Retour au haut de

1.1. Présentation

American Express apprécie votre confiance et respecte votre vie privée.

La protection des données et la sécurité des informations sont des priorités de longue date de notre entreprise. En tant qu’organisation multinationale, nous nous sommes engagés à protéger les données personnelles, où qu’elles soient utilisées. Toutes les données personnelles recueillies par American Express sont traitées conformément à nos Principes de protection des données et de confidentialité. 

En 2012, American Express était l’une des premières entreprises à publier des règles d’entreprise contraignantes (BCR) approuvées par l’Information Commissioner’s Office. Aujourd'hui, ces BCR continuent à créer un cadre à notre engagement en termes de confidentialité, en favorisant une culture forte de la conformité au sein de notre entreprise.

Nos BCR régissent notamment les transferts internationaux de données personnelles entre des entités BCR d’American Express conformément à la législation en vigueur sur la protection des données et garantissent que vos données personnelles sont toujours protégées efficacement, quel que soit l’endroit où elles sont transférées.

1.2. Accès aux BCR

Nos BCR sont consultables sur les différents sites Web d’American Express en Europe. Vous pouvez également demander un exemplaire de nos BCR dans un autre format auprès de notre responsable de la protection des données (DPO) à l'adresse ci-dessous ou auprès de l’entité locale American Express responsable de vos données personnelles. Notez que la principale autorité de contrôle  qui supervise nos BCR est l’Agencia Española de Protección de Datos (AEPD).

Retour au haut de

Le caractère juridique contraignant de nos BCR à l’égard des entités BCR d’American Express et de leurs employés est assuré par un contrat intra-groupe entre American Express Company et American Express Europe, S.A. (AEESA), l’entité qui représente légalement American Express dans l’EEE.

Chaque entité BCR American Express et ses employés peuvent traiter vos données personnelles seulement de manière conforme à ces BCR. Les employés qui violeraient ces BCR peuvent faire l’objet de mesures disciplinaires.

Retour au haut de

3.1. Portée géographique

Nos BCR s'appliquent à l’ensemble des traitements des données personnelles visées par la législation en vigueur sur la protection des données. Il s'agit des données personnelles des  personnes concernées qui sont ou ont été traitées dans le cadre des activités d’une entité BCR d’American Express établie dans l’EEE, même si ce traitement est effectué par une entité BCR d’American Express située hors de l’EEE.

3.2. Portée matérielle

En sa capacité de responsable du traitement des données, American Express traite les données personnelles des employés, administrateurs, sous-traitants, consultants individuels, travailleurs occasionnels passés, présents et à venir d’American Express, que ce soit à temps plein, à temps partiel, de manière permanente ou temporaire, ainsi que des retraités (« Employés »), et les données personnelles des clients passés, présents et à venir d’American Express ainsi que les personnes physiques travaillant au sein de clients personnes morales, fournisseurs et partenaires d’American Express (« Clients »).

Les finalités pour lesquels American Express traite les données personnelles se rapportent principalement aux services offerts aux consommateurs, aux entreprises et aux commerçants, à l’assurances, aux voyages, aux réunions et événements, ainsi qu'aux services de réseau et aux ressources humaines.

Pour réaliser efficacement les activités d’American Express au niveau mondial, le traitement des données personnelles par les entités BCR d’American Express, en rapport avec les finalités identifiées dans ces BCR, peuvent nécessiter des transferts internationaux de données personnelles des personnes concernées, en provenance de toute entité BCR American Express de l’EEE vers toute entité BCR American Express située hors de l’EEE (y compris en provenance de pays de l’EEE vers les États-Unis, où se trouvent les principaux serveurs d’American Express), et tout transfert ultérieur de ces données personnelles vers une entité située hors du groupe American Express.

Pour avoir une vue plus complète des activités de traitement d’American Express, reportez-vous à l’Annexe 1. Pour savoir où se trouvent les entités BCR d’American Express, reportez-vous à l’Annexe 2.

Retour au haut de

Quand elles traitent vos données personnelles, les entités BCR d’American Express se sont engagées à se conformer à des principes  de protection des données (section 4.1) et à respecter vos droits à la protection des données (section 4.2).

4.1. Principes de protection des données

4.1.1. Transparence et équité

Les entités BCR d’American Express recueillent et traitent vos données personnelles de manière transparente et équitable.

Nous veillons à ce que vous ayez un accès facile aux informations sur nos activités de traitement, comme l’exige le Règlement général sur la protection des données (RGPD). Ces informations vous sont fournies sous une forme concise, transparente, intelligible et facile d'accès, dans un langage clair et simple, dans les déclarations sur la protection des données d’American Express, en fonction de votre relation avec nous. Ces avis et conditions d’utilisation peuvent également contenir des dispositions supplémentaires qui correspondent au traitement des données personnelles, conformément aux lois et réglementations en vigueur dans votre pays.

