Sur la proposition de Mme Marie-Hélène Mitjavile, commissaire, et après avoir entendu les observations de M. Jean-Alexandre Silvy, commissaire du Gouvernement,
Formule les observations suivantes :
En vertu de l'article 68 de la loi 6 janvier 1978 modifiée, les transferts de données à caractère personnel à destination de pays qui ne sont membres ni de l'Union européenne ni de l'Espace économique européen et qui par conséquent n'ont pas transposé dans leur législation les dispositions de la directive n° 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, sont interdits.
Néanmoins, il peut être fait exception à cette interdiction par application de l'article 69 de la loi précitée, notamment par décision de la Commission nationale de l'informatique et des libertés lorsqu'un niveau de protection suffisant est apporté aux données transférées par l'intermédiaire de règles internes (règles contraignantes d'entreprise ou « binding corporate rules » (BCR) constituant un code de conduite interne s'imposant à toutes les entités d'un groupe).
Au terme d'une procédure de coopération européenne, la Commission nationale de l'informatique et des libertés et les autorités de protection des données compétentes ont reconnu la conformité de ces BCR « responsable de traitement » aux exigences posées par les documents de référence adoptés par le groupe de travail de l'article 29.
A ce titre, les BCR « responsable de traitement » du groupe American Express sont réputées apporter un niveau de protection suffisant aux données personnelles transférées au sein du groupe American Express.
Par conséquent, les organismes mentionnés à l'article 1er ci-dessous, qui souhaiteront se référer à la présente autorisation unique n° BCR-017 et adresseront à cette fin à la commission un engagement de conformité pour leurs transferts qui répondent strictement aux conditions définies dans la présente décision d'autorisation unique, seront autorisés à mettre en œuvre ces transferts.
Tout transfert ne peut être autorisé que dans la mesure où :
(i) Lorsque cela est requis, la formalité relative au traitement auquel ce transfert se rattache a été dûment accomplie auprès de la Commission nationale de l'informatique et des libertés, et
(ii) Le transfert est réalisé dans le strict respect du cadre défini par ladite formalité.
Par ailleurs, tout transfert de données à caractère personnel qui excèderait le cadre ou les exigences définis par la présente autorisation unique doit faire l'objet d'une décision d'autorisation spécifique.

Sur les responsables de traitement/champ d'application.
Peuvent seules adresser un engagement de conformité à la présente autorisation unique les entités du groupe American Express, agissant en qualité de responsable de traitement, étant juridiquement liées par les BCR « responsable de traitement » du groupe American Express et ayant mis en œuvre les engagements pris au titre des BCR.

Sur les finalités des transferts.
Conformément au champ matériel et à la description des transferts couverts par les BCR « responsable de traitement » du groupe American Express et à leurs annexes, sont autorisés les seuls transferts de données à caractère personnel ayant pour finalités :
Finalités relatives aux transferts des données personnelles des employés :

- gestion des ressources humaines :
- administration des employés (nominations et licenciements, paye, discipline, prestations sociales, assurance, retraite, gestion des arrêts maladie, programmes d'évolution de carrière, voyages, pensions de retraite, gestion du travail) ;
- contrôle de la conformité ;
- contact des tierces parties en cas d'urgence ;
- gestion des dossiers des employés ;
- sûreté et sécurité (incluant la gestion des informations) ;
- gestion des informations et bases de données (maintenance des informations ou bases de données comme outil de référence ou ressource générale) ;
- évaluation et perception des impôts et autres recettes (évaluation et perception des impôts, droits, prélèvements et autres recettes) ;
- comptabilité et audit (fourniture de comptabilité et services afférents ainsi que la fourniture d'un audit lorsqu'un tel audit est requis) ;
- externalisation d'activités administratives (paye, services médicaux, assurances, prestations sociales, retraites) ;
- dispositif de contrôle de lutte contre la corruption (contrôle des justificatifs des dépenses).

