Start of menu
Close Menu

Les Principes d'Application Européens d'American Express

Les Règles d'Entreprise Contraignantes d'American Express - ou BCRs - sont un moyen de transférer les données à caractère personnel à une échelle internationale au sein du Groupe American Express en conformité avec la législation applicable sur la protection des données à caractère personnel au sein de l'Espace Economique Européen (EEE). Nos BCRs comprennent les Principes de Respect de la Vie Privée d'American Express ainsi que les Principes d'Application Européens. Elles ont été approuvées par la Commission Nationale de l'Informatique et des Libertés, l'autorité locale de Protection des Données en France, et sont entrées en vigueur à compter du 17 décembre 2013.

Ces Règles d'Entreprise Contraignantes fournissent des informations sur la manière dont American Express assure la conformité avec les Principes de Protection des Données et de Respect de la Vie Privée au sein de l'EEE, et sur la façon de déposer une plainte relative au respect de la vie privée dans l'EEE.

PRINCIPES D'APPLICATION DANS L'ESPACE ÉCONOMIQUE EUROPÉEN
DES
PRINCIPES DE PROTECTION DES DONNÉES ET DE RESPECT DE LA VIE PRIVÉE
D'AMERICAN EXPRESS
(LES « PRINCIPES D'APPLICATION EUROPÉENS »)
Portée

Les principes d'application dans l'Espace Economique Européen des Principes de protection des données et de respect de la vie privée d'American Express (ci-après les « Principes d'Application Européens ») ne s'appliquent qu'aux individus domiciliés dans l'EEE et dont les données à caractère personnel sont traitées par le Groupe American Express dans l'EEE, mais sont aussi susceptibles d'être traitées par le Groupe American Express en dehors de l'EEE (les « Personnes Concernées »).

En particulier, les Principes d'Application Européens déterminent (i) la façon dont les Principes de Protection des Données et de Respect de la Vie Privée d'American Express (ci-après les « Principes ») doivent être appliqués par American Express Company, dont le siège social se trouve au World Financial Center, 200 Vesey St. New York (ci-après « American Express » ou la « Société ») et par chaque société du groupe de sociétés American Express (ci-après le « Groupe American Express ») et (ii) certaines exigences spécifiées par la législation européenne sur la protection des données applicables aux individus domiciliés dans l'Espace Economique Européen (« EEEb ») et dont les données à caractère personnel sont traitées par le Groupe American Express dans l'EEE, mais sont aussi susceptibles d'être traitées par le Groupe American Express en dehors de l'EEE.

American Express Services Europe Limited (« AESEL ») est la filiale européenne du Groupe American Express chargée de s'assurer que les données à caractère personnel des Personnes Concernées sont conservées ou traitées conformément aux Principes.

Toute Personne Concernée bénéficiant directement d'un avantage accordé par les Principes ou les présents Principes d'Application Européens peut mettre en ouvre ces stipulations contre AESEL, en tant que tiers bénéficiaire, comme décrit ci-dessous. Le Résumé relatif au Traitement des Données à Caractère Personnel d'American Express et l'Application des Décisions et Politiques engagent également le Groupe American Express, mais les Personnes Concernées, ou tout tiers, ne peuvent pas les mettre en ouvre directement.

Disponibilité

Les Principes et les Principes d'Application Européens seront mis à disposition sur les sites Internet d'American Express dans chacun des pays de l'UE. Si vous n'avez pas accès à Internet, vous pouvez demander une copie des Principes auprès du Responsable de la Protection des Données d'AESEL, à l'adresse indiquée ci-dessous, ou auprès du bureau local d'American Express de votre pays.

Ces Principes et les Principes d'Application Européens doivent être lus conjointement aux notices d'information et aux conditions applicables aux produits et aux services que vous avez obtenus ou que vous avez l'intention d'obtenir de toute société du Groupe American Express. Ces notices d'information et ces conditions peuvent inclure des stipulations supplémentaires applicables au traitement des données à caractère personnel, conformément à la législation et à la réglementation nationales en vigueur.

Description du traitement des données à caractère personnel

American Express est une société internationale de services de moyens de paiement et de voyages. Une description des types de données à caractère personnel traitées et de la façon dont elles sont traitées figurera éventuellement au sein du Résumé relatif au Traitement des Données à Caractère Personnel d'American Express.

Programme de conformité

Afin de s'assurer de la conformité avec les Principes, un programme de conformité a été établi pour mettre en ouvre des contrôles de conformité réguliers des opérations du Groupe American Express, dont les résultats sont communiqués au Bureau de Protection de la Vie Privée d'American Express, aux Autorités de Protection des Données compétentes (si elles en font la demande) et, lorsque cela est opportun, au Comité d'Audit du Conseil d'Administration d'American Express Company. Si une insuffisance en matière de conformité venait à être constatée, l'entité concernée du Groupe American Express au sein de l'EEE devra se conformer aux exigences spécifiques du Responsable de la Protection des Données d'AESEL. Le Groupe American Express apportera également sa coopération dans le cadre de tout contrôle de conformité effectué par toute Autorité de Protection des Données compétente, qu'il s'agisse d'un contrôle mis en ouvre à la suite de la réclamation d'une personne concernée, ou de l'initiative même de l'Autorité de Protection des Données.