En particulier, quand des données personnelles sont recueillies auprès des personnes concernées, les informations suivantes seront fournies au moment où les données personnelles sont recueillies :

• l’identité et les coordonnées du responsable de traitement et, le cas échéant, son représentant ;
• les coordonnées du DPO ;
• les objectifs du traitement appliqué aux données personnelles et la raison légale de ce traitement ;
• les destinataires ou catégories de destinataires des données personnelles, le cas échéant ;
• l’existence des transferts de données personnelles vers des pays ne bénéficiant pas d’un niveau de protection adéquat et des mesures de protection appropriées adoptées pour assurer le même niveau de protection, comme l’exige le RGPD ;
• la durée pendant laquelle les données personnelles seront conservées ou, si cela n’est pas possible, les critères utilisés pour déterminer cette durée ; et
• l’existence des droits des personnes concernées reconnue par le RGPD.

Si les données personnelles n’ont pas été recueillies auprès de la personne concernée, les informations ci-dessus, ainsi que les catégories de données personnelles concernées et la source des données personnelles, seront communiquées dans un délai raisonnable (sauf si la personne concernée a déjà reçu ces informations, si la communication de ces informations s'avère impossible ou entraînerait des efforts disproportionnés, l’obtention ou la divulgation des données personnelles est expressément prévue par le droit de l’UE ou d’un État membre ou, si les données personnelles doivent rester confidentielles en raison d’une obligation de secret professionnel réglementée par le droit de l’UE ou d’un État membre, y compris une obligation statutaire de secret).

En outre, nos BCR vous informent sur les droits que vous pouvez faire valoir contre AEESA ou toute entité BCR d’American Express, concernant le traitement de vos données personnelles conformément à ces BCR (« droits opposables ») et sur les moyens d’exercer ces droits (voir section 8). En outre, ces BCR vous donneront des informations sur les principes de protection des données que nous appliquons quand nous traitons vos données personnelles (comme indiqué dans cette section 4) et des informations sur la responsabilité juridique des entités BCR d’American Express en cas de violation de ces BCR (voir section 8).

De plus, vous avez toujours la possibilité d’obtenir, sur demande, un exemplaire de nos BCR. Une version publique sera disponible sur les sites internet des entités BCR d’American Express à travers l’EEE, ainsi que sur notre intranet, si vous êtes un(e) employé(e).

4.1.2. Licéité du traitement

Vos données personnelles et vos catégories spéciales de données sont recueillies et traitées de manière équitable et licite, conformément à la législation en vigueur sur la protection des données. La base légale du traitement de vos données personnelles sont décrites en détail dans les déclarations de respect de la vie privée d’American Express, en fonction de votre relation avec American Express.

·      Traitement des données personnelles

Vos données personnelles ne seront recueillies et traitées que s’il existe une base légale à ce traitement:

-       si vous avez donné votre consentement de manière explicite (par exemple afin de recevoir par e-mail des communications contenant des publicités, promotions et offres concernant les produits et services d’American Express) ;

-       si ce traitement est nécessaire à l’exécution d’un contrat auquel vous êtes une des parties ou afin de prendre des mesures, à votre demande, avant de conclure un contrat (par exemple, pour gérer notre relation contractuelle avec vous et traiter votre demande de carte, de compte ou pour un autre produit ou pour gérer vos comptes existants) ;

-       si ce traitement est nécessaire pour se conformer à une obligation légale (par exemple pour signaler des transactions suspectes aux autorités compétentes dans le cadre des règles de lutte contre le blanchiment d’argent ou en vertu de la réglementation en vigueur afin de faire les vérifications d’identité nécessaires avant d'approuver une demande de carte) ; ou

-       si ce traitement est nécessaire aux fins des intérêts légitimes d’une entité BCR American Express ou de tiers (par exemple pour fournir des produits et services, pour promouvoir et commercialiser des produits et services, pour effectuer des recherches et des analyses, et pour gérer les risques de fraude et de sécurité), sans que ces intérêts puissent prévaloir sur vos intérêts ou droits et libertés fondamentaux.

• Traitement des catégories particulières de données

Nous pouvons éventuellement recueillir des catégories particulières de données telles que les données ayant trait à votre santé, vos données biométriques, votre orientation sexuelle ou votre origine raciale / ethnique. Ces données sont recueillies et traitées de façon à respecter les exigences légales, à des fins essentielles à l’administration de la relation employé / employeur ou si vous avez donné votre consentement explicite, et seulement dans la mesure autorisée par la réglementation en vigueur.

Parfois, il peut vous arriver de nous fournir ce type de données afin d’améliorer votre expérience utilisateur (par exemple si vous nous informez d’exigences alimentaires spécifiques ou de votre besoin d'assistance quand vous prenez l'avion).

