Connexion Abonnez-vous
Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société
Déontologie Règles de modération Mentions légales et contact
Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS GitHub Discord

American Express faisait n’importe quoi avec les cookies et écope d’une amende

Attention à l’indigestion

American Express faisait n’importe quoi avec les cookies et écope d’une amende

Après Condé Nast la semaine dernière, c’est au tour d’American Express d’écoper d’une amende administrative de 1,5 million d'euros de la CNIL. En cause là encore, le « non-respect des règles applicables en matière de traceurs (cookies) ». Explications.

Le 03 décembre à 11h09

Condé Nast, American Express : même combat

La semaine dernière, Condé Nast (éditrice de Vanity Fair, Vogue, GQ et AD) écopait d’une amende de 750 000 euros pour exactement le même motif, à savoir « le non-respect des règles applicables en matière de traceurs (cookies) ». La société s’était remise dans le droit chemin, mais la CNIL retenait la gravité du manquement et prononçait une sanction.

L’histoire se répète, mais avec un poids lourd du secteur bancaire et une amende administrative deux fois plus importante. Il y a plusieurs similitudes entre deux affaires qui arrivent à quelques jours d'intervalle… le début d’une nouvelle série ?

La CNIL rappelle qu'American Express est le « troisième émetteur de cartes de paiement au monde ». En janvier 2023 (il y a donc presque trois ans), elle a mené des contrôles sur le site Internet et dans les locaux de l’entreprise.

En cause, American Express déposait des traceurs sans le consentement de l’utilisateur ou malgré son « refus de consentir ». De plus, la société continuait « à lire les traceurs précédemment déposés malgré le retrait de leur consentement ». La délibération est publiée, permettant d’en apprendre davantage que le communiqué sur les tenants et aboutissants.

À peine arrivé, 31 cookies déposés

Lors du contrôle le 30 janvier 2023, le rapporteur de la CNIL explique que, « dès l’arrivée de l’utilisateur sur le site web " www.americanexpress.com/fr-fr/ ", et avant toute action de sa part, huit cookies, qui ne bénéficient pas de l’exemption prévue par les textes susvisés et auraient donc dû être soumis au consentement de l’utilisateur, étaient déposés ».

American Express ne conteste pas et affirme avoir corrigé le tir en novembre 2024 afin que seuls les « cookies essentiels » soient déposés dès l’arrivée sur la page d'accueil. Lors d’un nouveau contrôle le 16 mai 2025, la CNIL confirme qu’il n’y a plus de trace du dépôt de ces cookies.

Les huit cookies ne sont que la face émergée de l’iceberg. En tout, le site déposait 31 cookies, mais les 23 autres entrent dans champ de l’exemption prévue par l’article 82 et sont donc considérés comme essentiels et non soumis au consentement.

Refusez des cookies, on vous les sert de force

Vient ensuite le cas du dépôt de cookies malgré le refus de l’utilisateur. Deux cas sont à distinguer. Sur le site principal tout d’abord. Quand un utilisateur cliquait sur « Tout refuser », six nouveaux cookies, considérés comme non essentiels par le rapporteur, étaient déposés. « Au regard des explications fournies par la société quant aux finalités poursuivies par ces cookies, le rapporteur, dans sa réponse et lors de la séance, a indiqué abandonner cette branche du manquement ».

Autre problème similaire, à partir du site email.amex-info.fr cette fois-ci. Toujours le 30 janvier 2023, la délégation de la CNIL continue de naviguer sur le site d’American Express et, au détour d’un clic et de l’ouverture d’un nouvel onglet, elle constate « le dépôt de dix nouveaux cookies. Le rapporteur considère que, parmi ces dix cookies, trois nécessitaient le recueil du consentement ». American Express ne conteste pas et affirme s’être mis en conformité par la suite.

Vous avez retiré le consentement, ok ! et… ?

Dernier grief, la lecture de cookies après retrait du consentement. Pour rappel, on doit pouvoir retirer son consentement aussi simplement qu'on l'a donné et ce à tout moment. Lors de la navigation, la CNIL a accepté les cookies, puis les a refusés. Elle a constaté « la présence sur son navigateur de l’ensemble des cookies déposés avant retrait du consentement, parmi lesquels plusieurs étaient pourtant soumis au consentement de l’utilisateur ».

