La CNIL applique la procédure de guichet unique en matière de cookies

13.01.2026

Le 27 novembre 2025, la CNIL sanctionne la société American Express Carte France d’une amende pour des opérations de dépôt et de lecture de cookies en méconnaissance du consentement des utilisateurs, en écartant la loi « Informatique et libertés » au profit de la procédure de guichet unique prévue par le RGPD.

En apparence classique, la délibération du 27 novembre 2025 de la CNIL a de quoi surprendre. Pourtant, les faits reprochés par le rapporteur ne constituent pas une nouveauté en droit des données personnelles. En l’espèce, la filiale d’une multinationale ayant son siège social en France offre des services de carte bancaire à des porteurs de cartes situés en France et dans d’autres États membres de l’Union européenne.

Une décision classique en apparence…

Il était, d’une part, constaté par le rapporteur des manquements au principe de minimisation prévu à l’article 5, § 1, c), du règlement général sur la protection des données (UE) 2016/679 du 27 avril 2016 (RGPD). La société procédait à un enregistrement systématique des appels téléphoniques entre les clients et les salariés, sans possibilité d’opposition de ces derniers et à des fins de formation (v. déjà, CNIL 28 juill. 2020, Spartoo, délib. n° SAN-2020-003, Dalloz actualité, 11 sept. 2020, nos obs. ; Dalloz IP/IT 2021. 50, obs. T. Douville ). En outre, les coordonnées bancaires étaient enregistrées durant ces appels (ibid.). Enfin, la voix de tiers, des conversations privées et autres informations sensibles pouvaient également l’être, notamment lorsque l’interlocuteur était mis en attente.

D’autre part, étaient constatés par le rapporteur des manquements à l’article 82 de la loi « Informatique et libertés » n° 78-17 du 6 janvier 1978 (LIL) relatif à l’obligation d’information et de recueil du consentement au dépôt et à la lecture de cookies sur le terminal de l’utilisateur. À nouveau, les manquements relèvent de constats éprouvés. La société procédait à des dépôts de cookies sur le terminal des utilisateurs visitant l’un de ses sites internet avant toute action de leur part, ce qui contrevient au principe selon lequel cette inscription « ne peu[t] avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé […] son consentement » (v. déjà, CNIL 7 déc. 2020, Amazon, délib. n° SAN-2020-013, Dalloz actualité, 17 déc. 2020, nos obs.). Des cookies étaient également déposés malgré le refus préalable ou l’opposition ultérieure des utilisateurs (v. déjà et respectivement, CNIL 7 déc. 2020, délib. n° SAN-2020-012, Google, Dalloz IP/IT 2022. 226, obs. E. Netter ; CNIL 29 déc. 2023, Yahoo EMEA Ltd, délib. n° SAN-2023-024, Légipresse 2024. 247, obs. E. Drouard, R. Schlich et J. Elgarni ).

En somme, la décision ne paraît pas exceptionnelle au vu de faits constatés dans des affaires antérieures. Or il apparaît que la formation restreinte de la CNIL refuse de suivre les préconisations du rapporteur et abandonne l’imposition d’une sanction pour manquement au principe de minimisation (pt 109). Il reste alors et logiquement les manquements à l’article 82 de la LIL relatif aux cookies qui sont, selon la formation restreinte, caractérisés en raison notamment de leur gravité (pt 111). Est ainsi prononcée une amende administrative assortie d’une publication de la décision.

Toutefois, cette décision semble peu cohérente. Il est expressément prévu au début de la décision que la CNIL applique la procédure de guichet unique prévue à l’article 56 du RGPD en se désignant autorité cheffe de file (pt 11), ce qui est inhabituel en matière de cookies. Ce curieux raisonnement entre en contradiction avec les positions antérieures de la CNIL.

Une décision de rupture ?

En matière de cookies et dès l’entrée en vigueur du RGPD, en effet, la CNIL a écarté l’applicabilité de la procédure prévue par le RGPD au profit du droit français afin de se déclarer compétente pour les traitements de données réalisés sur les personnes situées dans le territoire français (par ex., CNIL 7 déc. 2020, délib. n° SAN-2020-012, préc.), ce qui avait été validé par le Conseil d’État (CE 28 janv. 2022, n° 449209, Dalloz actualité, 9 févr. 2022, obs. C. Crichton ; Lebon ; AJDA 2022. 188 ; D. 2022. 2002, obs. W. Maxwell et C. Zolynski ; Dalloz IP/IT 2022. 62, chron. C. Crichton ; ibid. 337, obs. T. Douville ; Légipresse 2022. 73 et les obs. ; RTD com. 2022. 295, obs. E. Netter ; RTD eur. 2023. 160, obs. A. Bouveresse ). S’en suivit de nombreuses décisions validant ce principe (v. par ex., nos obs., Cookies et autres traceurs : des sanctions sous le signe de la continuité, Dalloz actualité, 15 févr. 2023).