Dans la mesure limitée où ces catégories particulières de données sont recueillies, elles seront traitées seulement pour l’une des raisons légales susmentionnées et à condition que l’une des conditions au traitement de ces catégories spéciales de données s'applique, par exemple :

-       si vous avez donné votre consentement explicite à ce traitement ;

-       si ce traitement est nécessaire pour qu’American Express s’acquitte de ses obligations et exerce ses droits spécifiques dans le domaine de l’emploi, de la sécurité sociale et de la protection sociale ;

-       si ce traitement a trait à des catégories spéciales de données que vous avez manifestement rendues publiques ;

-       si ce traitement est nécessaire pour établir des poursuites juridiques, en exercer ou se défendre ;

-       si ce traitement est nécessaire pour des raisons d’intérêt public substantielles, selon une réglementation de l’Union Européenne ou d’un État membre.

En outre, les entités BCR d’American Express prendront des mesures renforcées afin de traiter les catégories spéciales de données, conformément à la législation en vigueur sur la protection des données.

4.1.3. Limitation d’utilisation, précision et limitation de conservation des données

Les entités BCR d’American Express utilisent une technologie appropriée et des pratiques établies concernant les employés afin de traiter vos données personnelles de manière prompte et précise.

Nous prenons des mesures raisonnables pour veiller à ce que vos données personnelles :

-       Soient exactes et à jour au regard des finalités pour lesquelles elles sont traitées (exactitude des données). Si vos données personnelles sont inexactes, qu’elles soient effacées ou corrigées sans retard ;

-       Soient adéquates, pertinentes et sans excès au regard des finalités pour lesquelles elles ont été recueillies et traitées (limitation d’utilisation des données) ;

-       Ne soient conservées sous une forme identifiable plus longtemps que nécessaire au regard des finalités pour lesquels les données personnelles sont traitées, et conservées plus longtemps seulement à des fins d’archivage ou si cela est permis ou requis conformément aux lois en vigueur et, dans ce cas, en prenant les mesures administratives, techniques et organisationnelles adéquates.

4.1.4. Limitation des finalités

Les entités BCR d’American Express recueillent des données personnelles seulement à des fins spécifiques et légitimes. Nous traitons vos données personnelles de manière équitable et seulement pour les finalités que nous vous avons annoncés, pour les finalités autorisées par vous ou par la législation en vigueur sur la protection des données. Nous veillerons à ce que vos données personnelles ne soient pas traitées d’une manière incompatible avec ces finalités.

4.1.5. Sécurité et confidentialité des données

American Express a mis en œuvre et s’engage à maintenir un programme complet de sécurité des informations conforme aux lois en vigueur et à la législation en vigueur sur la protection des données.

Les entités BCR d’American Express mettent en œuvre des mesures administratives, techniques et organisationnelles appropriées pour protéger vos données personnelles contre toute destruction, perte, modification accidentelle ou illégale, et contre toute divulgation ou tout accès non autorisé(e) à vos données personnelles transmises, conservées ou autrement traitées. Nous protègerons la confidentialité de vos données personnelles et limiterons l’accès à vos données personnelles aux personnes qui en ont spécifiquement besoin afin de mener à bien leurs activités professionnelles, sauf disposition contraire de la loi en vigueur qui s'appliquerait à nous.

Ces mesures garantissent un niveau de sécurité adapté au risque et tiennent compte de l’état de la technique, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement, ainsi que la probabilité et la gravité du risque pour les droits et libertés des personnes concernées, et peuvent inclure, selon les cas :

-       la pseudonymisation et le chiffrement des données personnelles des personnes concernées,

-       des mesures garantissant la confidentialité, l’intégrité, la disponibilité et la résilience permanentes des systèmes et des services de traitement ;

-       des mesures garantissant la possibilité de restaurer la disponibilité et l’accès aux données personnelles des personnes concernées de manière rapide en cas d’incident physique ou technique ; et

-       un processus permettant de tester et évaluer régulièrement l’efficacité des mesures techniques et organisationnelles assurant la sécurité du traitement.

De plus, les tiers que nous autorisons à traiter vos données personnelles en notre nom doivent mettre en œuvre des mesures administratives, techniques et organisationnelles appropriées et les relations avec nos sous-traitants internes et externes rentrent dans un cadre contractuel conforme aux exigences du  RGPD.

En particulier, les traitements réalisés par le sous-traitant devront être régi par un contrat, contraignant pour le sous-traitant et qui définit l’objet et la durée du traitement, la nature et la finalité du traitement, le type de données personnelles et les catégories de personnes concernées  et les obligations et droits du responsable du traitement des données.

