Règles d’Entreprise Contraignantes D’American Express UE 

Return to top

Nos BCRs ont un caractère juridique contraignant sur les entités BCRs d’American Express et sur leurs employés dans le cadre d’un contrat intra-groupe entre l’entreprise American Express et American Express Europe, S.A. (AEESA), l’entité qui représente légalement American Express dans l’EEE. 

Chaque entité BCRs American Express et ses employés peuvent traiter vos données personnelles seulement de manière conforme à ces BCRs. Les employés qui violeraient ces BCRs peuvent faire l’objet de mesures disciplinaires. 

Return to top

3.1. Champ d’application territorial

Nos BCRs s'appliquent à l’ensemble du traitement des données personnelles visées par la législation en vigueur sur la protection des données. Il s'agit des données personnelles des Personnes Concernées qui sont ou ont été traitées dans le contexte des activités d’une entité BCRs d’American Express établie dans l’EEE, même si ce traitement est effectué par une entité BCRs d’American Express située hors de l’EEE. 

3.2. Champ d’application matériel

En sa capacité de responsable du traitement des données, American Express traite les Données Personnelles des employés, directeurs, sous-traitants, consultants individuels, travailleurs occasionnels passés, présents et à venir d’American Express, que ce soit à temps plein, à temps partiel, de manière permanente ou temporaire, ainsi que des retraités (« Employés »), et les Données Personnelles des clients et personnes physiques passées, présentes et à venir d’American Express travaillant chez des clients, fournisseurs et partenaires d’American Express (« Clients »).

Les buts pour lesquels American Express traite les données personnelles se rapportent principalement aux consommateurs, commerciaux, commerçants, assurances, dans les juridictions concernées aux voyages, réunions et événements, ainsi qu'aux services de réseau et aux ressources humaines.

Pour réaliser efficacement les activités internationales d’American Express, le traitement des données personnelles par les entités BCRs d’American Express, en rapport avec les finalités identifiées dans ces BCRs, peuvent nécessiter des transferts internationaux de données personnelles de Personnes Concernées, en provenance de n’importe quelle entité BCRs American Express de l’EEE vers n’importe quelle entité BCRs American Express située hors de l’EEE (y compris en provenance de pays de l’EEE vers les États-Unis, où se trouvent les principaux serveurs d’American Express), et tout transfert
ultérieur de ces données personnelles vers une entité située hors du groupe American Express. 

Pour avoir une vue plus complète des activités de traitement d’American Express, reportez-vous à l’Annexe 1. Pour savoir où se trouvent
les entités BCRs d’American Express, reportez-vous à l’Annexe 2.

Return to top

Quand elles traitent vos données personnelles, les entités BCRs d’American Express se sont engagées à se conformer à des principes robustes de protection des données (section 4.1) et à respecter vos droits à la protection des données (section 4.2). 

4.1. Principes de protection des données

4.1.1. Transparence et équité

Les entités BCRs d’American Express recueillent et traitent vos données personnelles de manière transparente et équitable. 

Nous veillons à ce que vous ayez un accès facile aux informations sur nos activités de traitement, comme l’exige le Règlement Général sur la Protection des Données (RGPD). Ces informations vous sont fournies sous une forme concise, transparente, intelligible et facile d'accès, dans un langage clair et simple, dans les déclarations de respect de la vie privée d’American Express, en fonction de votre relation avec nous. Ces avis et conditions d’utilisation peuvent également contenir des dispositions supplémentaires qui correspondent au traitement des données personnelles, conformément aux lois et réglementations en vigueur dans votre pays. 

En particulier, quand des données personnelles sont recueillies auprès des Personnes Concernées, les informations suivantes leur seront fournies au moment où les données personnelles sont recueillies : 

- l’identité et les coordonnées du Responsable du traitement et, le cas échéant, son représentant ;

- les coordonnées du DPO ; 

- les objectifs du traitement appliqué aux données personnelles et la base légale de ce traitement ; 

- les destinataires ou catégories de destinataires des données personnelles, le cas échéant ; 

- l’existence des transferts de données personnelles vers des pays ne bénéficiant pas d’un niveau de protection adéquat et des protections appropriées adoptées pour assurer le même niveau de protection, comme l’exige le RGPD ; 

- la durée pendant laquelle les données personnelles seront conservées ou, si cela n’est pas possible, les critères utilisés pour déterminer cette durée ; et l’existence des droits des Personnes Concernées reconnus par le RGPD.

