American ExpressAmerican ExpressAmerican ExpressAmerican ExpressAmerican Express

Les Principes Européen de Mise en œuvre

Les Binding Corporate Rules - ou BCR - d'American Express sont un moyen de transférer des données personnelles à l'échelle internationale au sein du groupe American Express, conformément à la législation applicable en matière de protection des données dans l'Espace économique européen (EEE). Nos BCR reposent sur les Principes de protection des données et de respect de la vie privée d'American Express et des présents principes européens de mise en œuvre. Elles ont été approuvées par l'Information Commission's Office, l'autorité locale de protection des données au Royaume-Uni, et sont en vigueur depuis le 28 janvier 2013. 

Ces principes européens de mise en œuvre fournissent des informations sur la manière dont American Express s'assure du respect de ses Principes de protection des données et de respect de la vie privée dans l'EEE et sur la manière de déposer une plainte au sein de l'EEE. 

 

PRINCIPES DE MISE EN ŒUVRE
DANS L'ESPACE ÉCONOMIQUE EUROPÉEN
DES
PRINCIPES DE PROTECTION DES DONNÉES ET DE CONFIDENTIALITÉ D'AMERICAN EXPRESS
(« PRINCIPES EUROPÉENS DE MISE EN ŒUVRE »)
 
 
 
 
 
 

 

1.       Portée

 

Les Principes de mise en œuvre dans l'Espace économique européen des Principes de protection des données et de confidentialité d'American Express (« Principes européens de mise en œuvre ») s'appliquent uniquement aux données personnelles d'un individu qui sont ou ont été : (i) traitées dans le cadre des activités d'une société American Express établie dans l'EEE ; ii) traitées par une société American Express établie en dehors de l'EEE lorsque les activités de traitement concernent spécifiquement l'offre de biens ou de services à des particuliers dans l'EEE ; ou iii) traitées par une société American Express établie en dehors de l'EEE lorsque les activités de traitement concernent spécifiquement la surveillance du comportement des particuliers dans l'EEE  (« Personnes concernées »).

Il est à noter que les activités de traitement visées aux points ii) et iii) ci-dessus sont limitées aux activités de traitement qui « ciblent » des particuliers dans l'EEE, soit en leur proposant des biens ou des services, soit en surveillant leur comportement.

En particulier, les Principes européens de mise en œuvre énoncent (i) la manière dont les Principes de protection des données et de confidentialité d'American Express (les « Principes ») doivent être mis en œuvre par American Express Company, dont le siège social est situé au World Financial Center, 200 Vesey St. New York, NY 10285 (« American Express » ou la « Société ») et par chaque société du groupe de sociétés American Express qui traitent des données personnelles de Personnes concernées (collectivement, le « Groupe American Express ») et (ii) la manière dont les BCR du Groupe American Express doivent prendre effet. American Express Europe S.A. (« AEESA ») est la société européenne au sein du Groupe American Express qui a assumé la responsabilité de s'assurer que les données personnelles des Personnes concernées sont stockées ou traitées conformément aux Principes et aux Principes européens de mise en œuvre. 

Toute Personne concernée qui est directement concernée par un avantage qui lui est conféré en vertu des Principes ou de ces Principes européens de mise en œuvre peut faire appliquer ces dispositions par AEESA en tant que bénéficiaire tiers, comme décrit ci-dessous.

Aux fins de ces Principes européens de mise en œuvre, on entend par « données personnelles » toute information concernant une personne physique identifiée ou identifiable ; une personne physique identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs facteurs spécifiques de l'identité physique, physiologique, génétique, mentale, économique, culturelle ou sociale de cette personne physique. 

 

2.       Disponibilité

 

Les Principes et les Principes européens de mise en œuvre sont disponibles sur les sites Web d'American Express dans chaque pays de l'EEE. Vous pouvez également demander un exemplaire des Principes et des Principes européens de mise en œuvre dans un autre format auprès du Délégué à la protection des données d'AEESA à l'adresse indiquée ci-dessous ou auprès de l'entité locale American Express responsable de vos données.

