise en conformité partielle
La délibération SAN-2025-011 s’inscrit dans le cadre du mécanisme de guichet unique, avec l’implication de vingt-sept autorités nationales de protection des données de l’Union européenne et de l’Espace économique européen. Aucune de ces autorités n’a formulé d’objection pertinente et motivée à l’égard du projet de décision transmis le 16 octobre 2025, de sorte qu’elles sont réputées avoir approuvé la décision. Cette unanimité de vingt-sept régulateurs nationaux aux sensibilités parfois divergentes témoigne de la solidité des analyses de la CNIL et de la clarté des manquements constatés. Par ailleurs, la formation restreinte a expressément pris en compte le fait que la société s’était mise en conformité au cours de la procédure, tant en matière d’enregistrement téléphonique qu’en matière de traceurs. Cette mise en conformité, si elle ne fait pas disparaître les manquements passés, constitue un élément pris en compte dans l’appréciation globale de la situation et reflète la finalité que la CNIL assigne à ses procédures de sanction : non pas punir pour punir, mais obtenir et consolider la conformité effective des pratiques des responsables de traitement à l’égard des droits des personnes concernées.
I ----- CONSEILS AUX PERSONNES CONCERNÉES
A. COMPRENDRE ET EXERCER VOS DROITS FACE AUX ENREGISTREMENTS TÉLÉPHONIQUES
Votre droit à l’information préalable à l’enregistrement. Lorsque vous contactez un service client par téléphone, vous devez être informé, dès le début de l’appel, de la possibilité que votre conversation soit enregistrée et des finalités poursuivies. En l’espèce, AECF informait ses appelants de cette possibilité et leur offrait la faculté de s’y opposer, conformément à la loi. Si vous n’êtes pas informé de l’enregistrement avant que celui-ci ne débute, ou si vous ignorez la finalité précise de cet enregistrement, vous êtes en droit d’exercer votre droit d’accès (article 15 du RGPD) pour obtenir communication de l’enregistrement vous concernant, et votre droit à l’effacement (article 17 du RGPD) si l’enregistrement excède les finalités déclarées.
L’importance de vos échanges privés en cours d’appel. La délibération révèle que des paroles prononcées en présence de tiers, avant la prise en charge effective de l’appel par un agent, peuvent être captées et enregistrées. Si vous appelez un service client depuis votre domicile, il est prudent de ne pas engager de conversation privée avec une tierce personne présente pendant le temps d’attente avant la mise en relation avec un conseiller. Si vous avez des raisons de penser que de telles paroles ont été captées, vous pouvez exercer votre droit d’accès pour vérifier la nature et l’étendue des données enregistrées.
Le droit d’opposition à l’enregistrement de l’appel. Lorsqu’un message vocal vous informe que votre appel est susceptible d’être enregistré, vous disposez généralement de la faculté de vous y opposer en cours de serveur vocal. Si cette faculté n’est pas offerte de manière claire et accessible, vous êtes en droit de la revendiquer explicitement auprès du téléconseiller et, en cas de refus ou d’impossibilité technique, d’en informer la CNIL. La jurisprudence de la CNIL rappelle que l’opposition à l’enregistrement ne doit pas être rendue excessivement complexe au point de constituer un obstacle à l’exercice effectif des droits des personnes.
Votre recours en cas de non-respect de vos droits. En application de l’article 77 du RGPD, toute personne a le droit d’introduire une réclamation auprès de la CNIL si elle estime que le traitement de ses données à caractère personnel ne respecte pas les dispositions applicables. Le délai de traitement d’une plainte par la CNIL varie selon la complexité du dossier, mais toute plainte fait l’objet d’un accusé de réception et d’un traitement individualisé. S’agissant de cookies ou de traceurs, le formulaire de plainte dédié est accessible sur le site cnil.fr à la rubrique « Je dépose une plainte ». En complément, et sans attendre l’issue de la procédure CNIL, vous pouvez exercer vos droits directement auprès du responsable de traitement — en l’occurrence la société AMERICAN EXPRESS CARTE FRANCE, DPO joignable à l’adresse mentionnée dans sa politique de confidentialité.
B. Comprendre ce que recouvre concrètement le suivi par les traceurs et en mesurer les enjeux
La décision AMERICAN EXPRESS rappelle avec éclat une réalité que les utilisateurs de sites internet peinent souvent à appréhender dans sa dimension concrète : les cookies et traceurs ne sont pas des détails techniques inoffensifs. Lorsqu'une entreprise dépose sur votre terminal, sans votre consentement préalable, des cookies à finalité publicitaire ou de mesure de performance, elle collecte des données sur votre comportement de navigation — pages visitées, produits consultés, durée d'attention, clics, parcours de conversion — qui permettent de construire, au fil du temps, un profil précis de vos intérêts, de vos habitudes et de votre profil financier. Ce profil peut être utilisé pour cibler des publicités personnalisées, pour vous proposer des offres commerciales adaptées à votre historique, ou pour alimenter des systèmes décisionnels de scoring ou de segmentation.