Finalités relatives aux transferts des données personnelles des clients :

- émission de cartes :
- émission de la carte ;
- administration des clients ;
- publicité, marketing et relations publiques ;
- services liés aux frais ;
- programmes de fidélité ;
- adhésions à des programmes de fidélité ;
- comptes et documents enregistrés ;
- lutte contre le blanchiment d'argent et le financement du terrorisme ;
- gestion des agents, des intermédiaires et des vendeurs ;
- gestion des réseaux d'acceptation de carte et services aux commerçants :
- utilisation de la carte ;
- analytique ;
- gestion des agents, des intermédiaires et des vendeurs ;
- services relatifs aux frais ;
- programmes de fidélité ;
- adhésions à des programmes de fidélité ;
- comptes et documents enregistrés ;
- lutte contre le blanchiment d'argent et le financement du terrorisme ;
- services liés aux voyages :
- suivi du voyage ;
- réservation des voyages ;
- personne à contacter en cas d'urgence ;
- réservations, émission de la réservation et du ticket ;
- gestion des agents, des intermédiaires et des vendeurs ;
- services liés aux frais ;
- programmes de fidélité ;
- adhésions à des programmes de fidélité ;
- comptes et documents enregistrés ;
- lutte contre le blanchiment d'argent et le financement du terrorisme.

Sur les catégories de données personnelles transférées.
Conformément au champ matériel et à la description des transferts couverts par les BCR « responsable de traitement » du groupe American Express et à leurs annexes, peuvent être transférées, dans le cadre des finalités décrites ci-dessus, les catégories de données à caractère personnel suivantes :
Pour les transferts relatifs aux employés :

- état civil/identité/données d'identification ;
- vie personnelle ;
- informations d'ordre économique et financier.

Pour les transferts relatifs aux clients :

- état civil/identité/données d'identification ;
- vie professionnelle ;
- vie personnelle ;
- informations d'ordre économique et financier.

Sur les catégories de personnes concernées par les transferts.
Conformément au champ matériel et à la description des transferts couverts par les BCR « responsable de traitement » du groupe American Express et à leurs annexes, peuvent être transférées, dans le cadre des finalités décrites ci-dessus, les données à caractère personnel relatives aux catégories de personnes suivantes :

- employés (en ce compris les salariés, personnes à charge, ayant droits et référents en cas d'urgence) ;
- clients (en ce compris les titulaires de cartes et membres de la famille de ces derniers, représentants et bénéficiaires effectifs des entreprises clientes, représentants des vendeurs et partenaires, commerçants et leurs agents, bénéficiaires effectifs, voyageurs et leurs représentants, personnes à contacter en cas d'urgence indiqués par les voyageurs).

Sur les destinataires habilités à accéder aux données transférées.
Peuvent seules être habilitées à accéder aux données les entités du groupe American Express juridiquement liées aux BCR « responsable de traitement » du groupe American Express et ayant mis en œuvre les engagements pris au titre de ces BCR, dont la liste à jour a été fournie à la Commission nationale de l'informatique et des libertés, et ce conformément aux BCR « responsable de traitement » du groupe American Express et à leurs annexes.

Sur les informations relatives à chaque transfert.
Les responsables de traitement doivent tenir à disposition des services de la Commission nationale de l'informatique et des libertés une liste (cf. modèle proposé en annexe 1 de la présente délibération) détaillée et à jour des transferts effectués sur la base des BCR « responsable de traitement » du groupe American Express, précisant, pour chaque transfert, les informations suivantes :

- la finalité générale du transfert ;
- la ou les catégories de données à caractère personnel transférées ;
- la ou les catégories de personnes concernées par le transfert ;
- les informations relatives à chaque destinataire des données :
- raison sociale ;
- nom du groupe auquel le destinataire appartient et ayant adopté des BCR « responsable de traitement » ;
- pays d'établissement ;
- catégorie de destinataire (ex : maison-mère, filiale) ; et
- nature du traitement opéré par ce dernier.

Sur les droits d'accès, de rectification et d'opposition des personnes.
Les droits d'accès, de rectification et d'opposition des personnes concernées définis au chapitre V de la loi du 6 janvier 1978 modifiée s'exercent auprès du ou des services que les responsables de traitement auront désignés.

Sur l'information des personnes.
Les responsables de traitement doivent avoir clairement informé les personnes concernées de l'existence de transferts de données vers des pays tiers et des modalités d'exercice de leurs droits d'accès, de rectification et d'opposition, dans les conditions prévues par les dispositions des articles 90 et 91 du décret du 20 octobre 2005 modifié (notamment la finalité du transfert, le pays d'établissement du destinataire des données…).
La présente délibération sera publiée au Journal officiel de la République française.