Si les données personnelles n’ont pas été recueillies auprès de la Personne Concernée, les informations précédentes, ainsi que les catégories de données personnelles concernées et la source des données personnelles, lui seront communiquées promptement (sauf si la Personne Concernée possède déjà ces informations, si la communication de ces informations s'avère impossible ou entraînerait des efforts disproportionnés, l’obtention ou la divulgation est expressément énoncée par le droit de l’UE ou de l’État membre ou, si les données personnelles doivent rester confidentielles en raison d’une obligation de secret professionnel réglementée par le droit de l’UE ou de l’État membre, y compris une obligation statutaire de secret).

En outre, nos BCRs vous informent sur les droits que vous pouvez faire valoir contre AEESA ou toute entité BCRs d’American Express en tant que bénéficiaire externe, concernant le traitement de vos données personnelles conformément à ces BCRs (« droits des bénéficiaires externes) et sur les moyens d’exercer ces droits (voir section 8). En outre, ces BCRs vous donneront des informations sur les principes de protection des données que nous appliquons quand nous traitons vos  données personnelles (comme indiqué dans cette section 4) et des informations sur la responsabilité juridique des entités BCRs d’American Express en cas de violation de ces BCRs (voir section 8).

De plus, vous avez toujours la possibilité d’obtenir, sur demande, un exemplaire de nos BCRs. Une version publique sera disponible sur les sites Web publics des entités BCRs d’American Express à travers l’EEE, ainsi que sur notre intranet, si vous êtes un(e) employé(e).

4.1.2. Licéité  du Traitement

Vos données personnelles et vos Catégories particulières de données à caractère personnel sont recueillies et traitées de manière équitable et légale, conformément à la législation en vigueur sur la protection des données. Les bases légales du traitement de vos données personnelles sont décrites en détails dans les déclarations de respect de la vie privée d’American Express, en fonction de votre relation avec American Express.

• ·Traitement des Données Personnelles
  

Vos données personnelles sont recueillies et traitées seulement s’il y a une raison légitime à ce traitement: 

- si vous avez donné votre consentement de manière explicite (par exemple pour vous envoyer par e-mail des communications contenant des publicités, promotions et offres concernant les produits et services d’American Express) ; 

- si ce traitement est nécessaire pour exécuter un contrat dont vous êtes une des parties ou afin de prendre des mesures, à votre demande, avant de passer un contrat (par exemple, pour administrer notre relation contractuelle avec vous et traiter votre demande de carte, de compte-carte(s)/client ou pour un autre produit ou pour gérer vos comptes-carte(s)/client existants) ; 

- si ce traitement est nécessaire pour se conformer à une obligation légale (par exemple pour signaler des transactions suspectes aux autorités compétentes dans le cadre des règles de lutte contre le blanchiment d’argent ou sur demande légale pour faire les vérifications nécessaires au
sujet des clients avant d'approuver leur demande) ; ou

- si ce traitement est nécessaire dans l’intérêt légitime d’une entité BCRs American Express ou de tiers (par exemple pour livrer des produits et
dispenser des services, pour promouvoir et commercialiser des produits et services, pour effectuer des recherches et des analyses, et pour gérer les risques de fraude et les problèmes de sécurité), sauf si cet intérêt est supplanté par vos intérêts ou droits et libertés fondamentaux. 

• Traitement des Catégories particulières de données à caractère personnel

Nous pouvons éventuellement recueillir des Catégories particulières de données à caractère personnel telles que les données ayant trait à votre santé, vos données biométriques, votre orientation sexuelle ou votre origine raciale / ethnique. Ces données sont recueillies et traitées de façon à respecter les exigences légales, à des fins essentielles à l’administration de la relation employé / employeur ou si vous avez donné votre consentement explicite, et seulement dans la mesure autorisée par le droit en vigueur. 

Parfois, il peut vous arriver de nous fournir ce type de données afin d’améliorer votre parcours avec nous (par exemple, dans certaines juridictions où American Express prodigue des services voyage, si vous nous informez d’exigences alimentaires spécifiques ou de votre besoin d'assistance quand vous prenez l'avion).