Les obligations suivantes doivent également être incluses dans le contrat, qui doit exiger que le sous-traitant:

-       traite les données personnelles uniquement selon les instructions écrites provenant du responsable du traitement des données ou veille à ce que les personnes autorisées à traiter les données personnelles se soient engagées à respecter leur confidentialité ou aient une obligation statutaire appropriée de confidentialité ;

-       prenne toutes les mesures techniques et organisationnelles nécessaires pour garantir un niveau de sécurité acceptable ;

-       ne passe pas un contrat avec un autre sous-traitant, sans l'autorisation écrite préalable spécifique ou générale du responsable du traitement des données et seulement à condition que les mêmes obligations de protection des données définies dans le contrat entre le responsable du traitement des données et le sous-traitant soient imposées à cet autre sous-traitant ;

-       aide le responsable du traitement des données à mettre en œuvre des mesures techniques et organisationnelles appropriées dans la mesure du possible pour que le responsable du traitement des données puisse s'acquitter de son devoir de répondre aux demandes des personnes concernées  concernant l’exercice de leurs droits ;

-       aide le responsable du traitement des données à s’acquitter de ses obligations concernant la sécurité du traitement, les violations de données personnelles et les évaluations d'impact sur la protection des données ;

-       au choix du responsable du traitement des données, supprime ou renvoie toutes les données personnelles au responsable du traitement des données après la fin de la prestation de services liée au traitement, et supprime les copies existantes, sauf si la loi en vigueur exige la conservation des données personnelles;

-       mette à la disposition du responsable du traitement des données toutes les informations nécessaires pour démontrer la conformité aux obligations énoncées dans l’article 28 du RGPD concernant les sous-traitants et autorise les audits et y contribue, y compris des inspections, effectuées par le responsable du traitement des données ou un autre auditeur mandaté par le responsable du traitement des données.

En outre, les entités BCR d'American Express ont mis en œuvre des mesures administratives, techniques et organisationnelles afin de détecter, examiner, signaler et résoudre les violations de données personnelles. Le DPO d'American Express est informé des violations de données personnelles par les entités BCR d'American Express sans retard indu et le DPO d'American Express détermine s’il doit en informer l’autorité de surveillance compétente et les titulaires de données conformément aux exigences du RGPD. Toute violation de données personnelles doit être documentée (y compris les faits liés à la violation des données personnelles, ses effets et les mesures correctives prises) et la documentation doit être mise à la disposition de l’autorité de surveillance à première demande.

4.1.6. Transferts ultérieurs

Lorsque vos données personnelles sont transférées vers des entités BCR d'American Express puis vers des tiers, nous assurons un niveau de protection adéquat pour le traitement de vos données, conformément à la législation en vigueur sur la protection des données, quelle que soit la destination du transfert.

Ce flux de données est légitimé par nos BCR, ce qui nous permet de transférer les données personnelles entre l’EEE et les entités BCR d'American Express situées hors de l’EEE.

Dans tous les cas de transferts (données personnelles qui ont d’abord été transférées entre une entité BCR d'American Express de l’EEE et une entité BCR d'American Express hors EEE, puis ultérieurement transférées vers des tiers non couverts par les BCR), les entités BCR d'American Express veilleront à passer un accord écrit avec ces tiers contenant des dispositions garantissant que les données personnelles soient protégées au moins selon les critères de confidentialité et de sécurité prévues par ces BCR, ou utiliseront une autre méthode permettant que ce transfert soit valide juridiquement et que des garanties adéquates soient mises en place conformément à l'article 46 du RGPD.

4.1.7. Responsabilité

Toutes les entités BCR d'American Express sont responsables de ces BCR, et doivent démontrer leur conformité à ces BCR. La conformité à ces exigences inclut :

-       la tenue d’un registre électronique des activités de traitement, mises à la disposition des autorités de contrôle sur demande, qui contiennent les informations exigées par le RGPD, telles que le nom et les coordonnées du responsable du traitement des données, les finalités de ce traitement, les catégories de personnes concernées et les catégories de données personnelles, les destinataires des données personnelles, les transferts vers des pays hors de l’EEE, les délais de conservation des catégories de données personnelles et la description des mesures de sécurité appliquées) ;

-       la réalisation d’analyse d'impact relative à la protection des donnés (applicables seulement si les activités de traitement sont susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes concernées) ; et

-       la consultation avec les autoriés de contrôle concernées s’il résulte de l’analyse un risque résiduel élevé pour les droits et libertés des personnes concernées.

En outre, les entités BCR d'American Express ont mis en place des mesures administratives, techniques et organisationnelles appropriées conçues pour mettre en œuvre les principes de protection des données et faciliter la conformité aux exigences énoncées par ces BCR (protection des données par dessein et par défaut).

4.2. Droits des titulaires de données

• Droits d’accès, restriction, objection, rectification, effacement, droit de retirer son consentement et portabilité des données 

Les entités BCR d'American Express se conforment à vos demandes d’exercer les droits qui vous sont accordés par le RGPD, le cas échéant. Plus spécifiquement, nous veillons à ce que vous puissiez exercer votre droit de :

-       accéder à vos données personnelles (droit d’accès) ;

-       limiter et / ou vous opposer au traitement de vos données personnelles (droit à l limitation du traitement et droit d’opposition au traitement) ;

-       rectifier vos données personnelles (droit de rectification) ;

-       effacer vos données personnelles (droit d’effacement) ;

-       retirer un consentement au traitement fourni précédemment, et

-       recevoir vos données personnelles dans un format structuré, couramment utilisé et lisible par machine et / ou de transmettre ces données à un autre responsable du traitement des données (droit à la portabilité des données).