Le raisonnement, astucieux, est le suivant : l’article 82 de la LIL, étant une transposition de la directive ePrivacy (Dir. 2002/58/CE, 12 juill. 2002, mod. dir. 2009/136/CE, 25 nov. 2009), ce sont les règles de procédure prévues par cette dernière qui s’appliquent. Or l’article 15 bis de la directive laisse le soin aux États membres de désigner l’autorité compétente. En France, il s’agit de la CNIL, conformément aux articles 16 et 20, III, pour sa compétence matérielle et 3, I, pour sa compétence territoriale. Les dispositions en matière de lecture et d’écriture de cookies prévues par la directive ePrivacy constituent, à grands traits, le droit spécial du droit de la protection des données personnelles.

Lorsque le mécanisme de guichet est unique est écarté, l’autorité nationale de contrôle n’est compétente que pour les traitements effectués sur les personnes situées dans son territoire, à charge pour les autres autorités de s’occuper du leur. Or, en l’espèce, les motifs de la CNIL dans sa partie relative aux sanctions restent laconiques (pts 114 à 116). En effet, l’assiette de l’amende ne figure pas. Sont seulement indiqués les « produits nets bancaires » de la société (pts 6 et 115), sans précision de leur caractère national ou mondial, ce qui ne permet pas d’affirmer si la CNIL applique réellement la procédure de guichet unique pour le calcul de l’amende.

Les fondements mobilisés pour le calcul de l’amende sont plus éclairants. S’agissant des critères permettant d’apprécier le montant de l’amende, la CNIL se fonde sur l’article 83 du RGPD (pt 166), ce qui reste habituel pour les décisions portant exclusivement sur les cookies, et dans lesquelles elle écarte la procédure de guichet unique (v. not., CNIL 19 déc. 2022, Microsoft, délib. n° SAN-2022-023). S’agissant du plafond de l’amende, la délibération est plus intéressante. La CNIL se fonde en effet et à nouveau sur l’article 83 du RGPD (pt 116), ce montant étant, selon ses dires, de « 10 millions d’euros ou 2 % du chiffre d’affaires annuel » (pt 115), correspondant au paragraphe 4 de l’article qui – évidemment – ne mentionne pas les manquements relatifs aux cookies. D’ordinaire, la CNIL mobilise l’article 20, IV, 7°, de la LIL qui prévoit les mêmes plafonds lorsque « le responsable de traitement ou son sous-traitant ne respectent pas les obligations résultant du [RGPD] ou de la présente [LIL] », cette dernière incluant donc le régime des cookies de l’article 82.

La CNIL privilégie-t-elle ainsi l’article 83 du RGPD pour adopter une procédure strictement européenne ? Si oui, cela signifierait qu’elle abandonne ses précédentes positions pour adopter – du moins pour cette affaire – la procédure de guichet unique en matière de cookies.

S’agit-il d’une appréhension anticipée de la réforme « Digital Omnibus », proposée le 19 novembre 2025 (COM(2025) 837 final) ? Assurément, non car aucune réforme de l’article 15 bis de la directive ePrivacy n’est prévue.

S’agit-il, dès lors, d’une réelle décision de rupture ? La présente délibération interroge. La CNIL a déjà prononcé une sanction en matière de cookies en se déclarant autorité cheffe de file (CNIL 11 mai 2023, Doctissimo, délib. n° SAN-2023-006, AJDA 2023. 1700, obs. N. Bekhat, G. Goldberg, A. Richet et M. Cazettes de Saint Léger ). Néanmoins, cette décision sanctionnait majoritairement des manquements au RGPD : limitation des durées de conservation (art. 5, § 1, e), consentement au traitement des données sensibles (art. 9), accord de coresponsabilité (art. 26) et sécurité des données (art. 32). Le parallèle avec la présente décision serait donc hasardeux, confirmant notre incertitude sur les positions à venir de la CNIL. Affaire à suivre !

CNIL 27 nov. 2025, délib. n° SAN-2025-011 American Express Carte France, JO 3 déc.

par Cécile Crichton