Cookies publicitaires : la CNIL inflige 1,5 million d’euros d’amende à American Express 

Par une décision du 27 novembre 2025, rendue publique le 3 décembre, la Commission nationale de l’informatique et des libertés (Ci-après la « Cnil) a sanctionné la société American Express Carte France d’une amende de 1,5 million d’euros pour des manquements graves aux règles encadrant l’utilisation des cookies. Au-delà du montant, cette décision rappelle avec force que le consentement des internautes ne peut être ni théorique, ni contourné par des mécanismes techniques défaillants. 

Un contrôle ciblé sur les pratiques de dépôt de cookies 

La décision trouve son origine dans plusieurs contrôles menés par la Cnil en janvier 2023, à partir du site « www.americanexpress.com/fr-fr/ » et dans les locaux de la société American Express Carte France. Ces contrôles visaient à vérifier le respect des règles applicables aux traceurs, en particulier celles issues de l’article 82 de la loi Informatique et Libertés. 

Les investigations ont mis en évidence que, dès l’arrivée d’un internaute sur le site, plusieurs cookies étaient déposés automatiquement sur son terminal. Cette activation intervenait avant toute interaction avec le bandeau de consentement, y compris pour des cookies à finalité publicitaire. 

Or, seuls les cookies strictement nécessaires au fonctionnement du site peuvent être déposés sans accord préalable. Les autres, notamment ceux destinés à la publicité ou à la mesure d’audience non exemptée, supposent une information préalable complète et un consentement exprimé avant tout dépôt. 

En procédant à un dépôt anticipé, la société privait donc les utilisateurs de la possibilité même d’exercer leur choix, en contradiction directe avec le cadre juridique applicable. 

Un consentement vidé de sa substance 

Les manquements relevés par la Cnil ne se limitaient pas à ce dépôt initial sans consentement. Les contrôleurs ont également constaté que le refus exprimé par l’utilisateur n’était pas systématiquement respecté. 

Concrètement, certains cookies publicitaires continuaient à être déposés ou lus malgré un choix explicite de refus. Dans d’autres situations, lorsque l’utilisateur retirait son consentement après l’avoir accordé, les traceurs déjà installés restaient actifs et continuaient à être exploités. 

Ces pratiques sont particulièrement problématiques au regard de l’article 82 de la loi Informatique et Libertés, qui exige un consentement libre, spécifique, éclairé et univoque, mais également réversible. Le retrait du consentement doit produire des effets immédiats et concrets. 

La formation restreinte de la Cnil a ainsi considéré que le mécanisme mis en place par American Express ne permettait pas un contrôle réel des internautes sur leurs données, réduisant le consentement à une simple apparence formelle. 

Une sanction inscrite dans une politique répressive assumée 

Pour fixer le montant de l’amende, l’Autorité de contrôle a tenu compte de plusieurs éléments. Elle a relevé la multiplicité des manquements, leur durée, ainsi que le fait que les règles relatives aux cookies sont anciennes, largement diffusées et régulièrement rappelées par l’autorité. 

La Cnil a également pris en considération la notoriété du groupe American Express et l’ampleur de l’audience du site concerné. À l’inverse, elle a tenu compte des mesures correctrices mises en œuvre par la société au cours de la procédure, sans que celles-ci ne suffisent à écarter la sanction. 

Cette décision s’inscrit dans une série de sanctions récentes visant des acteurs de secteurs variés. Quelques semaines plus tôt, la Cnil avait notamment sanctionné l’éditeur du site VanityFair.fr pour des pratiques similaires en matière de cookies publicitaires. 

Le message est clair : les défaillances liées au consentement ne sont plus tolérées, quel que soit le secteur d’activité. 

Ce que cette affaire nous enseigne 

La décision rendue contre American Express illustre une position désormais constante de la Cnil : le consentement aux cookies ne peut être ni automatique, ni purement déclaratif. Il doit être recueilli avant tout dépôt, techniquement effectif et respecté dans la durée, y compris lorsque l’utilisateur change d’avis. 

Cette affaire rappelle que la conformité ne se limite pas à l’affichage d’un bandeau ou à une rédaction soignée des mentions d’information. Les mécanismes sous-jacents — outils de gestion du consentement, scripts tiers, interactions entre cookies — doivent être rigoureusement paramétrés et régulièrement audités. 

Pour les entreprises, l’enjeu est double. Il s’agit d’abord d’éviter un risque financier et réputationnel réel. Mais il s’agit surtout de restaurer la maîtrise des internautes sur leurs données, dans un contexte où la confiance numérique devient un facteur déterminant de crédibilité. 

En filigrane, la Cnil adresse un message clair : le consentement n’est pas un décor juridique. C’est un levier de protection des droits, dont l’effectivité conditionne désormais la légitimité même des pratiques de collecte. 

Par LOCK-T   

Avec la participation de Divine ANTONIO, stagiaire