Les entités BCR d'American Express appliquent des procédures  sur le traitement de ces demandes pour veiller à ce que vous ayez les moyens d’exercer ces droits. Si vous souhaitez exercer l’un de vos droits, vous pouvez contacter notre DPO à DPO-Europe@aexp.com.

• Prise de décision automatisée

-       Les entités BCR d'American Express veillent à ce que vous ne fassiez pas l’objet de décisions basées seulement sur un traitement automatisé des données personnelles, y compris le profilage, produisant des effets juridiques vous concernant ou vous affectant de manière significative de façon similaire, sauf si le traitement est : nécessaire pour la conclusion ou l’exécution d’un contrat entre vous et American Express ;

-       est autorisé par une réglementation à laquelle American Express est soumise et qui prévoit également des des mesures appropriées pour la sauvegarde de vos droits et libertés, ainsi que vos intérêts légitimes ; ou

-       basé sur votre consentement explicite à ce traitement.

Conformément aux lois en vigueur, nous mettrons en œuvre des mesures adéquates pour protéger vos droits et libertés et vos intérêts légitimes, au moins le droit d'obtenir une intervention humaine, d'exprimer votre point de vue et de contester la décision.

Conformément à ces restrictions, nous pouvons recourir à des processus automatisés pour nous aider à prendre certaines décisions, notamment pour détecter et gérer les fraudes (par exemple pour nous aider à décider si votre compte a été utilisé à des fins de fraude ou de blanchiment d'argent ou détecter si des fraudeurs ont eu accès à votre compte) ; ou traiter les demandes de carte et évaluer des risques de solvabilité et de sécurité. Ces méthodes sont testées régulièrement pour veiller à ce qu’elles restent équitables, efficaces et objectives.

Vous pouvez contacter notre DPO à DPO-Europe@aexp.com pour exercer votre droit de demander un examen manuel de certaines activités de traitement automatisées produisant des effets juridiques vous concernant ou vous affectant de manière significative de façon similaire.

Retour au haut de

 American Express a nommé un DPO qui surveille la conformité aux BCR. Le DPO :

-       informe et conseille les entités d'American Express et les employés d’American Express de leurs obligations conformément à la législation en vigueur sur la protection des données;

-       surveille la conformité à la législation en vigueur sur la protection des données par l’évaluation des principaux indicateurs et contrôles de risques. Le DPO rapporte les résultats de ces activités de surveillance aux dirigeants des entités concernées via les comités de gouvernance interne ;

-       donne des conseils en rapport avec les analyses d'impact relative à la protection des donnés et surveille leur exécution ;

-       coopère avec les autorités de contrôle; et

-       sert de point de contact pour les autorités de contrôle.

Le DPO a été désigné au vu de ses qualités professionnelles. Il  est sous la responsabilité du Chief Privacy Officer d’American Express. Le DPO est également membre du conseil d'administration d’AEESA et d’American Express Payments Europe SA, qui sont, respectivement, les entités principales d’émission et d’acquisition de service de paiement du groupe en Europe.

Cette désignation est communiquée aux autorités de surveillance des pays européens où American Express est établi.

Le DPO collabore étroitement avec un réseau de spécialistes de la protection des donnés et de juristes spécialisés dans les différents marchés européens, qui contrôlent localement la conformité aux lois en vigueur sur la protection des données. Le DPO bénéficie également du support de l’équipe Privacy globale dirigée par le Chief Privacy Officer d’American Express.

Retour au haut de

Toutes les entités BCR d'American Express doivent fournir des formations appropriés à tous les employés, en particulier aux employés qui recueillent, traitent, ont un accès permanent ou régulier aux données personnelles ou participant à l’élaboration d'outils utilisés pour traiter les données personnelles pour veiller à ce qu’ils comprennent leurs obligations conformément à la législation en vigueur sur la protection des données et à ces BCR. Ces formations sont obligatoires et leur suivi est controlé.

Retour au haut de

American Express a mis en œuvre un programme de conformité qui comprend des contrôles réguliers et des audits de conformité concernant les opérations des entités BCR d'American Express (par des contrôleurs internes ou, si besoin, externes) pour veiller à ce que les BCR et toutes les procédures soient respectées et à jour.

Les audits sur la protection des données couvrent tous les aspects des BCR, y compris le suivi de la mise en place de mesures correctrices.

D'autres audits de protection des données peuvent être demandés par le DPO à sa propre initiative ou à la demande spécifique d’une entité BCR d'American Express. Le groupe d’audit interne d’American Express, en tant qu’organisme de contrôle indépendant, évaluera l'opportunité de ces demandes d’audit en fonction de leur programme d’évaluation des risques.