Dans le cas de la société AECF, les cookies publicitaires déposés sans consentement incluaient des traceurs à finalité marketing liés à la suite Adobe et à d'autres prestataires de ciblage. Ces cookies permettaient notamment de suivre le comportement d'un utilisateur qui navigue sur le site American Express mais n'est pas encore client — par exemple pour lui adresser ultérieurement des publicités personnalisées pour les produits American Express sur d'autres sites. Ce suivi s'opérait sans que l'utilisateur ait eu la possibilité d'y consentir ou de le refuser, en violation directe de ses droits. La règle du consentement préalable n'est pas une formalité bureaucratique : c'est la traduction juridique du respect de votre autonomie informationnelle.
Il convient également de comprendre que les données collectées via des cookies sans consentement ne sont pas nécessairement effacées lorsque la non-conformité est corrigée. Les profils constitués à partir d'un suivi non consenti peuvent avoir été transmis à des prestataires tiers, intégrés dans des bases de données de ciblage, ou exploités pendant une période plus ou moins longue avant la mise en conformité. La mise en conformité de la société au cours de la procédure de sanction signifie que les manquements ont cessé pour l'avenir — elle ne garantit pas que les données collectées illicitement ont été détruites. Vous avez le droit de vous en assurer.
C. Exercer son droit d'opposition et son droit à l'effacement avec méthode
Lorsqu'une société a collecté des données via des cookies non consentis, les personnes concernées disposent de droits effectifs dont l'exercice mérite d'être structuré. Le droit d'opposition prévu par l'article 21 du RGPD vous permet de vous opposer à tout moment au traitement de vos données à des fins de prospection commerciale, y compris au profilage fondé sur des traceurs. Ce droit est absolu en matière de prospection : le responsable de traitement ne peut ni le conditionner à une justification de votre part ni le refuser.
Le droit à l'effacement prévu par l'article 17 du RGPD vous permet de demander la suppression de vos données à caractère personnel lorsque celles-ci ont été collectées sans base légale valide — ce qui est précisément le cas lorsque des cookies soumis à consentement ont été déposés sans que ce consentement ait été recueilli. La demande doit être adressée par écrit au responsable de traitement, de préférence à l'adresse de contact du délégué à la protection des données dont la désignation doit être indiquée dans la politique de confidentialité. Elle doit identifier clairement les données concernées et la base juridique de la demande.
Pour être efficace, la démarche doit être structurée. Il est recommandé d'adresser une demande datée, précise et conservée sous forme probatoire — courriel avec demande d'accusé de réception, lettre recommandée avec accusé de réception — en sollicitant notamment : la confirmation de l'existence d'un traitement fondé sur des cookies ayant été déposés avant recueil du consentement ; les catégories de données collectées via ces traceurs ; les destinataires auxquels ces données ont été transmises ; les mesures prises pour cesser le traitement et, le cas échéant, pour effacer les données illicitement collectées. Le responsable de traitement dispose d'un mois pour répondre, délai prorogeable de deux mois dans les cas complexes, avec information préalable du demandeur.
D. Signaler les pratiques non conformes à la CNIL et participer à la régulation collective
L'une des sources de la procédure qui a conduit à la sanction d'AECF est le contrôle proactif effectué par la CNIL à partir du site web de la société en janvier 2023, à la suite de l'attention portée à ses traitements. La CNIL dispose d'un service de plainte en ligne accessible à tous les utilisateurs — le service PLAINTE EN LIGNE sur le site cnil.fr — qui permet à toute personne estimant que ses données ont été traitées de manière non conforme de saisir l'autorité.
Cette voie de signalement est précieuse pour les personnes concernées car elle peut déclencher un contrôle qui aboutit, si des manquements sont caractérisés, à une sanction publique et à une injonction de mise en conformité. La CNIL ne traite pas chaque plainte individuelle par une décision individuelle — elle dispose d'un pouvoir discrétionnaire dans le choix de ses priorités d'enquête —, mais la multiplication des signalements sur un même responsable de traitement constitue un signal qui oriente les décisions de contrôle. Signaler une pratique non conforme est donc un acte à la fois personnel — il peut aboutir à la reconnaissance de votre droit — et collectif — il contribue à une régulation plus effective.
Pour formuler un signalement utile, il est recommandé de décrire avec précision les faits constatés : date et heure de la navigation, URL du site, description du comportement observé (cookies déposés avant tout choix, cookies déposés malgré un refus, absence de bouton de refus clairement accessible, etc.). Si possible, il est utile de joindre des captures d'écran ou, pour les utilisateurs avertis, une capture de l'onglet « Réseau » des outils de développement du navigateur montrant les requêtes émises lors du chargement de la page.