Les Principes et ces Principes européens de mise en œuvre doivent être lus conjointement avec la Déclaration en ligne d’American Express sur la protection des Données Personnelles (pour les clients) ou la Déclaration de confidentialité du recrutement en ligne (pour les employés potentiels), et les autres notices d’informations et conditions générales qui s'appliquent à votre relation avec American Express. Ces notices d’informations et conditions générales peuvent contenir des dispositions supplémentaires relatives au traitement des données personnelles, conformément aux lois et règlements nationaux en vigueur.

 

3.      Droits des Personnes concernées

 

Au titre des Principes européens de mise en œuvre, les Principes de protection des données et de confidentialité sont modifiés comme suit afin de se conformer au Règlement général sur la protection des données (« RGPD ») de l’EEE en relation avec les sociétés du groupe American Express qui traitent des données personnelles de Personnes concernées.

3.1.  Collecte

Les données personnelles des Personnes concernées sont traitées de manière licite, loyale et transparente à l'égard de ces Personnes concernées. American Express est une société mondiale de services de paiement et de voyages. Les déclarations de confidentialité et autres notices d’informations et conditions générales qui vous sont présentés lorsque vous entamez une relation avec nous contiennent une description des types de données personnelles et des catégories particulières de données personnelles qui sont traitées et de la manière dont elles sont traitées.

Les sociétés du Groupe American Express ne collectent les données personnelles des Personnes concernées qu'à des fins précises, expresses et légitimes et veillent à ce que ces données personnelles ne soient pas traitées ultérieurement d'une manière incompatible avec ces fins.

3.2. Information, équité et transparence

Les sociétés du Groupe American Express qui ont l'obligation de fournir aux Personnes concernées des informations relatives au traitement des données dans le cadre du RGPD doivent permettre à ces dernières d'accéder facilement aux informations requises. Ces informations sont fournies à la personne concernée sous une forme concise, transparente, intelligible et facilement accessible, dans un langage clair et simple. Ces informations sont disponibles dans la Déclaration en ligne d’American Express sur la protection des Données Personnelles (pour les clients) ou dans la Déclaration de confidentialité du recrutement en ligne (pour les employés potentiels).

3.3. Qualité des données 

Les sociétés du Groupe American Express qui traitent des données personnelles de Personnes concernées doivent prendre des mesures raisonnables pour veiller à ce que les données personnelles de Personnes concernées qui sont inexactes, eu égard aux fins pour lesquelles elles sont traitées, soient effacées ou rectifiées sans délai.

Les données personnelles des Personnes concernées sont conservées sous une forme qui permet leur identification pendant une durée n'excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont traitées. Les données personnelles peuvent être conservées pendant une période plus longue à des fins d'archivage ou à toute autre fin autorisée par le RGPD ou la législation en vigueur, et uniquement lorsque des mesures techniques et organisationnelles appropriées sont prises.

3.4. Sécurité et confidentialité 

Au titre de ce principe, les sociétés du Groupe American Express mettent en œuvre des mesures techniques et organisationnelles raisonnables et appropriées pour protéger les données personnelles des Personnes concernées contre tout traitement non autorisé ou illicite et contre toute perte, destruction ou détérioration accidentelle.

3.5. Transparence et accès aux données

Les sociétés du Groupe American Express respectent les droits suivants conférés aux Personnes concernées : droit d'accès, droit de rectification, droit à l'oubli, droit de restriction du traitement, droit d'opposition au traitement, droit retrait de son consentement et droit de ne pas être soumis à des décisions fondées uniquement sur une prise de décision automatisée, notamment le profilage.

