Commission Nationale de l’Informatique et des Libertés (CNIL) har utfärdat en sanktionsavgift om 1 500 000 euro mot American Express Carte France för överträdelser av dataskyddsförordningen (GDPR) och och Loi Informatique et Libertés.
Av beslutet framgår att CNIL i januari 2023 genomförde kontroller av det franska dotterbolaget American Express Carte France, bland annat genom granskning av bolagets webbplats samt inspektioner i bolagets lokaler.
CNIL konstaterade att cookies och andra spårningsverktyg placerades på användarnas terminaler redan när de besökte webbplatsen, innan de hade haft möjlighet att lämna eller neka sitt samtycke. Myndigheten fann även att cookies och andra spårningsverktyg för reklamändamål placerades trots att användare uttryckligen hade motsatt sig sådan behandling. Därutöver fortsatte bolaget att läsa tidigare placerade cookies och andra spårningsverktyg även efter att användare hade återkallat sitt samtycke.
Mot denna bakgrund fann CNIL att bolaget hade brutit mot artikel 82 i den franska Loi Informatique et Libertés, som reglerar användningen av cookies och liknande tekniker, samt mot principen om uppgiftsminimering enligt artikel 5.1 (c) GDPR. Vid fastställandet av sanktionsavgiften beaktade CNIL att bolaget i flera avseenden hade åsidosatt kraven på att inhämta och respektera användarnas samtycke. Myndigheten framhöll att reglerna om cookies och andra spårningsverktyg är väl etablerade och har kommunicerats tydligt under lång tid.