E. Développer une hygiène numérique active en matière de cookies
Au-delà des recours juridiques, les personnes concernées disposent d'outils techniques permettant de limiter les effets d'une gestion des cookies non conforme. Ces outils ne dispensent pas les responsables de traitement de leurs obligations légales, mais ils permettent à chaque utilisateur de reprendre une forme de contrôle sur sa vie privée numérique en attendant que les mécanismes de sanction produisent leurs effets préventifs.
Les navigateurs modernes — Chrome, Firefox, Safari, Edge — proposent des paramètres permettant de limiter le dépôt de cookies tiers et de cookies à finalité publicitaire. Firefox et Safari bloquent par défaut les cookies tiers et ont activé des mécanismes de protection contre le pistage entre sites. Il est recommandé de vérifier les paramètres de confidentialité de votre navigateur et d'activer les options de protection contre le pistage disponibles. Ces paramètres n'offrent pas une protection absolue — certains traceurs first-party y échappent —, mais ils réduisent significativement la surface d'exposition.
Des extensions de navigateur dédiées — uBlock Origin, Privacy Badger, Cookie AutoDelete — permettent également de bloquer un grand nombre de traceurs publicitaires et analytiques, de supprimer automatiquement les cookies déposés lors d'une session après sa fermeture, ou de visualiser en temps réel les traceurs présents sur une page. Ces outils, gratuits et largement accessibles, constituent une première ligne de défense personnelle efficace.
Il est également utile de lire les politiques de confidentialité des sites que vous fréquentez, même si leur lecture peut paraître fastidieuse. La politique de confidentialité doit comporter la liste des cookies utilisés, leur finalité, leur durée de conservation et les instructions pour les refuser ou les gérer. Une politique de confidentialité lacunaire, imprécise ou ne mentionnant pas les cookies tiers utilisés constitue en elle-même un manquement susceptible d'être signalé à la CNIL.
F. Comprendre les droits spécifiques liés au profilage publicitaire
Les cookies à finalité publicitaire ou de ciblage permettent aux responsables de traitement de réaliser du profilage au sens de l'article 4, paragraphe 4, du RGPD — c'est-à-dire toute forme de traitement automatisé de données personnelles consistant à utiliser ces données pour évaluer certains aspects personnels relatifs à une personne physique. Ce profilage peut avoir des conséquences concrètes sur les offres qui vous sont présentées, les prix pratiqués, ou les messages publicitaires ciblés.
Lorsque le traitement est fondé sur votre consentement — ce qui devrait être systématiquement le cas pour les cookies publicitaires depuis l'entrée en vigueur de l'article 82 de la loi Informatique et Libertés —, vous disposez du droit de retirer ce consentement à tout moment, conformément à l'article 7, paragraphe 3, du RGPD. Ce retrait doit être aussi facile à effectuer que l'accord initial. Si la société vous a obtenu votre consentement via un clic sur un bouton « Tout accepter », elle doit vous offrir un moyen tout aussi accessible de retirer ce consentement — un bouton « Retirer mon consentement » ou « Gérer mes préférences » accessible sur chaque page du site.
En matière de profilage utilisé à des fins de prospection commerciale, vous disposez également du droit d'opposition absolu prévu par l'article 21, paragraphe 2, du RGPD, lequel ne peut être refusé par le responsable de traitement. Si vous recevez des communications commerciales ciblées que vous n'avez pas sollicitées et dont vous soupçonnez qu'elles résultent d'un profilage fondé sur des cookies, vous pouvez exercer simultanément votre droit d'opposition au profilage, votre droit d'opposition à la prospection commerciale, et votre droit d'accès pour obtenir confirmation de l'existence du traitement et des catégories de données utilisées.
G. Préserver les preuves et documenter tout préjudice en vue d'une éventuelle action indemnitaire
L'article 82 du RGPD reconnaît à toute personne ayant subi un dommage matériel ou moral du fait d'une violation du règlement le droit d'obtenir réparation du responsable du traitement. Dans le domaine des cookies non consentis, la question de la réparation du préjudice moral fait l'objet d'une jurisprudence européenne encore en développement, mais des décisions récentes de juridictions nationales ont accordé des indemnisations, même modestes, au titre de l'atteinte à la vie privée résultant d'un suivi non consenti.
Pour être en mesure de soutenir une telle demande, il est recommandé de conserver les preuves des pratiques non conformes que vous avez constatées : captures d'écran de la page d'accueil montrant l'absence de bandeau de consentement, captures des cookies présents dans votre navigateur avant tout choix, copies d'écran du comportement du site après refus montrant la persistance de certains cookies. Cette documentation, même imparfaite, constitue un point de départ pour une demande d'indemnisation ou une plainte structurée.
Il faut également conserver les éventuelles communications commerciales reçues après une navigation sur le site, notamment si elles semblent résulter d'un ciblage fondé sur votre comportement de navigation — par exemple, une publicité pour un produit American Express apparaissant sur d'autres sites après votre visite sur le site AECF sans que vous ayez consenti au dépôt de cookies publicitaires. Ces communications peuvent constituer des éléments de preuve du préjudice subi — atteinte à la vie privée, surprise, sentiment de surveillance — dont une juridiction peut tenir compte dans l'appréciation du dommage moral.