Les résultats de ces contrôles et audits de conformité seront communiqués à l’équipe Privacy globale d’American Express, au DPO, aux autorités de contrôle concernées (sur demande) et mis à la disposition du comité d'audit du conseil d'administration de l’entreprise American Express.

Si un problème de conformité est trouvé, l’entité BCR d'American Express concernée devra suivre les recommandations spécifiques du DPO. Si les recommandations ne peuvent pas être suivies, l’entité BCR d'American Express devra documenter cette décision.

En outre, American Express devra coopérer avec toute autorité de contrôle ayant juridiction dans le cadre de contrôles de conformité, que ces contrôles aient été initiés en réponse à une réclamation de la part d’une personne concernée, ou à la propre initiative de l’ autorité de contrôle.

Retour au haut de

8.1. La responsabilité des entités BCR d'American Express

Les entités BCR d'American Express doivent se conformer aux BCR. Outre les responsabilités des entités BCR d'American Express, AEESA  sera responsable en cas de violation des BCR commise par une entité BCR d'American Express située hors de l’EEE qui traite des données personnelles conformément à la législation en vigueur sur la protection des données. AEESA est autorisé à prendre toutes mesures nécessaires afin de remédier aux actes ou omissions de toute entité BCR d'American Express qui traite des données personnelles en violation des BCR.

AEESA a l'obligation d’indemniser les personnes concernées en cas de dommage matériel ou non matériel causé par une violation des BCR. Cette indemnisation doit être acceptée par le DPO avant qu’une offre de compensation ou de paiement ne soit faite. Toute indemnisation payée devra l’être à la satisfaction complète de la personne concernée qui a fait une réclamation à l’encontre d’une entité BCR d'American Express. A toutes fins utiles, la responsabilité d’AEESA s’étend aux actes ou omissions de toute entité BCR d'American Express située hors de l’EEE ayant violé les BCR.

Si une entité BCR d'American Express (y compris si cette entité est située hors de l’EEE) viole les BCR, les tribunaux européens compétents auront juridiction concernant cette violation. Dans la mesure où une entité BCR d'American Express viole les BCR, les personnes concernées, les  autorités de contrôle et les tribunaux compétents pourront exercer leurs droits et lancer des poursuites contre AEESA comme si cette violation avait été commise par AEESA dans l’EEE (pour savoir comment déposer une réclamation, reportez-vous à la section 9 ci-dessous).

8.2. Droits des bénéficiaires tiers

Chaque personne concernée pourra opposer à AEESA ou à toute entité BCR d'American Express les dispositions suivantes des BCR en tant que bénéficiaire tiers :

-       principes de protection des données (Section 4.1) ;

-       transparence et facilité d’accès aux BCR (Sections 1.2 et 4.1.1) ;

-       Droits des personnes concernées (Section 4.2) ;

-       conformité, opposabilité et responsabilité (Section 8) ;

-       droit de réclamer en utilisant le mécanisme interne de réclamation d’American Express (Section 9) ;

-       droit de déposer une réclamation auprès de l’autorité de contrôle et devant un tribunal européen compétent (Section 9) ;

-       coopération avec les autorités de contrôle (Section 10) ; et

-       conflit de lois (Section 11.1).

8.3. Charge de la preuve

C’est à AEESA qu’incombe la charge de la preuve de démontrer que l’entité BCR d'American Express située hors de l’EEE n’est pas responsable d’une violation prétendue des BCR qui donne à la personne concernée le droit de réclamer une indemnisation en cas de dommages. Si AEESA peut prouver qu’une entité BCR d'American Express située hors de l’EEE n’est pas responsable de l’événement ayant suscité une demande de dommages-intérêts, AEESA et l’entité BCR d'American Express concernées pourront se décharger de cette responsabilité.

Retour au haut de

Si vous souhaitez soumettre une réclamation et/ou exercer vos droits en rapport avec ces BCR, vous pouvez contacter le DPO à tout moment, par écrit, au siège social d’AEESA à American Express Europe SA, Avenida Partenón 12 – 14, 28042 Madrid / ESPAGNE ou par e-mail à DPO-Europe@aexp.com.

Notre DPO traitera vos réclamations dans les meilleurs délais et, dans tous les cas, sous 30 jours. Compte tenu de la complexité et du nombre de demandes, cette période de 30 jours pourra être prolongée d’un maximum de 60 jours, auquel cas nous vous en informerons.

Pour en savoir plus sur le traitement des réclamations par American Express et sur la façon de déposer une réclamation, reportez-vous à notre Déclaration de respect de la vie privée en ligne.

Si le problème n’est pas résolu à votre satisfaction, vous pouvez également :

-       déposer une réclamation auprès de l’autorité de contrôle de l’État membre de votre résidence habituelle, de votre lieu de travail ou du lieu de l’infraction alléguée ;

-       porter votre réclamation devant un tribunal compétent du pays européen où l’entité BCR d'American Express concernée est établie ou de votre lieu de résidence habituel et, le cas échéant, obtenir indemnisation pour les dommages que vous avez subis suite à la violation des droits des bénéficiaires tiers susmentionnés.