Gestion des réclamations

En ce qui concerne les réclamations (telles que définies ci-dessous), les sociétés du Groupe American Express suivront et se conformeront à la Procédure de Gestion des Réclamations Portant sur la Protection des Données et la Vie Privée

  • Les « réclamations » sont définies comme étant l'expression d'une insatisfaction orale ou écrite, émise par téléphone, e-mail, courrier, ou en personne, par ou pour le compte d'un client ou d'un employé, ou de toute autre Personne Concernée, relative à la mise en ouvre ou au manque de mise en ouvre, par le Groupe American Express, de mesures de protection suffisantes des données à caractère personnel collectées, traitées et/ou transmises.
  • La responsabilité et les obligations relatives à la gestion des réclamations reçues par AESEL incombent au Responsable de la Protection des Données d'AESEL.
  • Les réclamations seront traitées de façon équitable, cohérente et rapide.
  • Lorsqu'il aura été décidé qu'une réparation est nécessaire, AESEL offrira une juste compensation au plaignant, comme indiqué ci-dessous, et se conformera à toute offre de réparation acceptée par le plaignant. Une compensation doit être acceptée par le Responsable de la Protection des Données d'AESEL avant qu'une offre de réparation ou de compensation financière ne soit effectuée.
  • Les Personnes Concernées peuvent soumettre leur réclamation à l'Autorité de Protection des Données compétente ou à toute Cour en Europe lorsqu'elles sont insatisfaites de la réponse apportée par le Groupe American Express. Une liste de contacts relatifs aux Autorités de Protection des Données peut être consultée ici : http://ec.europa.eu/justice_home/fsj/privacy/nationalcomm/index_en.htm.
  • AESEL correspondra et reconnaîtra toute Autorité de Protection des Données compétente. Si une Personne Concernée effectue une réclamation auprès d'une Autorité de Protection des Données locale et que cette dernière estime qu'une entité du Groupe American Express n'a pas respecté les droits régis par les présents Principes d'Application Européens, alors l'entité concernée du Groupe American Express se soumettra aux conclusions de l'Autorité de Protection des Données mais se réserve toutefois le droit de former un recours contre ou de faire appel de ces conclusions.

Conformité et application

Chacune des sociétés du Groupe American Express doit se conformer aux stipulations des Principes d'Application Européens et du Code de Conduite d'American Express. Les sociétés du Groupe American Express s'assureront de la conformité avec les lois nationales européennes sur la protection des données et le respect de la vie privée et toute mise en ouvre se fera conformément à ces lois.

Chaque Personne Concernée, ainsi que définie précédemment, pourra mettre en ouvre les stipulations des Principes et des Principes d'Application Européens en tant que bénéficiaire tiers et pourra exiger une compensation dans la limite du dommage effectivement subi par le plaignant en raison d'un manquement aux Principes et/ou aux présents Principes d'Application Européens, ce qui inclut notamment l'octroi par décision de justice d'une compensation pour le dommage effectivement subi par la Personne concernée suite audit manquement.

Les Personnes Concernées dont les données sont transférées depuis l'EEE peuvent porter réclamation non seulement dans le pays de l'EEE d'origine du transfert des données, mais aussi dans le pays du siège social d'AESEL, le Royaume-Uni. La charge de la preuve que le traitement des Données à Caractère Personnel n'est pas couvert par les Principes incombe à AESEL.

Formation

American Express fournira les supports de formation et les cours pertinents à ses employés qui collectent, utilisent, ou ont accès aux données à caractère personnel, ou qui développent des systèmes de traitement des données à caractère personnel, afin de s'assurer qu'ils sont informés de leurs obligations aux termes des Principes et des présents Principes d'Application Européens.

Conflit de lois

Lorsqu'une société du Groupe American Express a des raisons de croire qu'une législation nationale européenne l'empêche de remplir ses obligations aux termes des Principes ou des Principes d'Application Européens, cette société en informera AESEL dans les meilleurs délais, sauf si la législation le lui interdit. AESEL analysera ensuite la réaction à adopter et, en cas de sérieux doutes, consultera les Autorités de Protection des Données compétentes.

Questions relatives aux Principes

Toute question relative aux Principes ou aux présents Principes d'Application Européens peut être adressée au Responsable de la Protection des Données d'AESEL au siège social d'AESEL, à l'adresse suivante : American Express Services Europe Limited, Belgrave House, 76 Buckingham Palace Road, Londres, SW1W 9TX, Royaume-Uni.