Dans la mesure limitée où ces Catégories particulières de données à caractère personnel sont recueillies, elles seront traitées seulement pour l’une des raisons légales susmentionnées et à condition que l’une des conditions au traitement de ces Catégories particulières de données à caractère personnel s'applique, par exemple :

si vous avez donné votre consentement explicite à ce traitement ;

- si ce traitement est nécessaire pour qu’American Express s’acquitte de ses obligations et exerce ses droits spécifiques dans le domaine de l’emploi, de la sécurité sociale et de la protection sociale ;

- si ce traitement a trait à des Catégories particulières de données à caractère personnel que vous avez manifestement rendues publiques ;

        
- si ce traitement est nécessaire pour établir des poursuites juridiques, en exercer ou se défendre ;

- si ce traitement est nécessaire pour des raisons d’intérêt public substantielles, selon une loi de l’UE ou d’un État membre. 

Qui plus est, les entités BCRs d’American Express prendront des mesures renforcées afin de traiter des Catégories particulières de données à caractère personnel, conformément à la législation en vigueur sur la protection des données.

4.1.3.Limitation d’utilisation, précision et limitation de conservation des données

Les entités BCRs d’American Express utilisent une technologie appropriée et des pratiques établies concernant les employés afin de traiter vos données personnelles de manière prompte et précise. 

Nous prenons des mesures raisonnables pour veiller à ce que vos données personnelles : 

- soient exactes et à jour concernant les buts pour lesquels elles sont traitées (précision des données). Si vos données personnelles sont inexactes, qu’elles soient effacées ou corrigées sans retard ; 

- soient adéquates, pertinentes et sans excès concernant le but pour lequel elles ont été recueillies et traitées (limitation d’utilisation des données) ; 

- ne soient pas conservées sous une forme identifiable plus longtemps que nécessaire en vertu des objectifs pour lesquels les données personnelles sont traitées, et si celles-ci devaient être conservées plus longtemps, elles le seront seulement à des fins d’archivage ou d’une manière autrement permise ou requise conformément aux lois en vigueur et, le cas échéant, seulement si des mesures administratives, techniques et organisationnelles sont prises.

4.1.4.Limitation des finalités

Les entités BCRs d’American Express recueillent des données personnelles seulement à des fins spécifiques et légitimes. Nous traitons vos données
personnelles de manière équitable et seulement pour les objectifs que nous vous avons annoncés, pour les objectifs autorisés par vous ou par la législation en vigueur sur la protection des données. Nous veillerons à ce que vos données personnelles ne soient pas traitées d’une manière incompatible avec ces objectifs.

4.1.5. Sécurité et confidentialité des données

American Express a mis en œuvre un programme complet écrit de sécurité des informations conforme aux lois en vigueur et à la législation en vigueur sur la protection des données et s’engage à y adhérer et à le maintenir.

Les entités BCRs d’American Express mettent en œuvre des mesures administratives, techniques et organisationnelles appropriées pour protéger vos données personnelles contre toute destruction, perte, modification, et toute divulgation, que celles-ci soient accidentelles ou illégales, ou contre tout accès non autorisé(e) à vos données personnelles transmises, conservées ou autrement traitées. Nous protègerons la confidentialité de vos données personnelles et limiterons l’accès à vos données personnelles aux personnes qui en ont spécifiquement besoin afin de mener à bien leurs activités professionnelles, sauf disposition contraire de la loi en vigueur qui s'appliquerait à nous.

Ces mesures assurent un niveau de sécurité correspondant au risque et tiennent compte de l’état des connaissances, les coûts de mise en œuvre et la nature, la portée, le contexte et les objectifs de ce traitement, ainsi que le risque de variation et de gravité pour les droits et libertés des Personnes
Concernées, et peuvent inclure, selon les cas :

- la pseudonymisation et le cryptage des données personnelles des Personnes Concernées, 

- des mesures garantissant la confidentialité, l’intégrité, la disponibilité et la résilience permanentes des systèmes et des services de traitement ;

- des mesures pour garantir la possibilité de restaurer la disponibilité et l’accès aux données personnelles des Personnes Concernées de manière rapide en cas d’incident physique ou technique ; et

- un processus permettant de tester et évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

De plus, nous exigeons des mesures administratives, techniques et organisationnelles de la part des tiers que nous autorisons à traiter vos données personnelles en notre nom et nous passons des engagements contractuels avec les Sous-traitants des données internes et externes qui se conforment aux protections exigées par le RGPD. 