Retour au haut de

Toutes les entités BCR d'American Express devront coopérer avec, et accepter un audit de la part de, toute autorité de contrôle concernée et devront se conformer aux conseils de ces autorités de contrôle sur toutes les questions concernant la législation en vigueur sur la protection des données.

Si l’autorité de contrôle établit qu’une des entités BCR d'American Express a violé les droits des personnes concernées dans le cadre de ces BCR, cette entité BCR d'American Express devra se se conformer aux conclusions de l'Autorité de contrôle, sous réserve du droit de contester ou de faire appel de ces conclusions.

Retour au haut de

11.1. Législation nationale empêchant la conformité aux BCR UE

Si une entité BCR d'American Express a des raisons de croire qu’une loi à laquelle elle doit se soumettre ne permet pas de se conformer aux BCR ou est susceptible d'avoir un effet négatif important sur les garanties prévues par les BCR, la personne à contacter pour cette entité BCR d'American Express devra en informer le DPO, sauf si les lois en vigueur l’en interdisent. Si nécessaire, le DPO devra informer l’autorité de contrôle compétente de ce conflit de lois, sauf si une telle information est prohibée par les lois en vigueur.

Si une entité BCR d'American Express reçoit une demande contraignante de divulgation de données personnelles émanant d’une autorité répressive ou d’un organisme de sécurité de l’État, le DPO devra informer l’autorité de contrôle compétente de cette demande (y compris des informations sur les données demandées, l’organisme qui les demande et la raison légale de cette divulgation). Si, dans des cas spécifiques, la notification à l’autorité de contrôle compétente est interdite par les lois en vigueur, American Express fera de son mieux pour obtenir la levée de cette interdiction, afin de communiquer rapidement ces informations à l’autorité de contrôle compétente, et de pouvoir démontrer qu’elle l'a fait.

Si, dans les cas ci-dessus, malgré ses efforts raisonnables, l’entité BCR d’American Express n’est pas en mesure d’informer l’autorité de contrôle compétente, elle donnera tous les ans des informations générales sur les demandes qu’elle a reçues à l’autorité de contrôle compétente (nombre de demandes de divulgations, catégories de données personnelles demandées, nom du demandeur si possible, etc.).

Dans tous les cas, les transferts de données personnelles par une entité BCR d'American Express à une autorité publique ne sera ni massive, ni disproportionnée ni faite sans discernement. Cette limitation s'appliquera à toute demande juridiquement contraignante de divulgation de données personnelles par une autorité chargée de l'application du droit ou par un organisme de sécurité de l'État.

11.2. Relation entre les lois nationales et les BCR UE

Si la législation en vigueur sur la protection des données nécessite un niveau de protection supérieur pour les données personnelles, ces lois sur la protection des données auront la prévalence sur ces BCR.

Retour au haut de

Nous pouvons être amenés à mettre à jour nos BCR, par exemple afin de prendre en compte les modifications de l’environnement réglementaire ou la structure de l'entreprise. Nous nous engageons à signaler les changements matériels de nos BCR sans retard indu à toutes les entités BCR d'American Express et à l’AEPD. Tous les changements de BCR ou de la liste des entités BCR d'American Express seront signalés une fois par an aux autorités de contrôle concernées, via l’AEPD, avec une brève explication des raisons justifiant cette mise à jour. Si une modification peut affecter le niveau de protection offert par les BCR ou affecter ces BCR de manière substantielle, elle sera rapidement communiquée aux autorités de contrôle concernées, via l’AEPD.

American Express maintient une liste à jour des entités BCR d'American Express, fait un suivi et consigne toutes les mises à jour apportées aux règles, et donne les informations nécessaires aux personnes concernées ou aux autorités de contrôle sur demande. En outre, les entités BCR d'American Express ne feront pas de transfert vers une nouvelle entité BCR d'American Express tant que cette nouvelle entité n’estpas effectivement soumises aux obligations prévues par ces BCR et ne peut assurer sa conformité.

Retour au haut de

Les entités BCR d'American Express se trouvent dans les pays suivants :

• Argentine
• Autriche
• Australie
• Belgique
• Canada
• Chine
• Colombie
• Tchèque (République)
• Danemark
• Finlande
• France
• Allemagne
• Grèce
• Hong Kong
• Hongrie
• Inde
• Irlande
• Italie
• Japon
• Jersey
• Malaisie
• Mexique
• Pays-Bas
• Norvège
• Philippines
• Pologne
• Russie
• Singapour
• Slovaquie
• Espagne
• Suède
• Suisse
• Taïwan
• Thaïlande
• Royaume-Uni
• États-Unis

Retour au haut de

Annexe 3 - Glossaire

« AEESA » signifie American Express Europe, S.A., situé Avenida Partenón 12 -14, Madrid, 28042, Espagne. AEESA est la branche européenne d’American Express chargée de veiller à ce que les données personnelles soient traitées conformément aux BCR. AEESA est une partie signataire à l’accord intra-groupe.

