RGPD : la CNIL sanctionne AMEX d’une amende de 1,5 million d’euros
Par délibération du 27 novembre 2025, la CNIL a prononcé une sanction à l’encontre AMERICAN EXPRESS CARTE FRANCE (« AECF ») pour les manquements suivants au RGPD :
● Violation du principe de minimisation des donnés (art. 5-1-c du RGPD) :
Lorsque des personnes contactaient la hotline d’AECF, l’enregistrement de la conversation débutait immédiatement après la diffusion du message informant la personne de sa possibilité de s’y opposer mais avant la mise en relation avec un téléconseiller et pendant le temps d’attente. Cet enregistrement était donc susceptible de capter des paroles à caractère privé prononcées par la personne ou par des tiers.
En 2022, 1,2 million d’appels ont été reçus par le service client, 50% ayant été enregistrés (600 000 appels).
● Violation de l’obligation d’informer et d’obtenir le consentement des personnes avant le dépôt de cookies (art. 82 de la loi Informatique et Libertés) :
Des cookies étaient déposés sur le terminal de l’utilisateur sur deux sites internet d’AECF :
– Avant toute action de sa part : 8 cookies nécessitant le consentement préalable de l’utilisateur compte tenu de leurs finalités d’optimisation du site internet et publicitaire
– Malgré son refus : 3 cookies à finalité publicitaire étaient déposés
– Après retrait de son consentement : des cookies continuaient à être lus à travers des requêtes vers les domaines des sites internet d’AECF
Au regard des capacités financières d’AECF (produit net bancaire de plus de 354 millions d’euros pour un résultat net d’environ 14,2 millions d’euros en 2022 ; produit net bancaire de 379 millions d’euros pour un résultat net de 12,5 millions d’euros en 2023), la CNIL prononce à son encontre une amende « proportionnée » et « dissuasive » de 1 500 000 euros.