Décembre 2013

 

Résumé relatif au Traitement des Données à Caractère Personnel d'American Express

Description des types de données à caractère personnel

American Express est une société internationale de services de moyens de paiement et de voyages principalement engagée dans deux segments : i) l'émission de cartes et les services de réseaux marchands, et (ii) les services liés aux voyages. La nature des données à caractère personnel couramment traitées par les entités du Groupe American Express inclut les données à caractère personnel relatives aux clients, aux fournisseurs et aux partenaires du Groupe American Express, qui comprennent les entreprises clientes, les consommateurs, les fournisseurs et les partenaires du Groupe American Express, actuels, passés et futurs (ensemble les « Données Clients »). Conformément à la Directive européenne 2007/64/CE (la « Directive sur Services de Paiement »), le Groupe a créé American Express Payment Services Limited (« AEPSL ») en tant qu'entité juridique de ses activités d'acquisitions marchandes en Europe (sous la référence 484347). En tant que tel, en plus des procédures rigoureuses de gestion des activités et de gouvernance du Groupe, les services de paiement proposés par AEPSL seront soumis à la surveillance de l'Autorité des Services Financiers. De plus, les entités du Groupe American Express traitent des données à caractère personnel et des catégories sensibles de données à caractère personnel des employés et contractants du Groupe American Express, incluant les employés et les contractants actuels, passés et futurs, à temps plein ou à mi-temps, permanents ou temporaires (ensemble les « Données Employés »). Les catégories sensibles de données, telles qu'elles s'appliquent aux Données Employés, incluent des informations concernant la santé des employés, la médecine du travail, le suivi de l'égalité des chances, des informations sur les syndicats et les comités d'entreprise, des informations sur les visites médicales et les tests médicaux et des informations sur les tests de dépistage des drogues et de l'alcool dans les pays où cela est permis. American Express ne requiert aucune Donnée Client sensible, ceci ne faisant pas partie de la demande d'adhésion des clients, ou de tout autre service d'American Express. Dans la mesure où des données à caractère personnel sensibles sont collectées, elles ne seront traitées qu'avec la mise en ouvre de mesures de protection des données supplémentaires et de mesures adaptées exigées par la législation, notamment par la Directive européenne 95/46/CE.

Descriptif des types de traitement et des flux de données

Les données à caractère personnel sont transférées à l'ensemble des sociétés du Groupe American Express, organisation mondiale, ainsi qu'aux fournisseurs et clients autorisés. Ce flux de données est légitimé par des règles d'entreprise contraignantes approuvées par l'UE (soumises à l'approbation de chaque État membre) et par des contrats de transferts de données recouvrant les contrats types de l'UE. Aucune évaluation ni décision relative à une Personne Concernée ne sera prise par des moyens automatiques sauf si la loi applicable l'autorise.

Les flux de données à caractère personnel pour chacune des Données Clients et des Données Employés peuvent généralement être décrits comme suit :

Données Clients relatives à la carte, à l'émission et aux réseaux marchands

Pour émettre une carte à un titulaire, l'entité d'émission locale du Groupe American Express collectera des données à caractère personnel du titulaire de la carte aux fins de fonctionnement et de conformité à la réglementation. L'entité d'émission locale est parfois, mais pas nécessairement, située dans le même pays que le lieu de résidence du titulaire de la carte. Une fois la carte émise et pour permettre le fonctionnement international de la carte, l'ensemble des Données Client est conservé de façon centralisée sur les serveurs principaux du Groupe American Express, tous situés dans des centres de données sécurisés du Groupe American Express aux États-Unis (Phoénix, Arizona et Salt Lake City, Utah). De plus, afin de couvrir le processus intégral des opérations internationales de la carte, il est utile de noter que les Données Clients, de même que les Données Employés, peuvent être transmises à d'autres pays situés en dehors de l'Union européenne (par exemple, l'Inde ou la Malaisie).

Lorsqu'une carte est utilisée chez un marchand approuvé, n'importe où dans le monde, plusieurs flux de données sont mis en ouvre :

  • Les données basiques de la transaction sont envoyées électroniquement par le terminal du point de vente au centre d'autorisation du Groupe American Express du pays ou de la région concernée ;
  • Les données complètes de la transaction sont ensuite collectées par l'entité d'acquisition commerçante locale du Groupe American Express qui procède à la transaction en payant le commerçant, puis envoie les détails de la transaction aux États-Unis, afin que la transaction soit ensuite facturée par l'émetteur de la carte au titulaire de la carte.

Données Clients relatives aux services liés au tourisme

Les données à caractère personnel sont fournies par les voyageurs individuels et, dans le cas des voyageurs professionnels, par leurs employeurs, depuis leur emplacement dans le monde vers le fournisseur local de services touristiques American Express. Ces données, incluant un profil créé à partir des données collectées avec le consentement du voyageur, sont ensuite transmises à la base de données centrale de l'un des systèmes internationaux de distribution (tels que Galileo, Amadeus et Sabre), avec lequel le Groupe American Express entretient des relations dans le pays, de telle sorte que lorsque le Groupe American Express effectue une réservation en utilisant le système international de distribution (GDS) local, les informations relatives au passager stockées dans le système international de distribution permettront la création d'une réservation personnalisée, appelée dossier passager (PNR). Les informations de base contenues dans le dossier passager seront extraites par le Groupe American Express afin de facturer le prix de la réservation au client.

Données Employés

Les Données Employés sont conservées de façon centralisée et décentralisée dans des ordinateurs centraux, ainsi que dans des serveurs de taille moyenne et locaux, dans l'ensemble du Groupe American Express. La plupart des ordinateurs centraux se trouvent aux États-Unis et au Royaume-Uni et sont accessibles à partir des bureaux du Groupe American Express du monde entier, par le personnel doté des droits d'accès nécessaires pour accéder aux Données Employés. Les serveurs de réplication de taille moyenne et locaux (uniquement utilisés pour les e-mails et/ou le stockage), conservant les données, sont répartis sur plusieurs emplacements géographiques en fonction des besoins commerciaux.