II ----- CONSEILS AUX RESPONSABLES DE TRAITEMENT
1. L’ENREGISTREMENT DES APPELS TÉLÉPHONIQUES ET LE PRINCIPE DE MINIMISATION
La délimitation temporelle précise du périmètre d’enregistrement. La délibération impose aux responsables de traitement exploitant un service client téléphonique une obligation de précision dans le paramétrage de leur outil d’enregistrement. La formation restreinte retient que l’enregistrement débutant « immédiatement après la diffusion du message d’accueil et d’informations du serveur vocal, avant la mise en relation avec l’agent du service client », permet la captation de « paroles à caractère privé prononcées par l’appelant et potentiellement par des tiers se trouvant à proximité du téléphone », qui « ne répondent à aucune des trois finalités poursuivies par la société » (formation des salariés, contrôle de la conformité, traitement des réclamations). La règle est donc claire : l’enregistrement doit commencer au moment précis de la prise en charge effective de l’appel par un téléconseiller, et non dès lors que l’utilisateur a sélectionné sa rubrique dans le serveur vocal.
La même rigueur s’impose pour les mises en attente en cours d’appel : l’enregistrement doit être interrompu ou suspendu pendant les séquences de mise en attente par le téléconseiller. La formation restreinte retient ce manquement distinct — établi par l’enregistrement du 26 janvier 2023 à 15h41, dont « le disque d’attente diffusé [est] parfaitement audible » — au motif que le paramétrage de l’outil permettait cette captation, indépendamment du fait qu’aucune parole privée n’y soit prononcée lors de cet enregistrement précis.
L’irréductibilité du principe de minimisation au regard de l’exploitation effective. L’argument invoqué par AECF — selon lequel le manquement serait « marginal » en raison de « l’absence de captation de conversations privées lors de chaque appel » et de « l’absence d’exploitation de ces enregistrements » — est expressément écarté par la formation restreinte. Le manquement au principe de minimisation résulte du paramétrage même du système, non de l’exploitation des données captées. Cette position invite les responsables de traitement à raisonner en termes de risque structurel et non d’impact individuel mesurable : un dispositif dont le paramétrage est de nature à permettre la captation de données excédant les finalités déclarées est constitutif d’un manquement, même si cette captation ne se concrétise qu’occasionnellement.
Recommandations pratiques pour la mise en conformité des enregistrements d’appels :
Il convient en premier lieu de réaliser un audit complet du paramétrage de l’outil d’enregistrement des appels, incluant la cartographie précise des déclencheurs (début et fin de l’enregistrement), la vérification de la suspension effective en cas de mise en attente, et la documentation des finalités justifiant l’enregistrement de chaque segment. En deuxième lieu, les durées de conservation doivent être strictement proportionnées aux finalités — en l’espèce, AECF conservait les enregistrements soixante jours, ce que la formation restreinte n’a pas remis en cause, mais qui constitue une donnée à documenter et à justifier. En troisième lieu, l’information préalable de l’appelant — via le message du serveur vocal — doit être actualisée pour refléter fidèlement les conditions effectives d’enregistrement telles que mises en conformité.
2 . LA GESTION DES COOKIES ET TRACEURS : OBLIGATIONS IMPÉRATIVES ISSUES DE LA DÉLIBÉRATION
A. Faire de la gouvernance des cookies une obligation structurelle et non une formalité de lancement
La délibération SAN-2025-011 adresse aux responsables de traitement un message dont la portée excède de loin le seul périmètre des sociétés du secteur financier : la conformité en matière de cookies ne se décrète pas au moment de la mise en ligne d'un site web ; elle s'administre de façon continue, rigoureuse et documentée, au fil des évolutions techniques, des intégrations de scripts tiers et des modifications de la plateforme numérique. La société AMERICAN EXPRESS CARTE FRANCE (ci-après « AECF ») a reconnu deux des trois manquements retenus dès le stade des premières observations en défense. Ce n'est donc pas l'ignorance de la règle qui est en cause, mais bien l'absence de dispositif de contrôle permanent permettant de s'assurer que la réglementation est effectivement respectée à tout moment du cycle de vie du site.
Le premier réflexe du responsable de traitement doit donc être d'opérer une distinction conceptuelle fondamentale entre la mise en conformité initiale — nécessaire mais insuffisante — et la conformité continue — seule capable de prévenir durablement les manquements. Un site internet n'est pas un objet figé. Les plateformes de gestion de balises (tag management systems), les solutions tierces d'analyse d'audience, les prestataires publicitaires, les outils de mesure de performance et les scripts de personnalisation peuvent être modifiés ou mis à jour à tout moment, parfois de façon automatique et sans information préalable du responsable de traitement. Chaque mise à jour est susceptible de réintroduire un cookie non conforme, de modifier la finalité d'un traceur existant ou d'altérer le comportement du mécanisme de recueil du consentement. Une conformité établie à un instant donné n'est donc pas opposable à une non-conformité constatée ultérieurement.