En particulier, le traitement réalisé par le Sous-traitant des données devra être régi par un contrat, contraignant pour le Sous-traitant des données concernant le Responsable du traitement des données et qui définit la raison et la durée du traitement, la nature et le but du traitement, le type de données personnelles et les catégories de Personnes concernées et les obligations et droits du Responsable du traitement des données. 

Les devoirs suivants doivent également être couverts par le contrat, qui doit exiger que le Sous-traitant : 

- traite les données personnelles seulement selon les instructions documentées provenant du Responsable du traitement des données ou veille à ce que les personnes autorisées à traiter les données personnelles se soient engagées à respecter leur confidentialité ou aient une obligation
statutaire appropriée de confidentialité ;

- prenne toutes les mesures techniques et organisationnelles nécessaires pour garantir un niveau de sécurité acceptable ;

- ne passe pas un contrat avec un autre Sous-traitant des données (« Sous-traitant »), sans l'autorisation écrite préalable spécifique ou générale du Responsable du traitement des données et seulement à condition que les mêmes obligations de protection des données définies dans le
contrat entre le Responsable du traitement des données et le Sous-traitant  des données soient imposées à ce sous-traitant ;

- aide le Responsable du traitement des données à mettre en œuvre des mesures techniques et organisationnelles appropriées dans la mesure du possible pour que le Responsable du traitement des données puisse s'acquitter de son devoir de répondre aux demandes de la Personne Concernée concernant l’exercice de ses droits ;

- aide le Responsable du traitement des données à s’acquitter de ses obligations concernant la sécurité du traitement, les violations de données personnelles et les évaluations d'impact sur la protection des données ;

- au choix du Responsable du traitement des données, supprime ou renvoie toutes les données personnelles au Responsable du traitement des données après la fin de la prestation de services liée au traitement, et supprime les exemplaires existants, sauf si la loi en vigueur exige la
conservation des données personnelles;

- mette à la disposition du Responsable du traitement des données toutes les informations nécessaires pour démontrer la conformité aux obligations énoncées dans l’article 28 du RGPD concernant les Sous-traitants et autorise les audits et y participe, y compris des inspections, effectuées par le Responsable du traitement des données ou un autre vérificateur mandaté par le Responsable du traitement des données. 

En outre, les entités BCRs d'American Express ont mis en œuvre des mesures administratives, techniques et organisationnelles afin de détecter, examiner, signaler et résoudre les violations de données personnelles. Le DPO d'American Express est informé des violations de violations de données personnelles par les entités BCRs d'American Express sans retard indu et le DPO d'American Express détermine s’il doit en informer l’autorité de contrôle compétente et les Personnes Concernées conformément aux exigences du RGPD. Toute violation de violations de données personnelles doit être documentée (y compris les faits liés à la violation des données personnelles, ses effets et la mesure corrective prise) et la documentation doit être mise à la disposition de l’autorité de contrôle sur demande

4.1.6. Transferts ultérieurs

Vos données personnelles sont transférées vers diverses entités BCRs d'American Express puis vers des tiers, toujours en assurant un niveau de protection adéquat pour le traitement de vos données, conformément à la législation en vigueur sur la protection des données, quelle que soit la destination du transfert.

Ce flux de données est légitimé par  nos BCRs, ce qui nous permet de transférer les données personnelles entre l’EEE et les entités BCRs d'American Express situées hors de l’EEE. 

Dans tous les cas de transferts (données personnelles qui ont d’abord été transférées entre une entité BCRs d'American Express de l’EEE et une entité BCRs d'American Express hors EEE, puis ultérieurement transférées vers des tiers non couverts par les BCRs), les entités BCRs d'American Express
veilleront à passer un accord écrit avec ces tiers contenant des dispositions qui veillent à ce que les données personnelles soient protégées au moins selon les critères de confidentialité et de sécurité envisagés par ces BCRs, ou utilisent une autre méthode légale valide pour veiller à ce que ce transfert soit légal et à ce que des garanties adéquates soient données conformément à l'article 46 du RGPD. 

