A l'issue de plusieurs contrôles effectués en 2023, la CNIL a constaté que la filiale française de la société American Express avait contrevenu aux dispositions relatives au principe de minimisation des données ainsi qu’aux règles encadrant le dépôt de cookies.
Sur le manquement au principe de minimisation des données
Conformément à l'article 5-1-c du RGPD, les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées. S’agissant des enregistrements téléphoniques, le principe de minimisation des données impose de ne conserver que les extraits de conversation strictement nécessaires à la réalisation des finalités poursuivies.
En l'espèce, lorsque des personnes contactaient par téléphone le service client de la société, l'enregistrement de la conversation débutait dès la fin des mentions d'information et se poursuivait quand bien même ils étaient placés en attente par un conseiller. En 2022, sur près de 1,2 million d'appels, la moitié ont fait l’objet d’un enregistrement. Constatant que les enregistrements ne répondaient à aucune des finalités poursuivies par la société, à savoir la formation et l’amélioration de la performance de ses salariés, le contrôle de la conformité, ou le traitement des réclamations formulées par les clients, la CNIL a considéré que la société a manqué au principe de minimisation des données personnelles.
Sur le manquement à l'obligation d'informer et d'obtenir le consentement des personnes concernées avant le dépôt des cookies
Aux termes de l’article 82 de la loi Informatique et Libertés, le dépôt de cookies sur le terminal d’un utilisateur ne peut intervenir qu’après l’obtention préalable de son consentement, l'utilisateur devant par ailleurs être informé des moyens lui permettant de s’y opposer.
En l'espèce, les contrôles ont révélé que : 8 cookies nécessitant l'accord préalable de l'utilisateur étaient déposés dès son arrivée sur le site de la société ; 3 cookies à finalité marketing demeuraient actifs malgré le refus exprimé par l’utilisateur concernant les cookies dits non essentiels ; des opérations de lecture de cookies soumis à consentement se poursuivaient après leur retrait.
Bien que la société se soit depuis mise en conformité sur ces points, la CNIL a prononcé à son encontre une amende 1,5 million d'euros, assortie de la publicité de la décision.
Délibération SAN-2025-011, 27 novcembre 2025
Découvrir les actualités :
- département avant Propriété intellectuelle & Nouvelles Technologies département après