En défense, l’entreprise américaine « soutient que le rapporteur n’apporte aucune preuve de ces opérations de lecture et que la seule présence des cookies sur le terminal de l’utilisateur est insuffisante pour démontrer un manquement ».

Lors des échanges avec l’entreprise américaine, le rapporteur a « produit un fichier HAR [HTTP Archive, ndlr] démontrant que les cookies précédemment déposés et toujours présents sur le navigateur continuaient, après retrait du consentement, à être lus ». American Express a fini par se mettre en conformité, mais « le manquement demeure néanmoins caractérisé pour le passé ».

Bien évidemment, American Express s’oppose à la publication de la décision et estime que le montant de l’amende proposé par le rapporteur – 1,5 million d’euros – est « disproportionné et insuffisamment motivé ». La formation restreinte de la CNIL estime au contraire que le montant est « adapté ».

De plus, la publicité de la sanction « se justifie au regard de la gravité avérée des manquements en cause, de la position de la société sur le marché et du nombre de personnes concernées, lesquelles doivent être informées ».

Commentaires (9)

votre avatar
La CNIL qui traite un dossier dans son champ d'action ?
Très improbable, encore un article rédigé par une IA ! :fumer:

Prochaine étape : sanctionner les sociétés qui nous abonnent à leurs newsletters malgré le fait qu'on n'a pas coché la case lors de l'inscription ?
votre avatar
contrôle le 30 janvier 2023 […] corrigé le tir en novembre 2024
Heureusement que les payements ne mettent pas autant de temps…

Lors de la navigation, la CNIL a accepté les cookies, puis les a refusés.
Comment on fait pour refuser après avoir accepté ?
Autant le bandeau revient à chaque affichage lorsqu'on refuse les cookies, autant je ne l'ai jamais revu après avoir accepté !
votre avatar
Sur les sites, il y a souvent un lien en pied de page, à côté des renvois vers le mentions légales "gestion des cookies" qui fait réapparaître la popup de consentement.
votre avatar
Ce qui est problématique c'est que la CNIL pose une amende après les faits et sur contrôle.

Donc il y a exploitation des données qui a quand même eu lieu. Comme il suffit d'une fois, c'est Mort.

Contrôle sur des sites mais pas la totalité bien évidemment. Donc bon... C'est mort aussi.

Ca aurait été mieux de faire un permis de faire des sites...
votre avatar
Je m'interroge toujours sur les bandeaux oui il y a dizaine d'entreprises non corrélé à l'entreprise derrière le site et qui demande le consentement avec optout par défaut mais quand même la case "légitime" de coché.
Il faudrait mettre un frein à cela quand même.
votre avatar
"Vient ensuite le cas du dépôt de cookies malgré le refus de l’utilisateur. Deux cas sont à distinguer. Sur le site principal tout d’abord. Quand un utilisateur cliquait sur « Tout refuser », six nouveaux cookies, considérés comme non essentiels par le rapporteur, étaient déposés. « Au regard des explications fournies par la société quant aux finalités poursuivies par ces cookies, le rapporteur, dans sa réponse et lors de la séance, a indiqué abandonner cette branche du manquement ».


Tu dis non, ça en ajoute 6, non essentiels. Comment on peut arriver à "abandonner cette branche du manquement" ????
votre avatar
"Vous n'avez rien prouvé", puis "Le montant de l'amende est trop élevé", puis "La décision ne doit pas être communiquée".
La posture n'est pas bonne : l'entreprise cherche à éviter les conséquences de ces manquements.
Rien que pour cela, une majoration du montant de l'amende et une nouvelle communication, ou l'allongement de celle-ci devrait être possible.

C'est comme cela que l'on décourage des enfants capricieux de recommencer.
votre avatar
Pour les enfants, je ne sais pas, mais dans un état de droit, ça ne fonctionne pas comme tu le dis. Et c'est heureux !
votre avatar
Comparution sur reconnaissance préalable de culpabilité ? (c'est l'inverse, mais le principe est là)

American Express faisait n’importe quoi avec les cookies et écope d’une amende

  • Condé Nast, American Express : même combat

  • À peine arrivé, 31 cookies déposés

  • Refusez des cookies, on vous les sert de force

  • Vous avez retiré le consentement, ok ! et… ?

Fermer