Les données à caractère personnel sont transférées aux fins suivantes :

  • La gestion du personnel (par exemple, les affectations ou les mutations, la paie, la discipline, les pensions de retraite, la gestion du travail, ou d'autres questions liées au personnel du Groupe) ;
  • La prévention de la criminalité et la poursuite en justice des délinquants (par exemple, la prévention et la détection de la criminalité, l'arrestation et la poursuite en justice des délinquants) ;
  • L'octroi de licences et l'enregistrement (par exemple, la gestion de la délivrance de licences ou la maintenance des registres officiels) ;
  • La gestion des dossiers des employés ;
  • La gestion des informations et des banques de données (par exemple, la maintenance des informations ou des banques de données utilisées comme outils de référence ou ressources générales incluant les catalogues, les listes, les répertoires et les bases de données bibliographiques) ;
  • L'évaluation et la collecte des taxes et autres impôts (c'est-à-dire l'évaluation et la collecte des taxes, des droits, des prélèvements et autres impôts) ;
  • La comptabilité et la vérification des comptes (par exemple, la fourniture de services comptables et relatifs et la fourniture de services de vérification lorsqu'une telle vérification est requise).

Traitement postérieur au transfert : les données à caractère personnel transférées seront traitées pour la gestion des fonctions de Ressources Humaines et de la force de travail du Groupe, et pourront être ultérieurement traitées par des fournisseurs de services tiers de gestion des salaires, d'assurance-maladie et autres assurances, et d'autres prestations bénéficiant aux employés.

L'Application des Décisions Politiques


Les décisions des groupes internes suivants et les politiques suivantes sont contraignants et seront mises en ouvre par le Groupe American Express dans le monde entier, dans la mise en ouvre des Principes :

1. American Express Services Europe Limited - Procédure de gestion des réclamations portant sur la protection des données et la vie privée et la Norme des Réclamations Internes des employés d'American Express.

2. Code de conduite.

3. Politique du Bureau du respect de la vie privée d'American Express.

  • American Express traite généralement les affaires relatives à la vie privée par l'intermédiaire du Bureau du respect de la vie privée d'American Express, entité d'activité indépendante dotée de responsabilités spécifiques quant aux systèmes, procédures et processus de collecte, d'utilisation et de partage des données à caractère personnel relatives aux clients, prospects et employés. Le Bureau du respect de la vie privée dirige également le Conseil de la vie privée, qui se réunit régulièrement pour étudier les questions de vie privée, trouver des solutions et établir des politiques et des directives.
  • Conformément à la Procédure d'examen de la politique du respect de la vie privée, le Bureau du respect de la vie privée doit examiner l'ensemble des politiques de respect de la vie privée, tous les 24 mois ou dans le délai imparti prévu par la politique concernée. Toutes les modifications requises notamment par l'évolution des législations et des réglementations applicables, doivent être étudiées par le Bureau du respect de la vie privée ou le Bureau du directeur juridique (si concerné).


4. Société American Express - Politique de gestion générale.

  • Cette politique s'applique à l'ensemble des politiques relatives à la gestion générale et des finances à mettre en ouvre au sein de l'organisation d'American Express. Cela concerne les nouvelles politiques et les révisions des politiques existantes.
  • Tous les groupes d'activité d'American Express sont concernés par cette politique.
  • En particulier, la Politique de gestion générale :
    • requiert que toutes les questions relatives aux politiques de gestion générale et des finances soient résolues par le Groupe des politiques et des procédures générales ;
    • promeut activement la mise en ouvre d'une politique d'entreprise mondiale, qui viendrait remplacer, si nécessaire, les politiques régionales ne pouvant pas être alignées ;
    • détermine la prévalence de la politique d'entreprise mondiale sur les politiques régionales ;
    • détermine le contenu minimal des documents relatifs à la politique ;
    • établit des dates précises pour les différentes étapes d'initiation, de préparation et d'application de la politique.

5. Accord de fourniture de services

  • Le contrat de fourniture standard du Groupe American Express requiert l'adhésion de l'ensemble des distributeurs et des tiers sous-traitants aux exigences contractuelles de protection des informations contraignantes du Groupe American Express afin de garantir la sécurité de l'ensemble des données à caractère personnel détenues par le Groupe American Express et traitées par un prestataire de services.
  • Les exigences contractuelles de protection des informations sont intégrées aux contrats conclus avec des tiers pour lesquels un traitement de données à caractère personnel est envisagé.
  • La sélection des services tiers de traitement des données et des fournisseurs est basée, en partie, sur leurs performances évaluées à l'aide de modèles d'évaluation des risques et l'examen de leurs procédures de sécurisation des données et de gestion des risques.
  • Les tiers sous-traitants et les fournisseurs doivent être nécessairement soumis à des dispositions contractuelles adéquates incluant les mesures de sécurité techniques et structurelles de protection des données du Groupe American Express. La politique permet de s'assurer à tout le moins que :
    • les consultants, les cocontractants et les fournisseurs ont signé des accords de confidentialité et/ou de non-divulgation, dans le cadre des modalités initiales d'emploi/de contrat et lors du changement de ces modalités.
    • certains contrats contiennent une clause de pénalité en cas d'utilisation d'informations sur les clients ou d'informations à usage restreint d'une façon autre que celle indiquée dans le contrat.
    • les politiques et les normes de sécurité respectées par le fournisseur sont équivalentes ou plus restrictives que les politiques et normes du Groupe American Express, et les procédures et les normes de sécurité respectées par les fournisseurs sont conformes aux exigences en termes de protection des données, lesquelles peuvent être régulièrement mises à jour.