3.6. Transferts internationaux

Les données personnelles des Personnes concernées sont transférées au sein du Groupe American Express. Ce flux de données est légitimé par une combinaison de règles d'entreprise contraignantes (« Binding Corporate Rules ») approuvées par l'EEE et de contrats de transfert de données, y compris des contrats types de l’EEE. Les données relevant des catégories particulières de données à caractère personnel des Personnes concernées ne sont pas transférées à moins que la Personne concernée ait donné son consentement pour un tel transfert.

3.7.  Responsabilisation

Toutes les sociétés du Groupe American Express qui traitent des données personnelles de Personnes concernées ont la responsabilité de se conformer et de pouvoir démontrer leur conformité au RGPD, ce qui comprend la tenue d’un registre des activités de traitement afin de démontrer cette conformité.

 

4.      Protection de la confidentialité dès la conception

 

Les sociétés du Groupe American Express qui traitent des données personnelles de Personnes concernées doivent utiliser des mesures techniques et organisationnelles conçues pour mettre en œuvre les principes de protection des données et pour faciliter le respect des exigences de ces Principes européens de mise en œuvre.

 

5.     Programme de conformité

5.1.  Conformité

Afin d'assurer le respect des Principes et des Principes européens de mise en œuvre, un programme de conformité a été mis en place. Il prévoit des contrôles et audits réguliers de la conformité des opérations du Groupe American Express. Les résultats de ces contrôles et audits de conformité seront communiqués au Département  international de protection de la confidentialité (Global Privacy Office) d'American Express, au Délégué à la protection des données d'AEESA, aux autorités de contrôle compétentes (sur demande) et, le cas échéant, au Comité d'audit du Conseil d'administration d'American Express Company. Lorsqu'une lacune de conformité est constatée, la société concernée du Groupe American Express dans l'EEE doit se conformer à toute demande spécifique du Délégué à la protection des données d'AEESA. Lorsque cette demande ne peut être satisfaite, elle doit documenter le motif de cette lacune. Le Groupe American Express coopère également à tout contrôle de conformité effectué par toute autorité de contrôle compétente, qu'il soit entrepris à la suite d'une réclamation émanant d'une Personne concernée ou à l'initiative de l'autorité de contrôle.

 

5.2. Coopération

Toutes les sociétés du groupe American Express qui traitent des données personnelles de Personnes concernées doivent coopérer avec les autorités de surveillance compétentes quant aux demandes, audits, questions et plaintes.  Si l'Autorité de contrôle constate qu'une société du Groupe American Express a violé l'un des droits découlant de ces Principes européens de mise en œuvre, la société concernée du Groupe American Express doit se conformer aux conclusions de l'Autorité de contrôle, sous réserve du droit de contester ces conclusions ou d'en faire appel.

 

6.      Conformité, mise en application et responsabilité

 

Toutes les sociétés du Groupe American Express qui traitent des données personnelles de Personnes concernées doivent se conformer aux dispositions des Principes européens de mise en œuvre et autres politiques et procédures contraignantes qui lient le Groupe American Express. Les sociétés du groupe American Express doivent veiller au respect des lois nationales européennes en matière de protection des données et de protection de la vie privée, et toute mesure de mise en application doit être conforme à ces lois nationales européennes.

6.1.  Mise en application

Chaque Personne concernée peut faire valoir auprès d'AEESA ou de toute société du Groupe American Express qui traite des données personnelles de Personnes concernées les dispositions suivantes des Principes européens de mise en œuvre en tant que bénéficiaire tiers :

a)     Droits des Personnes concernées (Section 3) ;

b)     Conflit de lois (Section 8) ;

c)      Questions ou réclamations (Section 9) ;

d)     Coopération (Section 5.2) ; et

e)     Conformité, mise en application et responsabilité (Sections 6.1 et 6.2).

Les Personnes concernées ont le droit à un recours juridictionnel et le droit d'obtenir réparation et, le cas échéant, une indemnisation à concurrence du préjudice effectivement subi par le plaignant du fait de la violation des droits susmentionnés des bénéficiaires tiers.