4.1.7. Responsabilité

Toutes les entités BCRs d'American Express sont responsables de ces BCRs, et doivent démontrer qu’elles agissent en conformité avec ces BCRs. La conformité à ces exigences inclut : 

- la tenue d’archives électroniques sur les activités de traitement, mises à la disposition des autorités de contrôle sur demande, qui contiennent les informations exigées par le RGPD, telles que le nom et les coordonnées du Responsable du traitement des données, les buts de ce traitement, les catégories de Personnes Concernées et les catégories de données personnelles, les destinataires des données personnelles, les transferts vers des pays hors de l’EEE, les délais autorisés pour effacer les catégories de données personnelles et la description des mesures de sécurité appliquées ;

- la réalisation d’analyses d'impact sur la protection des données (applicables seulement si les activités de traitement sont susceptibles de faire courir
un risque élevé aux droits et libertés des Personnes Concernées) ; et 

- la consultation avec les autorités de contrôle concernées si cela est nécessaire pour démontrer cette conformité.

En outre, les entités BCRs d'American Express ont mis en place des mesures administratives, techniques et organisationnelles appropriées conçues pour mettre en œuvre les principes de protection des données et faciliter la conformité aux exigences énoncées par ces BCRs (protection des données par design et par défaut).

4.2. Droits des Personnes Concernées

• Droits d’accès, restriction, objection, rectification, effacement, droit de retirer son consentement et portabilité des données 

Les entités BCRs d'American Express se conforment à vos demandes d’exercer les droits qui vous sont accordés par le RGPD, le cas échéant. Plus
spécifiquement, nous veillons à ce que vous puissiez exercer votre droit de/d’: 

- accéder à vos données personnelles (droit d’accès) ;

- limiter le et / ou de vous opposer au traitement de vos données personnelles (droit de restriction du traitement et droit d’opposition au traitement) ; 

- rectifier vos données personnelles (droit de rectification) ; 

- effacer vos données personnelles (droit d’effacement) ; 

-  retirer un consentement au traitement fourni précédemment, et

- recevoir vos données personnelles dans un format structuré, couramment utilisé et lisible par machine et / ou de transmettre ces données à un autre Responsable du traitement des données (droit de portabilité des données). 

Les entités BCRs d'American Express sont soumises à des politiques sur le traitement de ces demandes pour veiller à ce que vous ayez les moyens d’exercer ces droits. Si vous souhaitez exercer l’un de vos droits, vous pouvez contacter notre DPO à DPO-Europe@aexp.com.·      

• Prise de décision automatisée
  

Les entités BCRs d'American Express veillent à ce que vous ne fassiez pas l’objet de décisions basées seulement sur un traitement automatisé des données personnelles, y compris le profilage, qui produit des effets juridiques ou des effets importants similaires, sauf si le traitement est : 

- nécessaire pour passer ou exécuter un contrat entre vous et American Express ; 

- est autorisé par une loi à laquelle American Express doit se soumettre et qui énonce des mesures adéquates pour protéger vos droits et libertés, ainsi que vos intérêts légitimes ; ou

- basé sur votre consentement explicite à ce traitement. 

Conformément aux lois en vigueur, nous mettrons en œuvre des mesures adéquates pour protéger vos droits et libertés et vos intérêts légitimes, et pour au moins vous octroyer le droit d'obtenir une intervention humaine, d'exprimer votre point de vue et de contester la décision.

Conformément à ces restrictions, nous pouvons recourir à des processus automatisés pour nous aider à prendre certaines décisions, par exemple pour
détecter et gérer les fraudes (par exemple pour nous aider à décider si votre compte-carte/client a été utilisé à des fins de fraude ou de blanchiment
d'argent ou détecter si des fraudeurs ont eu accès à votre compte-carte/client) ; ou traiter les demandes de carte et évaluer des risques de solvabilité et de sécurité. Ces méthodes sont testées régulièrement pour veiller à ce qu’elles
restent équitables, efficaces et objectives.

Vous pouvez contacter notre DPO à DPO-Europe@aexp.com pour exercer votre droit de demander un examen manuel de certaines activités de traitement automatisées pouvant impacter vos droits légaux ou autres droits contractuels ou pouvant avoir un effet juridique similaire.