Sur le plan opérationnel, cette exigence de continuité se traduit par la mise en place d'un dispositif de surveillance régulière et automatisée de l'état des cookies déposés sur le site. Des outils de scan permettent désormais, à intervalles programmés, de dresser un inventaire exhaustif des cookies présents sur chaque page, de les comparer à la liste des cookies déclarés dans la politique de confidentialité, et d'identifier toute discordance. Ces outils ne constituent pas une solution miracle, mais ils fournissent une capacité d'alerte précoce que tout responsable de traitement doit désormais regarder comme une composante standard de son dispositif de conformité numérique. Le résultat de ces scans doit être consigné, analysé et, le cas échéant, suivi d'une action corrective documentée.
La délibération enseigne par ailleurs qu'il ne suffit pas d'inventorier les cookies : encore faut-il qualifier précisément la finalité de chacun d'eux. La distinction entre cookies exemptés de consentement et cookies soumis à consentement n'est pas une opération purement technique confiée aux développeurs : elle suppose une analyse juridique de la finalité réelle de chaque traceur, une confrontation avec les exceptions prévues par l'article 82 de la loi Informatique et Libertés, et une décision documentée sur le régime applicable. La société AECF a reconnu que, parmi les trente-et-un cookies déposés dès l'arrivée sur son site, huit nécessitaient un consentement préalable que l'utilisateur n'avait pas encore fourni. Cette situation résulte précisément de l'absence de processus formel de qualification préalable à tout déploiement. Le responsable de traitement doit donc instaurer, comme l'a fait AECF en novembre 2024 — trop tardivement au regard de la CNIL —, un processus systématique de revue de la catégorisation de chaque nouveau cookie avant son activation, avec validation par une personne qualifiée et traçabilité de la décision.
B. Garantir l'effectivité du mécanisme de consentement dans sa globalité, et pas seulement son apparence
L'enseignement sans doute le plus structurant de la délibération SAN-2025-011 réside dans la notion d'effectivité du consentement. Il ne suffit pas de proposer à l'utilisateur un bandeau de gestion des cookies ; encore faut-il que le choix exprimé par cet utilisateur — qu'il s'agisse d'un refus initial, d'une acceptation suivie d'un retrait, ou d'une sélection granulaire — soit techniquement traduit en un résultat concret, immédiat et durable. La formation restreinte a constaté trois défaillances distinctes à cet égard chez AECF : des cookies déposés avant tout choix de l'utilisateur, des cookies déposés malgré un refus exprimé via le site partenaire email.amex-info.fr, et des cookies maintenus en lecture après retrait du consentement. Ces trois manquements révèlent une architecture de gestion du consentement qui fonctionne, dans ses grandes lignes, mais dont les mailles laissent passer des opérations non consenties.
S'agissant du dépôt préalable à tout consentement, le principe est d'une limpidité absolue : aucun cookie non exempté ne peut être déposé avant que l'utilisateur ait eu la possibilité d'exprimer un choix et avant qu'il l'ait effectivement exprimé. La présence d'une fenêtre surgissante proposant les boutons « Tout refuser », « Gérer les paramètres » et « Tout accepter » ne suffit pas si des scripts s'exécutent et déposent des traceurs pendant le chargement de la page, avant que l'internaute n'ait pu interagir avec cette fenêtre. La mise en conformité sur ce point exige un paramétrage technique précis : les scripts des cookies soumis à consentement doivent être conditionnés à la réception du signal de consentement et ne doivent pas s'exécuter en parallèle ou avant ce signal. Ce paramétrage doit être vérifié pour la page d'accueil, mais également pour l'ensemble des pages d'entrée possibles du site, y compris celles accessibles directement par une URL partagée ou par un moteur de recherche.
La question du dépôt malgré le refus révèle une vulnérabilité architecturale encore plus significative. La délibération établit que des cookies à finalité marketing ont été déposés, malgré le refus exprimé sur le site principal, lors de l'ouverture d'un onglet renvoyant vers le sous-domaine email.amex-info.fr. Cette constatation illustre une problématique fréquente dans les organisations disposant de plusieurs sites, sous-domaines ou redirections : le signal de refus du consentement, correctement pris en compte sur la plateforme principale, ne se propage pas aux domaines tiers ou aux sous-domaines qui échappent au périmètre du gestionnaire de consentement. Tout responsable de traitement doit donc cartographier avec précision l'ensemble des domaines, sous-domaines, URLs externes et redirections susceptibles d'être atteints lors d'une navigation sur son site principal, et vérifier que le mécanisme de refus produit ses effets sur l'ensemble de ce périmètre, et non sur la seule page d'accueil.