6. Politique relative aux services tiers

  • La Politique relative aux services tiers d'American Express requiert que les tiers adhèrent aux politiques et aux normes du Groupe American Express lorsqu'ils sont employés par une entité du Groupe American Express, et doivent reconnaître leurs responsabilités par des déclarations écrites formelles. Ceci s'applique à l'ensemble du personnel impliqué dans la sélection et la surveillance des fournisseurs de services tiers, incluant le personnel du Groupe American Express, ses affiliés, filiales et personnels respectifs, les consultants tiers, les cocontractants, les fournisseurs et tout individu ou toute entité auquel il est octroyé un accès externe aux ressources d'information du Groupe American Express.

Le Code de conduite


Le code de conduite, portant sur le respect de la vie privée des employés, indique en l'état que :

« Nous devons préserver la vie privée, la confidentialité et la sécurité de l'ensemble des données à caractère personnel relatives aux employés. Nos collègues, ainsi que les anciens et futurs employés, nous font confiance dans la gestion et l'usage de leurs données à caractère personnel. Pour cette raison, nous devons connaitre et constamment appliquer les Principes du respect de la vie privée des employés d'American Express. Cette politique gouverne la collecte, l'accès, l'utilisation et la divulgation des données à caractère personnel des employés. Ces données incluent des informations sur les salaires, les études de performances, les handicaps et les congés, ainsi que des données plus sensibles comme les numéros d'identification émis par le gouvernement. Nous ne pouvons utiliser ces données que dans le cadre d'activités professionnelles adéquates et appropriées. Nous ne devons communiquer ces informations à aucun individu, interne ou externe à notre Société, sans nécessité professionnelle de les connaitre. Nous devons également prendre des mesures pour constamment garantir la sécurité des données. De nombreux pays possèdent leurs propres exigences légales en termes d'utilisation des données sur les employés. Contactez les Ressources Humaines si vous avez un doute relatif à ces exigences. »

Le code de conduite, portant sur le respect de la vie privée des clients, indique en l'état que :

« Nous sommes responsables de la préservation de la vie privée, de la confidentialité et de la sécurité des informations relatives aux clients confiées à notre Société. Pour maintenir la réputation de notre Société et mieux servir nos clients, notre Société s'est fermement engagée à protéger avec vigilance la confidentialité des informations relatives aux clients. Ceci signifie que nous devons collecter, utiliser et protéger les informations relatives aux clients conformément à notre Déclaration de confidentialité en ligne ou la Politique relative aux normes minimales de protection des informations sur les clients. Nous ne devons jamais partager d'informations avec un tiers ou un collègue sans nécessité professionnelle de les connaitre. Nous devons également prendre toutes les mesures pour empêcher les divulgations accidentelles d'informations relatives aux clients. Assurons-nous de suivre les procédures établies par la Société dans les rares cas de divulgation. Dans l'éventualité d'un incident potentiel compromettant les données, il faut immédiatement contacter le Bureau de protection des données du CSI et l'EIRP sur Lotus Notes. Il ne faut partager aucun détail concernant l'incident avec d'autres individus, en interne ou à l'extérieur de la Société, sans nécessité professionnelle d'en connaitre. Il faut se reporter au Guide de l'EIRP pour obtenir des informations supplémentaires sur l'identification et le signalement de situations compromettantes pour les données. Si une agence gouvernementale requiert des informations sur l'un de nos clients, il faut contacter le GCO préalablement à la fourniture des informations. De nombreux pays possèdent également leurs propres exigences légales en termes d'utilisation des données sur les clients. Si vous avez un doute relatif aux exigences locales, ou pour toute autre question relative à la vie privée, vous devez contacter votre responsable, votre responsable de la conformité, ou votre GCO. »

 

American Express Services Europe Ltd.
Procédure de gestion des réclamations portant sur la protection
des données et la vie privée


Satisfaction du client

Notre objectif est de vous fournir constamment le meilleur service possible. Nous réalisons cependant qu'en certaines occasions des erreurs peuvent survenir et nous sollicitons votre aide pour nous améliorer. Si les choses se passent mal, nous avons mis en place une procédure de gestion des réclamations facile à suivre, qui vous assurera de recevoir une réponse rapide et complète à toute réclamation ou requête que vous pourriez effectuer.

La procédure de réclamation

Cette procédure de réclamation s'applique à vous si vous résidez dans l'Espace Economique Européen (« EEE ») et que certaines de vos données à caractère personnel sont traitées par une entité du Groupe American Express au sein de l'EEE, mais sont aussi susceptibles d'être traitées par le Groupe American Express en dehors de l'EEE.