BACK TO TOP

American Express a nommé un DPO qui surveille la conformité aux BCRs. Le DPO a les tâches suivantes : 

- informe et conseille les entités d'American Express et les employés d’American Express de leurs obligations conformément à la législation en vigueur sur la protection des données ; 

- surveille la conformité à la législation en vigueur sur la protection des données par l’évaluation des principaux indicateurs et contrôles de risques. Le DPO rapporte les résultats de ces activités de contrôle au forum de gouvernance interne concerné au niveau des dirigeants ; 

- donne des conseils en rapport avec les analyses d'impact sur la protection des données (AIPD) et surveille leur exécution ; 

- coopère avec les autorités de contrôle ; et

- sert de point de contact pour les autorités de contrôle.

Le DPO, désigné d'après ses qualités professionnelles, est sous la responsabilité du directeur principal chargé de la protection de la confidentialité
d’American Express. Le DPO est désigné par les entités européennes d'American Express en tant que membre du conseil d'administration d’AEESA
et d’American Express Payments Europe SA, qui sont, respectivement, les entités principales d’émission et d’acquisition du groupe en Europe.

Cette désignation est communiquée aux autorités de contrôle des pays européens où American Express est établi.

Le DPO collabore étroitement avec un réseau de spécialistes de la protection de la vie privée et de juristes spécialistes de la conformité situés dans chaque marché européen, qui surveillent la conformité aux lois en vigueur sur la protection des données dans leur secteur géographique. Le DPO est aidé par le bureau mondial de respect de la vie privée dirigé par le directeur principal d’American Express chargé de la protection de la confidentialité.

BACK TO TOP

Toutes les entités BCRs d'American Express doivent fournir des outils et des cours de formation appropriés à tous les employés, en particulier aux employés qui recueillent, traitent, ont un accès permanent ou régulier aux données personnelles ou participant à l’élaboration d'outils utilisés pour traiter les données personnelles pour veiller à ce qu’ils soient conscients de leurs obligations conformément à la législation en vigueur sur la protection des données et à ces BCRs. Ces cours sont obligatoires et leur suivi est surveillé.

BACK TO TOP

American Express a mis en œuvre un programme de conformité qui réalise régulièrement des vérifications et audits de conformité concernant les opérations des entités BCRs d'American Express (par des vérificateurs internes ou, si besoin est, externes) pour veiller à ce que les BCRs et toutes les politiques et procédures connexes soient respectées et à jour. 

Les audits sur la protection des données couvrent tous les aspects des BCRs, y compris des méthodes permettant de s'assurer de la mise en place de mesures correctrices. 

D'autres audits de protection des données peuvent être demandés par le DPO de sa propre initiative ou à la demande spécifique d’une entité BCRs d'American Express. Le groupe d’audit interne d’American Express, en tant qu’organisme de contrôle indépendant, évaluera l'opportunité de ces demandes d’audit en fonction de leur cadre d’évaluation des risques.

Les résultats de ces vérifications et audits de conformité seront communiqués au bureau mondial de respect de la vie privée d’American Express, au DPO, aux autorités de contrôle concernées (sur demande) et mis à la disposition du comité d'audit du conseil d'administration de l’entreprise American
Express. 

Si un problème de conformité est décelé, l’entité BCRs d'American Express concernée devra suivre les recommandations spécifiques du DPO. Si les recommandations ne peuvent pas être suivies, l’entité BCRs d'American Express devra se justifier. 

En outre, American Express devra coopérer avec toutes les vérifications de conformité menées par une autorité de contrôle ayant juridiction, si elles ont été initiées en réponse à une réclamation de la part d’une Personne Concernée, ou de la propre initiative de l’autorité de contrôle.

BACK TO TOP

8.1. La responsabilité des entités BCRs d'American Express

Les entités BCRs d'American Express doivent se conformer aux BCRs. Outre les responsabilités des entités BCRs d'American Express, AEESA acceptera ses responsabilités en cas de violation des BCRs commise par une entité BCRs d'American Express située hors de l’EEE qui traite des données
personnelles conformément à la législation en vigueur sur la protection des données. AEESA aura le droit de prendre les mesures nécessaires afin de remédier aux actes ou omissions de toute entité BCRs d'American Express qui traite des données personnelles en violation des BCRs.