La défaillance la plus techniquement complexe — et peut-être la plus répandue — porte sur la lecture des cookies après retrait du consentement. La CNIL a confirmé, par un fichier HAR produit lors du second contrôle en ligne du 16 mai 2025, que les cookies first-party précédemment déposés continuaient à être envoyés vers les serveurs d'AECF lors des navigations postérieures au retrait du consentement. Ce mécanisme résulte du comportement normal des navigateurs web : tout cookie présent sur le terminal est transmis dans les requêtes vers les domaines auxquels il est associé, automatiquement et sans intervention de l'utilisateur. Le simple retrait du consentement dans l'interface de gestion des cookies ne supprime pas les cookies déjà déposés si des mesures techniques complémentaires ne sont pas mises en œuvre. La recommandation de la CNIL du 17 septembre 2020 est explicite : il est nécessaire d'utiliser des solutions spécifiques pour garantir l'absence de lecture ou d'écriture des traceurs précédemment utilisés — soit en modifiant leur durée de vie pour les marquer comme expirés, soit en les supprimant via un script local sur le terminal. Le responsable de traitement doit donc s'assurer que son gestionnaire de consentement implémente effectivement ces solutions au moment du retrait, et ne se contente pas de cesser de déposer de nouveaux cookies.
C. Étendre la diligence aux traceurs des partenaires et prestataires tiers
L'un des aspects les moins commentés de la délibération SAN-2025-011, mais l'un des plus instructifs pour la pratique, tient à la nature des cookies litigieux. Parmi les huit cookies déposés sans consentement lors du premier contrôle, figuraient des cookies liés à des services tiers — notamment des cookies portant des identifiants spécifiques à Adobe (AMCVS, AMCV, demdex) ou à d'autres prestataires de services marketing. Ces cookies tiers illustrent une problématique structurelle : le responsable de traitement qui intègre dans son site des scripts fournis par des prestataires de mesure d'audience, de personnalisation ou de ciblage publicitaire devient responsable des traceurs déposés via ces scripts, même s'il n'a pas lui-même développé ces scripts et même si leur comportement technique lui échappe partiellement.
Cette responsabilité ne saurait être atténuée par l'argument technique de la dépendance à des solutions tierces. La formation restreinte a expressément rappelé qu'« en sa qualité de responsable de traitement, la société était pleinement responsable de ces opérations et disposait de l'ensemble des moyens et compétences pour les faire cesser ». Il incombe donc au responsable de traitement d'exercer une diligence contractuelle et technique renforcée à l'égard de ses prestataires de solutions numériques. Cette diligence doit prendre plusieurs formes. D'abord, une clause contractuelle imposant au prestataire de n'intégrer sur le site que des traceurs préalablement déclarés, catégorisés et soumis à un processus de validation par le responsable de traitement. Ensuite, une procédure d'information préalable obligatoire en cas de mise à jour des scripts susceptibles de modifier le comportement des cookies. Enfin, un droit d'audit permettant de vérifier que les scripts fournis se comportent conformément aux déclarations du prestataire.
Sur un plan plus opérationnel, il est recommandé de soumettre systématiquement toute nouvelle intégration de script tiers à une procédure d'évaluation cookies avant le déploiement en production. Cette évaluation doit documenter : la liste des cookies susceptibles d'être déposés par le script, la finalité précise de chacun, l'analyse de leur éligibilité ou non à l'exemption de consentement, et la vérification technique que le script est correctement conditionné au signal de consentement. Un tel processus, formalisé et tracé, constitue la démonstration pratique du principe d'accountability imposé par l'article 5-2 du RGPD : il ne suffit pas de respecter la règle ; encore faut-il être en mesure de démontrer qu'on la respecte.
D. Intégrer la minimisation des données à la conception même des outils de traitement
Au-delà des manquements relatifs aux cookies, la délibération SAN-2025-011 retient — bien qu'elle n'en fasse pas la base de la sanction pécuniaire — un manquement au principe de minimisation des données consacré par l'article 5, paragraphe 1, c) du RGPD, résultant du paramétrage de l'outil d'enregistrement des appels téléphoniques. La formation restreinte a constaté que cet outil enregistrait les paroles prononcées par les appelants avant leur mise en relation avec un téléconseiller, et pendant les temps de mise en attente au cours de l'appel. Des échanges privés entre le client et un tiers, sans lien avec l'objet de l'appel, pouvaient ainsi être captés, sans que cette captation soit nécessaire à l'une des finalités déclarées — formation des salariés, contrôle de la conformité, traitement des réclamations.
Ce manquement, même non sanctionné pécuniairement en l'espèce au regard de son caractère limité et non intentionnel, porte un enseignement de portée générale : le principe de minimisation des données s'applique non seulement à la sélection des catégories de données collectées, mais aussi à la granularité et aux conditions temporelles de leur collecte. Un outil d'enregistrement des appels correctement paramétré ne doit activer la captation qu'au moment où l'interaction pertinente commence — soit dès la prise en charge par le téléconseiller — et doit la suspendre pendant les séquences sans interaction utile — notamment les temps de mise en attente. Cette exigence ne requiert pas de développement logiciel complexe ; elle appelle simplement une analyse préalable rigoureuse des finalités déclarées, suivie d'un paramétrage délibéré et documenté de l'outil.