Si vous êtes un employé d'une des sociétés du Groupe American Express et que votre requête ou réclamation concerne votre lieu de travail, vous devez vous référer à la Norme des Réclamations Internes disponible sur l'intranet d'American Express.


Étape 1

Nous contacter concernant des questions générales sur les données

Si vous souhaitez faire des commentaires généraux ou si vous avez des questions concernant la façon dont nous traitons vos données à caractère personnel, vous pouvez parler à un membre de notre Service Clients, à l'un des numéros suivants :

08456080845 ou 0044 1293 820925

Vous pouvez également nous contacter par écrit à l'adresse suivante :

American Express Services Europe Ltd.
Dept. 66
Amex House
Edward Street
Brighton BN88 1AH

De plus, vous pouvez nous contacter par le biais du service clients de notre société American Express locale dont vous trouverez les coordonnées dans les informations figurant dans nos conditions nationales, nos notices d'informations concernant la vie privée et tout document y afférent.

Lorsque vous nous contacterez, veuillez nous indiquer :

  • Votre nom
  • Votre numéro de compte
  • La nature de votre réclamation

Étape 2

Nous contacter au sujet de requêtes plus précises

Si vous souhaitez obtenir des détails sur les informations vous concernant que nous détenons et traitons, ou si vous souhaitez effectuer des objections spécifiques sur la façon dont nous traitons vos données à caractère personnel, vous pouvez effectuer une requête plus précise. Une requête plus précise vous donne le droit de :

  • vous opposer au traitement de vos données à caractère personnel ;
  • obtenir la suppression ou la destruction de vos données à caractère personnel ;
  • corriger vos données à caractère personnel ;
  • bloquer la collecte de vos données à caractère personnel ;
  • exercer vos droits d'accès à vos données, ce qui vous donne le droit de :
    • être informé de l'existence d'un traitement de vos données à caractère personnel par American Express ;
    • obtenir le descriptif des données à caractère personnel, les raisons de leur traitement et être informé si elles seront transmises à une autre organisation ou à d'autres individus ;
    • recevoir une copie des informations contenues dans les données à caractère personnel ;
    • connaître l'origine des données à caractère personnel, lorsque cela est possible ;
    • connaître la logique des décisions automatiques prises sur la base de vos données à caractère personnel,

ainsi que tout autre élément pouvant vous être communiqué au titre de la législation locale en vigueur.

Nous traitons ces requêtes de façon centralisée, aussi veuillez nous contacter en écrivant à l'adresse suivante :

American Express Services Europe Ltd.
Data Privacy Officer
Amex House
Edward Street
Brighton BN88 1AH

Lorsque vous nous contacterez, veuillez nous indiquer :

  • Votre nom
  • Votre numéro de compte
  • Les coordonnées que nous devons utiliser pour vous contacter
  • La nature de votre réclamation

Nous vous contacterons rapidement afin de confirmer votre identité, puis cela étant fait, nous nous efforcerons de résoudre la requête dans les 5 (cinq) jours ouvrés suivant ladite confirmation. Certains types de requêtes détaillées peuvent entraîner de faibles coûts ; si tel est le cas, nous vous informerons de ces coûts au moment de vous contacter. Dans certaines conditions, vous pourrez prétendre à une compensation si vos données à caractère personnel n'ont pas été traitées par American Express de façon correcte ou conforme aux Principes de Protection des Données et de Respect de la Vie Privée [lien].


Étape 3

Délais de réponse

Dans certains cas, il peut nous être impossible de répondre immédiatement à vos préoccupations, et nous pourrions devoir conduire une enquête plus approfondie. Si tel est le cas, nous vous écririons dans un délai de 10 (dix) jours ouvrés pour vous indiquer qui traitera votre requête et le délai probable de l'enquête approfondie. Notre objectif est de vous apporter une réponse dans les 4 (quatre) semaines. Si cette réponse ne vous satisfaisait pas, veuillez nous le faire savoir, afin que nous puissions lancer une enquête complémentaire.


Étape 4

Si vous n'êtes pas satisfait

Si vous estimez que nous n'avons pas répondu à votre requête de façon satisfaisante, ou si nous ne vous avons pas donné de réponse définitive sous 4 semaines, vous avez le droit de déposer votre requête auprès de l'Autorité locale de Protection des Données pour la protection des données.

Vous pouvez contacter l'Autorité de Protection des Données compétente aux adresses suivantes :

Pays Coordonnées
Autriche
Österreichische Datenschutzkommission
Ballhausplatz, 1
A - 1014 WIEN


Tel.+43 1 531 15 25 25
Fax+43 1 531 15 26 90
e-mail: dsk@dsk.gv.at
Belgique
Commission de la protection de la vie privée
Rue Haute, 139
B - 1000 BRUXELLES

Tel. +32 2 213 8540
Fax +32 2 213 8545
e-mail: commission@privacy.fgov.be
Bulgarie
Commission for Personal Data Protection
Mrs. Veneta Shopova
1 Dondikov Blvd
Sofia 1000
Bulgaria


Tel. +3592 940 2046
Fax +3592 940 3640
e-mail: kzld@government.bg
Croatie
Mr. Franjo LACKO
Director
Croatian Personal Data Protection Agency
Republike Austrije 25
10000 Zagreb
Croatia