AEESA a l'obligation d’indemniser les Personnes Concernées en cas de dommage matériel ou non matériel en rapport avec toute violation des BCRs. Cette indemnisation doit être convenue par le DPO avant qu’une offre de redressement ou de paiement ne soit proposée. Toute indemnisation payée devra l’être à la satisfaction complète de la Personne Concernée qui a fait une réclamation contre une entité BCRs d'American Express. Pour clarifier, la responsabilité AEESA s’étend aux actes ou omissions de toute entité BCRs d'American Express située hors de l’EEE ayant violé les BCRs.

Si une entité BCRs d'American Express (y compris si cette entité est située hors de l’EEE) viole les BCRs, les tribunaux européens compétents auront juridiction concernant cette violation. Dans la mesure où une entité BCRs d'American Express viole les BCRs, les Personnes Concernées, les autorités de contrôle et les tribunaux ayant juridiction pourront exercer leurs droits et lancer des poursuites contre AEESA comme si cette conduite avait été commise par AEESA dans l’EEE (pour savoir comment déposer une réclamation, reportez-vous à la section 9 ci-dessous).

8.2. Droits des bénéficiaires tiers

Chaque Personne Concernée pourra réclamer à AEESA ou à toute entité BCRs d'American Express les conditions des dispositions suivantes des BCRs en tant que bénéficiaire tiers :

- principes de protection des données (Section 4.1) ;

- transparence et facilité d’accès aux BCRs (Sections 1.2 et 4.1.1) ;

- Droits des Personnes Concernées (Section 4.2) ;

- conformité, répression et responsabilité (Section 8) ; 

- droit de réclamer en utilisant le mécanisme interne de réclamation d’American Express (Section 9) ;

- droit de déposer une réclamation auprès de l’autorité de contrôle et devant le tribunal européen compétent (Section 9) ;

- coopération avec les autorités de contrôle (Section 10) ; et

- conflit de lois (Section 11.1).

8.3. Charge de la preuve

C’est à AEESA qu’incombe la charge de la preuve, afin de démontrer que l’entité BCRs d'American Express située hors de l’EEE n’est pas responsable de
la violation prétendue des BCRs qui donne aux  Personnes Concernées le droit de réclamer une indemnisation en cas de dommages. Si AEESA peut prouver qu’une entité BCRs d'American Express située hors de l’EEE n’est pas responsable de l’événement ayant suscité une demande de dommages-intérêts, AEESA et cette entreprise pourront se décharger de cette responsabilité.

BACK TO TOP

Si vous souhaitez déposer une réclamation et exercer vos droits en rapport avec ces BCRs, vous êtes invité(e) à contacter le DPO à tout moment, par écrit, au siège social d’AEESA à American Express Europe SA, Avenida Partenón 12 – 14, 28042 Madrid / ESPAGNE ou par e-mail à DPO-Europe@aexp.com. 

Notre DPO traitera vos réclamations sans retard indu et, dans tous les cas, endéans le 1 mois. Compte tenu de la complexité et du nombre de demandes, cette période de 1 mois pourra être prolongée par une période de deux mois maximum, auquel cas nous vous en informerons. 

Pour en savoir plus sur le traitement des réclamations par American Express et sur la façon de déposer une réclamation, reportez-vous à notre Déclaration de respect de la vie privée en ligne.

Si le problème n’est pas résolu à votre satisfaction, vous pouvez également :

- déposer une réclamation auprès de l’autorité de contrôle de l’État membre de votre résidence habituelle, de votre lieu de travail ou du lieu de l’infraction alléguée ; 

- porter votre réclamation devant un tribunal compétent du pays européen où l’entité BCRs d'American Express concernée est établie ou de votre lieu de résidence habituel et, le cas échéant, obtenir indemnisation pour les dommages que vous avez subis suite à la violation des droits des bénéficiaires tiers susmentionnés.

BACK TO TOP

Toutes les entités BCRs d'American Express devront coopérer avec, et accepter un audit de la part de, toute autorité de contrôle concernée et devront se conformer aux conseils de ces autorités de contrôle sur toutes les questions concernant la législation en vigueur sur la protection des données.

Si l’autorité de contrôle trouve qu’une des entités BCRs d'American Express a violé l’un des droits des Personnes Concernées dans le cadre de ces BCRs, cette entité BCRs d'American Express devra se soumettre aux découvertes de l’autorité de contrôle, en respectant le droit de remettre en question ces
découvertes ou de faire appel.