La formation restreinte a par ailleurs rappelé avec force qu'« elle est tenue, en sa qualité de responsable de traitement, d'assurer la conformité de l'ensemble des traitements de données à caractère personnel qu'elle met en œuvre à la réglementation protectrice de ces données » et que les échanges antérieurs avec les services de la CNIL chargés de la mission d'accompagnement « sont sans effet sur la responsabilité de la société ». Autrement dit, l'accompagnement de la CNIL ne vaut ni validation tacite ni décharge de responsabilité. Tout responsable de traitement qui a sollicité l'accompagnement de la CNIL dans le cadre d'une mission volontaire doit comprendre que cet accompagnement ne dispense pas d'une analyse autonome et continue de la conformité de chaque traitement, y compris ceux qui ont déjà fait l'objet d'échanges informels.
La leçon pratique est double. D'une part, lorsqu'un outil de traitement est paramétré ou modifié, une analyse de minimisation doit systématiquement être conduite, documentée et soumise à validation. Cette analyse doit répondre à la question suivante : chaque segment des données collectées est-il nécessaire, adéquat et pertinent au regard d'au moins une des finalités déclarées ? D'autre part, cette analyse ne doit pas seulement porter sur la nature des données collectées, mais aussi sur les conditions précises de leur collecte — timing, durée, portée — afin de s'assurer qu'aucun segment non utile n'est enregistré par effet de bord d'une configuration technique insuffisamment contrôlée.
E. Tirer les enseignements de la procédure contradictoire et adapter la stratégie de défense
La délibération SAN-2025-011 contient des développements procéduraux d'une particulière richesse, qui méritent l'attention des responsables de traitement susceptibles de se retrouver un jour dans une procédure de sanction devant la formation restreinte. La société AECF a contesté, sur le fond, l'admissibilité des éléments de preuve produits par le rapporteur — notamment l'enregistrement téléphonique produit à l'appui de sa réponse aux premières observations, et le contrôle en ligne du 16 mai 2025 réalisé à mi-instruction. Ces arguments de procédure ont été intégralement rejetés par la formation restreinte.
La décision rappelle d'abord que le rapporteur peut produire des éléments de preuve jusqu'à la clôture de l'instruction, et pas seulement dans son rapport initial. L'article 39 du décret du 29 mai 2019 habilite expressément le rapporteur à procéder à toutes diligences utiles tout au long de l'instruction. Un rapport de sanction initial n'a donc pas vocation à être exhaustif et définitif : il peut être complété, et les éléments complémentaires produits par le rapporteur sont recevables dès lors qu'ils portent sur des manquements déjà identifiés et que le mis en cause a pu en prendre connaissance et y répondre dans le respect du contradictoire. Par ailleurs, un nouveau contrôle en ligne réalisé à mi-instruction n'est pas irrégulier au motif qu'il aurait dû être diligenté avant le rapport initial : il s'inscrit dans le cadre normal de l'instruction et permet précisément de vérifier si la société s'est entre-temps mise en conformité et si les manquements initialement identifiés persistent.
Cette leçon procédurale emporte deux conséquences pratiques importantes pour la conduite d'une défense. D'abord, les mesures de remédiation doivent être engagées le plus tôt possible, sans attendre la clôture de l'instruction. AECF a pris acte de ses manquements et a procédé à des modifications techniques au cours de la procédure, ce qui a été porté à son crédit dans la motivation de la sanction. La réactivité dans la mise en conformité, même si elle ne fait pas disparaître le manquement passé, constitue un facteur d'atténuation reconnu explicitement par la formation restreinte. Mais ce crédit ne vaut que si la mise en conformité est réelle et technique, non seulement alléguée. La production d'un procès-verbal de constat établi par un commissaire de justice, comme l'a fait AECF pour attester de la suppression effective des cookies après retrait du consentement, constitue à cet égard un moyen de preuve précieux.
Ensuite, la stratégie défensive fondée sur la critique de l'administration de la preuve comporte des risques. Si la contestation de la recevabilité de certaines pièces est légitime en droit — et la société AECF était fondée à la soulever —, elle ne saurait constituer le cœur d'une défense au fond. La formation restreinte ayant rappelé que les droits de la défense et le principe du contradictoire ont été respectés en l'espèce, les efforts du responsable de traitement en situation de contrôle sont mieux investis dans la démonstration de sa bonne foi, de ses efforts de mise en conformité et de la réduction effective des conséquences des manquements constatés.
F. Appréhender la dimension transfrontalière de la conformité cookies dans le cadre du guichet unique
La délibération SAN-2025-011 présente la particularité d'avoir été précédée d'une procédure de coopération européenne en application de l'article 56 du RGPD, la CNIL s'étant autoproclamée autorité chef de file le 27 novembre 2024, au vu de ce que l'établissement principal d'AECF se trouve en France. Vingt-sept autorités européennes de protection des données ont été consultées sur le projet de décision, sans qu'aucune n'ait formulé d'objection pertinente et motivée avant le 14 novembre 2025. La décision est donc le produit d'une coopération européenne aboutie et reflète un consensus continental sur les manquements reprochés et la sanction prononcée.
