La Commission nationale de l’informatique et des libertés, la CNIL, a rendu publique sa décision de sanctionner la société American Express Carte France. Le troisième émetteur mondial de cartes de paiement devra s'acquitter d'une pénalité financière conséquente suite à des contrôles menés en 2023 qui ont révélé de sérieuses infractions à la législation protégeant la vie privée des internautes sur son site web français.
Quels sont les manquements précis reprochés à American Express ?
L'enquête menée par les services de la CNIL a mis en lumière une série de manquements graves et cumulatifs. Le gendarme des données a identifié une triple violation des règles encadrant les traceurs, démontrant un manque de respect flagrant du consentement de l'utilisateur. Ces pratiques ont été constatées lors de plusieurs contrôles effectués sur le site français de la multinationale.
Concrètement, des cookies, notamment à finalité publicitaire, étaient déposés sur le terminal de l'internaute dès son arrivée sur le site, avant même qu'il n'ait pu faire un choix. Pire encore, même en cas de refus explicite via le bouton « Tout refuser », plusieurs traceurs continuaient d'être installés. Enfin, si un utilisateur acceptait puis changeait d'avis, le retrait de son consentement n'était pas effectif, les cookies précédemment installés continuant à être lus par la société.
Comment la CNIL a-t-elle justifié le montant de la sanction ?
Le montant de cette amende de 1,5 million d’euros a été déterminé en tenant compte de plusieurs facteurs aggravants. L'autorité a souligné que les règles relatives aux traceurs, issues de la loi « Informatique et Libertés » et du RGPD, sont désormais bien connues et anciennes. Compte tenu de sa stature, American Express « ne pouvait ignorer les règles applicables », selon la délibération.
La Commission a également considéré que la société disposait de tous les moyens financiers et techniques nécessaires pour se conformer, et ce, bien avant d'être contrôlée. Bien que la sanction maximale théorique pût atteindre jusqu'à 2% du chiffre d'affaires mondial annuel, la mise en conformité opérée par l'entreprise au cours de la procédure a été prise en compte comme un élément modérateur dans la décision finale.
Quelle a été la réaction de l'entreprise et quelles sont les implications ?
Face à cette sanction, un porte-parole d'American Express Carte France a déclaré à l'AFP que l'entreprise prenait « très au sérieux les constats de la CNIL » et se disait « pleinement engagée à respecter les normes et les pratiques en matière de protection des données ». La société a coopéré tout au long de la procédure et a corrigé l'ensemble des manquements identifiés par le régulateur.
Ce cas nous rappelle bien que toutes les entreprises, y compris les géants mondiaux, sont tenues de respecter scrupuleusement la législation française et européenne sur la protection de la vie privée. La décision de la CNIL confirme que le consentement de l'utilisateur n'est pas une simple formalité, mais un pilier non négociable de la réglementation numérique, dont la violation entraîne des conséquences financières significatives.