De Franse gegevensbeschermingsautoriteit, CNIL, legde American Express Carte France een boete van €1,5 miljoen op voor het plaatsen van advertentiecookies op gebruikersapparaten zonder voorafgaande toestemming. Inspecteurs ontdekten dat de website van het bedrijf trackingcookies installeerde zodra bezoekers de homepage betraden. De cookies waren actief voordat er een toestemmingsbanner verscheen en bleven werken, zelfs wanneer gebruikers weigeringsopties selecteerden. CNIL zei dat sommige cookies ook actief bleven nadat de toestemming was ingetrokken.
American Express Carte France biedt kaart- en financiële diensten aan via haar online platform. CNIL verklaarde dat het bedrijf niet aan zijn wettelijke verplichtingen onder de Franse gegevensbeschermingswet heeft voldaan, die vereist dat advertentie- en trackingcookies alleen worden geïnstalleerd nadat gebruikers expliciete toestemming hebben gegeven. Deze regels zijn van toepassing op cookies die worden gebruikt voor gedragsanalyse, gerichte reclame of andere niet-essentiële functies.
De autoriteit voerde inspecties uit in januari 2023. Volgens haar beslissing heeft het bedrijf het verzamelen van toestemming niet correct beheerd, niet voorkomen dat niet-essentiële cookies automatisch geladen werden en stopte het niet met verwerken wanneer gebruikers zich afmeldden. CNIL benadrukte dat deze vereisten al enkele jaren van kracht zijn en dat van organisaties wordt verwacht dat zij effectieve toestemmingsmechanismen implementeren.
Volgens de EU- en Franse privacyregels moet toestemming vrijelijk en vooraf worden gegeven. Gebruikers moeten ook gemakkelijk toestemming kunnen intrekken. CNIL zei dat American Express Carte France niet aan deze normen voldeed. De autoriteit merkte op dat overtredingen met betrekking tot cookies een terugkerend aandachtspunt van handhaving zijn, omdat trackingtechnologieën browsepatronen en persoonlijke voorkeuren kunnen onthullen.
American Express zei dat het wijzigingen heeft doorgevoerd om aan de nalevingseisen te voldoen. De autoriteit bevestigde dat er al enkele corrigerende maatregelen waren genomen op het moment dat het besluit werd genomen.
De zaak voegt zich voort op een reeks handhavingsmaatregelen in heel Europa die zich richten op bedrijven die zich niet aan de cookieregels houden. CNIL heeft verschillende boetes opgelegd aan bedrijven in sectoren zoals detailhandel, media en technologie. Analisten zeiden dat de boete aantoont dat complianceverplichtingen evenzeer gelden voor financiële instellingen als niet-financiële bedrijven.
Gebruikers die de getroffen website hebben bezocht, kunnen hun browserinstellingen kunnen herzien en ongewenste cookies verwijderen. Privacyspecialisten raden aan dat gebruikers toestemmingsbanners zorgvuldig controleren en niet-essentiële tracking weigeren als ze de voorkeur geven aan beperkte blootstelling aan data.