Tel.+385 1 4609 000
Fax +385 1 4609 099
e-mail: azop@azop.hr or info@azop.hr
Chypre
Commissioner for Personal Data Protection
Ms Goulla Frangou
40, Th. Dervis Street
CY - 1066 Nicosia


Tel. +357 22 818 456
Fax +357 22 304 565
e-mail: commissioner@dataprotection.gov.cy
République tchèque
Pan Igor Nemec
Úrad pro ochranu osobních údaju
Pplk. Sochora 27
CZ - 170 00 Praha 7


Tel. +420 234 665 111
Fax +420 234 665 444
e-mail: posta@uoou.cz
Danemark
Datatilsynet
Borgergade 28, 5
DK - 1300 Copenhagen K


Tel. +45 33 19.32.00
Fax +45 33 19.32.18
e-mail: dt@datatilsynet.dk
Estonie
Estonian Data Protection Inspectorate
(Andmekaitse Inspektsioon)
Director General
Mr Viljar Peep (Ph.D)
Väike-Ameerika 19
10129 Tallinn
Estonia


Tel. +372 6274 135
Fax +372 6274 137
e-mail: viljar.peep@dp.gov.ee
Finlande
Office of the Data Protection
Ombudsman
P.O. Box 315
FIN-00181 Helsinki


Tel. +358 10 3666 700
Fax +358 10 3666 735
e-mail: tietosuoja@om.fi
Ancienne République
yougoslave de Macédoine
Ms. Marijana MARUSIC
Directorate for Personal Data Protection
Urad pro ochranu osobnich udaju
Samoilova 10
1000 Skopje
former Yugoslav Republic of Macedonia


Tel. +389 (0) 2 3244 760
Fax +389 (0) 2 3244 766
e-mail: info@dzlp.gov.mk
France
Commission Nationale de l'Informatique et des Libertés
8, rue Vivienne, CS 30223
F-75002 Paris, CEDEX 02


Tel. +33 (0) 1 53 73 22 22
Fax +33 (0) 1 53 73 22 00
Allemagne
Der Hessische Datenschutzbeauftragte
Gustav-Stresemann-Ring1
65189 Wiesbaden


Tel. +49 (0) 611 14 08-0
Fax +49 (0) 611 14 08-9 00 or +49 (0) 611 14 08-9 01
e-mail: poststelle@datenschutz.hessen.de
Grèce
Hellenic Data Protection Authority
Kifisias Av. 1-3, PC 11523
Ampelokipi Athens, Greece


Tel. +30 210 6475 600
Fax +30 210 6475 628
e-mail: contact@dpa.gr
Guernesey
Dr. Peter Harris C. Eng, MA, PhD, FBCS
Data Protection Commissioner
P.O. Box 642
Frances House
Sir William Place
St. Peter Port
Guernesey GY1 3JE


Tel. +44 1481 742074
Fax +44 1481 742077
e-mail: dataprotection@gov.gg
Hongrie
Data Protection Commissioner of Hungary
Parliamentary Commissioner for Data Protection and Freedom of Information
Dr. Attila Péterfalvi
Nádor u. 22
H - 1051 Budapest


Tel.+36 1 475 7186
Fax+36 1 269 3541
e-mail: adatved@obh.hu
Islande
Icelandic Data Protection Agency
(Persónuvernd)
Rauðarárstíg 10
105 Reykjavík, Ísland


Tel. +354 510 9600
Fax +354 510 9606
e-mail: postur@personuvernd.is
Irlande
Data Protection Commissioner
Canal House
Station Road
Portarlington
Co. Laois
Ireland


Lo-Call: 1890 25 22 31
Tel. ++353 57 868 4800
Fax +353 57 868 4757
e-mail: info@dataprotection.ie
Île de Man
Mr Iain McDonald
Data Protection Supervisor
Office of Data Protection Supervisor
P.O. Box 69
Douglas
Isle of Man IM99 1EQ
British Isles


Tel. +44 (0) 1624 693260
Fax +44 (0) 1624 6610
e-mail: enquiries@odps.gov.im
Italie
Garante per la protezione dei dati personali
Piazza di Monte Citorio, 121
I - 00186 Roma


Tel. +39 06 69677 1
Fax +39 06 69677 785
e-mail: garante@garanteprivacy.it
Jersey
The Office of the Data Protection Commissioner
Mrs. Emma Martins
Morier House
Halkett Place
St. Helier
Jersey JE1 1DD


Tel. +44 (0) 1534 441064
Fax +44 (0) 1534 441065
e-mail: dataproteciton@gov.je, e.martins@gov.je
Lettonie
Data State Inspectorate
Riga, Latvia
Director Ms Signe Plumina
Kr. Barona Street 5-4
LV - 1050 Riga


Tel.+371 6722 3131
Fax +371 6722 3556
e-mail: info@dvi.gov.lv
Liechtenstein
Dr. Philipp Mittelberger
Datenschutzbeauftragter des Fürstentums Liechtenstein
Stabsstelle für Datenschutz
Kirchstrass 8, Postfach 684
9490 Vaduz
Liechtenstein