Cette dimension européenne de la procédure emporte des conséquences pratiques importantes pour les responsables de traitement opérant des sites web à destination de plusieurs marchés européens. La conformité cookies n'est pas une obligation purement nationale : un site web accessible depuis l'ensemble de l'Union européenne est soumis à une réglementation dont la CNIL peut assurer l'application en qualité d'autorité chef de file, et dont la violation peut fonder une sanction ayant vocation à s'imposer dans l'ensemble des États membres concernés. Cette réalité implique que les responsables de traitement ne peuvent pas se satisfaire d'une conformité nationale parcellaire : ils doivent adopter une approche globale, cohérente et harmonisée de la gestion des cookies sur l'ensemble de leurs plateformes numériques européennes.
Elle implique aussi qu'une décision de la CNIL prononcée dans le cadre du mécanisme de guichet unique bénéficie d'une légitimité et d'une portée symboliques renforcées : elle exprime non seulement la position de l'autorité française, mais celle d'un ensemble d'autorités européennes qui ont explicitement ou implicitement validé le raisonnement et la sanction. Les règles sur les cookies ont beau être anciennes et largement connues — la CNIL l'a elle-même souligné —, elles continuent d'être systématiquement sous-évaluées dans les organisations, dont les directions privilégient souvent les enjeux de performance marketing et d'expérience utilisateur sur les contraintes de conformité.
G. Structurer une politique cookies robuste et documentée : le plan d'action en dix points
Sur la base des manquements constatés et des exigences réglementaires rappelées dans la délibération SAN-2025-011, tout responsable de traitement doit engager sans délai une démarche structurée de mise en conformité durable de sa gestion des cookies. Cette démarche doit s'articuler autour des dix points suivants.
1. Inventaire exhaustif des cookies — Réaliser un scan automatisé de l'ensemble des pages du site, y compris les pages secondaires, les sous-domaines et les redirections, afin de dresser un inventaire complet de tous les traceurs présents, indépendamment de ceux déclarés dans la politique de confidentialité. Comparer cet inventaire avec la liste des cookies déclarés et identifier les écarts.
2. Qualification juridique de chaque cookie — Pour chaque cookie identifié, déterminer si sa finalité le rend éligible à l'exemption de consentement prévue par l'article 82 de la loi Informatique et Libertés, ou s'il doit être soumis au consentement préalable de l'utilisateur. Cette qualification doit être documentée, validée par une personne compétente et conservée.
3. Vérification du paramétrage du gestionnaire de consentement — S'assurer que tous les scripts de cookies non exemptés sont effectivement conditionnés au signal de consentement et ne s'exécutent pas avant la réception de ce signal. Tester ce paramétrage pour différentes configurations de navigateurs et différents scénarios d'arrivée sur le site.
4. Vérification de l'effectivité du refus — Simuler un parcours de navigation avec refus de tous les cookies non essentiels et vérifier, sur l'ensemble des pages du site et des domaines liés, qu'aucun cookie soumis à consentement n'est déposé à la suite de ce refus.
5. Vérification de l'effectivité du retrait du consentement — Simuler un parcours avec acceptation des cookies suivie d'un retrait du consentement, et vérifier, par capture d'un fichier HAR, que les cookies précédemment déposés sont effectivement supprimés ou marqués comme expirés, et qu'ils ne sont plus transmis dans les requêtes vers les domaines associés.
6. Extension du périmètre de conformité aux sous-domaines et partenaires — Cartographier l'ensemble des domaines, sous-domaines et URLs tierces accessibles depuis le site principal et s'assurer que le mécanisme de consentement y est également opérant.
7. Mise en place d'une surveillance continue — Instaurer un scan automatisé mensuel ou trimestriel de l'état des cookies, avec alerte en cas d'apparition d'un nouveau traceur non déclaré.
8. Procédure de validation avant déploiement — Instaurer un processus obligatoire de qualification cookies pour tout nouveau script tiers avant son intégration au site, avec documentation de la décision et validation par le DPO ou la personne compétente en matière de conformité.
9. Clause contractuelle cookies dans les contrats prestataires — Intégrer dans les contrats conclus avec les prestataires de solutions numériques une clause imposant la déclaration préalable de tout cookie susceptible d'être déposé, l'information préalable en cas de modification, et le respect des exigences de la loi Informatique et Libertés.
10. Documentation de l'ensemble du dispositif — Constituer et maintenir à jour un dossier de conformité cookies comprenant l'inventaire des cookies, les qualifications juridiques, les résultats des scans périodiques, les procès-verbaux de vérification, les contrats prestataires et les notes de validation DPO. Ce dossier doit pouvoir être produit immédiatement en cas de contrôle CNIL.
Pas de contribution, soyez le premier