BACK TO TOP

11.1. Législation nationale empêchant la conformité aux BCRs UE

Si une entité BCRs d'American Express a des raisons de croire qu’une loi à laquelle elle doit se soumettre empêche la conformité aux BCRs ou est susceptible d'avoir un effet substantiel sur les garanties énoncées dans les BCRs, la personne de contact opérant au sein de cette entité BCRs d'American Express devra en informer le DPO à AEESA, sauf si les lois en vigueur l’en interdisent. Si nécessaire, le DPO devra informer l’autorité de contrôle compétente de ce conflit de lois, sauf dans la mesure interdite par les lois en vigueur. 

Si une entité BCRs d'American Express reçoit une demande de données personnelles provenant d’une autorité chargée de l'application du droit ou d’un organisme de sécurité de l'État, le DPO devra informer l'autorité de contrôle compétente de cette demande (y compris des informations sur les données demandées, l’organisme qui les demande et la base légale de cette divulgation). Si, dans des cas spécifiques, la suspension et/ou la
notification à l’autorité de contrôle compétente est interdite par les lois en vigueur, American Express fera de son mieux pour supprimer cette interdiction, afin de communiquer rapidement ces informations à l’autorité de contrôle compétente, et de pouvoir démontrer qu’elle l'a fait. 

Si, dans les cas ci-dessus, malgré ses efforts raisonnables, l’entité BCRs d’American Express n’est pas en mesure d’informer l’autorité de contrôle compétente, elle donnera tous les ans des informations générales sur les demandes qu’elle a reçues à l’autorité de contrôle compétente (nombre de demandes de divulgations, type de données personnelles demandées, nom du demandeur si possible, etc…). 

Dans tous les cas, les transferts de données personnelles par une entité BCRs d'American Express à une autorité publique ne sera ni massive, ni disproportionnée ni effectuée sans discernement. Cette limitation s'appliquera à toute demande juridiquement contraignante de divulgation de données personnelles par une autorité chargée de l'application du droit ou par un organisme de sécurité de l'État. 

11.2. Relation entre les lois nationales et les BCRs UE

Si la législation en vigueur sur la protection des données nécessite un niveau de protection supérieur pour les données personnelles, ces lois sur la
protection des données auront la prévalence sur ces BCRs.

BACK TO TOP

Nous pouvons être amenés à mettre à jour nos BCRs, par exemple en cas de modification de l’environnement réglementaire ou de la structure de l'entreprise. Nous nous engageons à signaler les changements matériels de nos BCRs sans retard indu à toutes les entités BCR d'American Express et à l’AEPD. Tous les changements de BCR ou de la liste des entités BCR d'American Express seront signalés une fois par an aux autorités de contrôle
concernées, via les autorités de controle compétentes, avec une brève explication des raisons justifiant cette mise à jour. Si une modification peut affecter le niveau de protection offert par les BCR ou affecter ces BCR de manière considérable, elle sera rapidement communiquée aux autorités de contrôle concernées, via l’autorité de contrôle compétente.

American Express a identifié une équipe qui tient une liste entièrement à jour des entités BCRs d'American Express, fait un suivi et consigne toutes les mises à jour apportées aux règles, et donne les informations nécessaires aux Personnes Concernées ou aux autorités de contrôle  sur demande. En outre, les entités BCRs d'American Express ne feront pas de transfert vers une nouvelle entité BCRs d'American Express tant que cette nouvelle entité ne sera pas effectivement contrainte par ces BCRs et ne peut assurer sa conformité. 

BACK TO TOP

Les entités BCRs d'American Express se trouvent dans les pays suivants : 

• Allemagne 
• Argentine
• Australie
• Autriche
• Belgique
• Canada
• Chine
• Colombie
• Danemark
• Espagne
• États-Unis
• Finlande
• France
• Grèce
• Hong Kong
• Hongrie
• Inde
•  Irlande
• Italie
• Japon
• Jersey
• Malaisie
• Mexique
• Norvège
• Pays-Bas
• Philippines
• Pologne
• Royaume-Uni
• Russie
• Singapour
• Slovaquie
• Suède
• Suisse
• Taïwan
• Tchèque (République)
• Thaïlande