« Entité BCR d’American Express » ou « entités BCR d'American Express » ou « nous » signifie la ou les entités d’American Express contraintes par les règles contraignantes de l'entreprise.

« American Express Company » signifie l’entreprise American Express, située au World Financial Center, 200 Vesey St., New York, NY 10285, États-Unis. L’entreprise American Express est une partie signataire de l’accord intra-groupe.

« Déclarations de respect de la vie privée d'American Express » signifie la déclaration de respect de la vie privée des titulaires de carte (pour les titulaires de carte), la déclaration de respect de la vie privée en ligne (pour les clients et les visiteurs de nos sites Web), la déclaration de respect de la vie privée concernant le recrutement en ligne (pour les employés potentiels) ou la déclaration de respect de la vie privée des employés (pour les employés actuels), ainsi que les autres avis, conditions d’utilisation (telles que les conditions générales applicables aux commerçants et aux entreprises clientes) applicables à la relation des personnes concernées avec American Express, y compris leurs modifications éventuelles.

« Législation en vigueur sur la protection des données » signifie le RGPD (et les législations de mise en œuvre nationales), la directive sur la vie privée en ligne 2002/58/EC (et les législations de mise en œuvre nationales), et toute autre loi ou réglementation sur la protection des données applicable dans l’EEE (y compris les modifications ou remplacements éventuels de tout ce qui précède).

« Consentement » – signifie toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données personnelles la concernant fassent l'objet d'un traitement.

« Violation de données » ou « violation des données personnelles » signifie une violation de sécurité, de manière accidentelle ou illicite, entraînant la destruction, la perte, la modification, la divulgation non autorisée aux données personnelles transmises, conservées ou autrement traitéesou l'accès non autorisé à de telles données

.« Responsable du traitement des données » - signifie la personne physique ou morale, l'autorité publique, l’agence ou autre organisme qui, seul(e) ou avec d'autres, détermine les buts et les moyens du traitement des données personnelles.

« Analyse d'impact relative à la  protection des données » signifie une évaluation de l’impact d’une opération de traitement envisagée concernant la protection des données personnelles effectuée si ce traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées.

« Personnes Concernées » ou « vous » fait référence à une personne physique identifiable directement ou indirectement, notamment en référence à un identifiant tel qu’un nom, un numéro d’identification, des données de lieu, un identifiant en ligne ou bien un ou plusieurs éléments spécifiques propres à l’identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale de cette personne physique dans le cadre de ces BCR.

« Sous-Traitant » signifie la personne physique ou morale, l'autorité publique, l’agence ou tout autre organisme qui traite les données personnelles au nom et conformément aux instructions du responsable du traitement des données.

« EEE » signifie l’Espace économique européen, qui inclut tous les pays de l’UE, ainsi que l’Islande, le Liechtenstein et la Norvège.

« RGPD » signifie le règlement général sur la protection des données 2016/679.

« Accord intra-groupe » signifie l’accord intra-groupe qui contraint les entités BCR d'American Express à respecter les BCR.

« Données personnelles » signifie toute information liée à une personne physique identifiée ou identifiable (personne concernée) visée par le champ d'application de ces BCR.

« Traitement » signifie toute opération ou série d’opérations effectuées sur les Données personnelles ou sur des séries de Données personnelles, par des moyens automatisés ou autres, tels que le recueil, l’enregistrement, l’organisation, la structuration, le stockage, l’adaptation ou la modification, la récupération, la consultation, l’utilisation, la divulgation par transmission, la dissémination ou autre mise à disposition, l'alignement ou le regroupement, la restriction, l’effacement ou la destruction.

« Profilage » signifie le traitement automatisé des données personnelles conçu pour analyser, évaluer certains aspects personnels liés aux individus (leur performance au travail, leur solvabilité, leur fiabilité, leur conduite, etc.) ou pour faire des prédictions à leur sujet.

« Catégories spéciales de données » signifie les données personnelles révélant l’origine raciale ou ethnique, les opinions politiques, les croyances religieuses ou philosophiques, l'appartenance à un syndicat, les données génétiques ou biométriques traitées dans le but unique d’identifier une personne physique, les données concernant la santé ou les données concernant la vie ou l’orientation sexuelle d’une personne physique.

« Autorité de contrôle» signifie une autorité publique indépendante qui est établie par un État membre conformément à l’article 51 du RGPD.

« Transfert » signifie tout transfert de données personnelles entre une entreprise de l’EEE et une autre ou un transfert ultérieur qui serait autrement restreint par le RGPD. Un transfert peut être effectué par toute communication, copie ou divulgation de données personnelles par un réseau, y compris un accès à une base de données ou un transfert entre n’importe quel support et un autre.