Les Personnes concernées peuvent saisir un tribunal compétent des États membres de l'EEE dans lesquels la société concernée du Groupe American Express est établie ou dans lesquels la Personne concernée a sa résidence habituelle.

6.2. Responsabilité

AEESA acceptera la responsabilité de toute violation des Principes ou des Principes européens de mise en œuvre par une société du Groupe American Express en dehors de l'EEE qui traite des données personnelles de Personnes concernées. AEESA prendra toutes les mesures nécessaires pour remédier aux actes ou omissions des sociétés du Groupe American Express qui traitent les données personnelles de Personnes concernées.

AEESA est tenue de verser une indemnisation pour tout dommage matériel ou immatériel subi par les Personnes concernées en relation avec toute violation des Principes ou des Principes européens de mise en œuvre. L'indemnisation doit être approuvée par le Délégué à la protection des données d'AEESA avant qu'une offre de réparation ou de paiement ne soit faite. Cette indemnisation doit être effectuée en pleine satisfaction de la plainte de la Personne concernée à l'encontre de toutes les sociétés du Groupe American Express. Afin d'éviter tout doute, la responsabilité d'AEESA s'étend aux actes ou omissions de toute société du Groupe American Express qui n'est pas située dans l'EEE.

Si une société du Groupe American Express située en dehors de l'EEE viole les Principes ou les Principes européens de mise en œuvre, les tribunaux ou autres autorités compétentes de l'EEE seront compétents pour traiter cette violation. Dans la mesure où une société du Groupe American Express qui traite des données personnelles de Personnes concernées viole les Principes européens de mise en œuvre, les Personnes concernées, les Autorités de contrôle et les tribunaux des juridictions applicables peuvent exercer leurs droits et intenter une action contre AEESA comme si un tel comportement avait été commis par AEESA dans l'EEE.

AEESA a la charge de la preuve de démontrer que la société concernée du Groupe American Express située en dehors de l'EEE n'est pas responsable de toute prétendue violation des Principes ou des Principes européens de mise en œuvre à l'origine de la demande d'indemnisation de la Personne concernée. Si AEESA peut prouver que la société du Groupe American Express située en dehors de l'EEE n'est pas responsable de l'événement à l'origine du dommage, AEESA et cette société peuvent se dégager de toute responsabilité.

7.      Formation

American Express fournira le matériel et les formations appropriés aux employés d'American Express qui collectent, utilisent ou ont accès à des données personnelles de Personnes concernées ou qui développent des systèmes qui traitent des données personnelles de Personnes concernées pour s'assurer qu'ils sont conscients de leurs obligations en vertu des Principes et de ces Principes européens de mise en œuvre.

8.      Conflit de lois

Si une société du Groupe American Express a des raisons de croire qu'une loi à laquelle elle est soumise empêche le respect des Principes ou des Principes européens de mise en œuvre ou est susceptible d'avoir un effet substantiel sur les garanties énoncées dans les Principes ou les Principes européens de mise en œuvre, le contact compétent de la société du Groupe American Express concernée doit en informer le Délégué à la protection des données d'AEESA, sauf si cette communication va à l'encontre d'une ou plusieurs lois applicables. Le cas échéant, le Délégué à la protection des données en informe l'Autorité de contrôle compétente, sauf dans la mesure où la loi applicable l'interdit.

9.       Questions ou réclamations

Une Personne concernée peut, à tout moment, déposer une réclamation ou une plainte et exercer ses droits en vertu des Principes ou de ces Principes européens de mise en œuvre. Celles-ci peuvent être adressées au Délégué à la protection des données d'AEESA, au siège social d'AEESA (American Express Europe S.A. Avenida Partenón 12-14, 28042, Madrid). Pour plus d'informations sur le processus de traitement des plaintes d'American Express et sur la manière de déposer une réclamation, veuillez cliquer ici.