Tel.+423 236 6091
Fax +423 236 6099
e-mail: info@sds.llv.li
Verwaltung: http://www.sds.llv.li
Liechtenstein:http://www.liechtenstein.li
Lituanie
State Data Protection
Inspectorate Director
Mr Algirdas Kuncinas
Zygimantu str. 11-6a

LT - 011042 Vilnius
Tel.+ 370 5 279 14 45
Fax+370 5 261 94 94
e-mail: ada@ada.lt
Luxembourg
Commission nationale pour la protection des données
41, avenue de la Gare
L-1611 Luxembourg


Tel.+352 2610 60 1
Fax+352 2610 60 29
e-mail: info@cnpd.lu
Malte
Office of the Data Protection Commissioner
Data Protection Commissioner
Mr Paul Mifsud Cremona
2, Airways House
High Street, Sliema SLM 16, Malta


Tel.+356 2328 7100
Fax+356 2328 7198
e-mail: commissioner.dataprotection@gov.mt
Norvège
Datatilsynet
The Data Inspectorate
P.O.Box 8177 Dep
N - 0034 OSLO


Tel.+47 22 39 69 00
Fax+47 22 42 23 50
e-mail: postkasse@datatilsynet.no
Pologne
The Bureau of the Inspector General for the Protection of Personal Data
Mr Michal Serzycki
Inspector General for Personal Data Protection
ul. Stawki 2
00-193 Warsaw


Tel.+48 22 860 70 81
Fax+48 22 860 70 90
e-mail: sekretariat@giodo.gov.pl
Portugal
Comissão Nacional de Protecção de Dados
R. de São. Bento, 148-3°
P - 1200-821 LISBOA


Tel.+351 21 392 84 00
Fax+351 21 397 68 32
e-mail: geral@cnpd.pt
Roumanie
The National Supervisory Authority for Personal Data Processing
Mrs. Georgeta BASARABESCU
President
Str. Olari nr. 32
Sector 2, BUCURESTI
Cod postal 024057
Roumanie


Tel.+40 21 252 5599
Fax+40 21 252 5757
e-mail: anspdcp@dataprotection.ro
Slovaquie
Office for Personal Data Protection of the SR
Mr Gyula Veszelei
President
Odborárske námestie c. 3
817 60, Bratislava
République Slovaque


Tel.+ 421 2 5023 9418
Fax+ 421 2 5023 9441
e-mail: statny.dozor@pdp.gov.sk or gyula.veszelei@pdp.gov.sk
Slovénie
Information Commissioner
Ms. Natasa Pirc Musar
Vosnjakova 1
SI - 1000 LJUBLJANA


Tel.+386 (0) 1 230 9730
Fax+386 (0) 1 230 9778
e-mail: gp.ip@ip-rs.si
Espagne
Agencia de Protección de Datos
C/Jorge Juan, 6
E - 28001 MADRID


Tel.+34 91399 6200
Fax+34 91455 5699
e-mail: internacional@agpd.es
Suède
Datainspektionen
Fleminggatan, 14
9th Floor
Box 8114
S - 104 20 STOCKHOLM


Tel.+46 8 657 6100
Fax+46 8 652 8652
e-mail: datainspektionen@datainspektionen.se
Suisse
Data Protection Commissioner of Switzerland
Eidgenössischer Datenbeauftragter
Hanspeter THÜR
Feldeggweg 1
CH - 3003 Bern


Tel. +41 (0) 31 322 4395
Fax+41 (0) 31 325 9996
e-mail: info@edsb.ch
Pays-Bas
College bescherming persoonsgegevens (CBP)
Dutch Data Protection Authority
Juliana van Stolberglaan 4-10
P.O.Box 93374
NL - 2509 AJ Den Haag/The Hague
Pays-Bas


Tel.+31 70 888 8500
Fax+31 70 888 8501
e-mail: info@cbpweb.nl
Royaume-Uni
Mr Richard Thomas
Information Commissioner
The Office of the Information Commissioner Executive Department
Water Lane, Wycliffe House
UK - WILMSLOW - CHESHIRE SK9 5AF


Tel.+44 1 625 54 57 00 (switchboard)
e-mail: veuillez utiliser le formulaire en ligne de notre site Internet

Cette liste est maintenue à jour seulement à http://ec.europa.eu/justice_home/fsj/privacy/nationalcomm/index_en.htm.

Étape 5

Poursuites en justice

Si vous n'obtenez pas de notre part ou de la part de votre Autorité locale de Protection des Données la réponse requise, vous pourrez initier une action en justice auprès d'un tribunal national. Dans ce cas, nous vous recommandons de vous rapprocher en premier lieu d'un conseil juridique qualifié indépendant et compétent. American Express acceptera les demandes adressées à l'encontre de votre entité locale d'American Express, ou directement contre AESEL.

Les Principes et les Principes d'Application Européens engagent le Groupe American Express et vous octroient des droits en tant que bénéficiaire contractuel tiers, comme décrit dans la documentation relative au programme.

Si vous avez besoin de connaître le nom de l'entité locale d'American Express, ou si vous avez d'autres requêtes concernant cette étape 5, veuillez nous contacter à l'aide des coordonnées figurant dans l'étape 2 « Nous contacter au sujet de requêtes plus précises », cependant, veuillez noter que dans ce cas, aucun frais administratif ne vous sera demandé.