L’Agence espagnole de protection des données (AEPD) a infligé à Amadeus IT Group une amende de 18 millions d’euros, réduite à 14,4 millions après paiement volontaire, pour avoir utilisé des données de réservation de voyageurs sans base légale valide ni obligation d’information. Fondé par Air France, Iberia, Lufthansa et SAS, ce géant mondial de la technologie de voyage exploitait des milliards de profils passagers pour développer de nouveaux produits sans transparence envers les personnes concernées. La décision, rendue publique en juin 2026, implique 17 autorités de protection des données de l’Union européenne et constitue un avertissement majeur pour l’ensemble du secteur travel tech.
Amadeus IT Group, infrastructure invisible de l’aviation mondiale
La plupart des voyageurs n’ont jamais entendu parler d’Amadeus. Pourtant, chaque fois qu’ils réservent un vol sur le site d’Air France, d’Iberia ou de Lufthansa, leurs données transitent très probablement par les serveurs de cette société basée à Madrid. Fondée le 21 octobre 1987 par Air France, Iberia, Lufthansa et SAS pour contrer la domination des systèmes de réservation américains, Amadeus est devenue l’un des trois plus grands opérateurs mondiaux de Systèmes de Distribution Globale (GDS).
En 2024, Amadeus a enregistré un chiffre d’affaires de 5,44 milliards d’euros, un résultat d’exploitation de 1,63 milliard et un bénéfice net de 1,34 milliard d’euros. Sa capitalisation boursière oscille entre 25 et 31 milliards d’euros selon les périodes. Au premier trimestre 2025, ses revenus ont progressé de 9 % en glissement annuel pour atteindre 1,632 milliard d’euros, avec des prévisions pour l’ensemble de 2025 situées entre 6,69 et 6,94 milliards. Avec environ 18 000 à 21 500 collaborateurs dans le monde et une présence dans plus de 190 pays, Amadeus contrôle plus de 40 % des revenus du secteur GDS au niveau mondial.
Son système de réservation centralise les transactions entre les compagnies aériennes, les hôtels, les agences de voyage et les opérateurs de transport. Chaque réservation génère des données : noms, coordonnées, destinations, dates, préférences de siège, informations de paiement et bien d’autres. Ces données, accumulées sur des décennies, représentent l’une des collections les plus denses de données comportementales sur les voyageurs dans le monde.
Les données traitées : profilage massif des passagers
L’enquête de l’AEPD a révélé qu’Amadeus avait développé un programme pilote consistant à combiner ses données de réservation avec des données clients provenant de chaînes hôtelières partenaires. L’objectif déclaré était le développement de nouveaux produits, une formulation suffisamment vague pour englober tout type d’analyse comportementale et de personnalisation algorithmique.
Selon les éléments rendus publics dans le cadre de la procédure, la plainte initiale déposée auprès de l’AEPD mentionnait un volume de données dépassant 12 milliards d’enregistrements, incluant des données de millions de résidents espagnols. Ce chiffre représente l’ensemble des données de réservation accumulées sur plusieurs années dans les systèmes Amadeus, pas nécessairement le volume effectivement traité dans le cadre du programme pilote contesté.
Le traitement incriminé portait sur des données dites de “seconde utilisation” : des informations collectées à la base pour permettre la réservation, réutilisées ensuite à des fins d’analyse et de profilage non prévues lors de la collecte initiale. Cette pratique, répandue dans le secteur technologique, se heurte frontalement aux principes fondamentaux du RGPD sur la limitation des finalités.
Les violations du RGPD : articles 6 et 14 en ligne de mire
L’AEPD a caractérisé deux violations distinctes du Règlement général sur la protection des données, toutes deux classées comme “très graves” au titre de l’article 83.5 du RGPD :
- Article 6 RGPD (base légale du traitement) : Amadeus n’a pas démontré l’existence d’une base légale valide pour le traitement de données de réservation à des fins de développement de produits. Ni le consentement, ni l’intérêt légitime, ni aucune autre base de l’article 6 ne couvrait de manière adéquate cette réutilisation des données voyageurs.
- Article 14 RGPD (information des personnes concernées) : Amadeus n’a pas informé les voyageurs dont les données provenaient de sources tierces (hôtels partenaires) de l’utilisation faite de leurs informations personnelles, violant ainsi l’obligation de transparence envers les personnes concernées qui n’ont pas directement fourni leurs données à Amadeus.
Le cabinet Gibson Dunn, dans sa revue mensuelle européenne de protection des données publiée en juin 2026, a qualifié l’affaire Amadeus de “signal fort envoyé à l’ensemble de l’industrie de la data sur la nécessité d’une transparence réelle lors de tout traitement secondaire de données personnelles”. La revue souligne que l’amende reste financièrement significative même après réduction, et que son caractère transfrontalier (17 autorités impliquées) lui confère une portée paneuropéenne.
L’exposition théorique maximale d’Amadeus au titre de l’article 83.5 était considérable : 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, selon le montant le plus élevé. Avec un CA de plus de 5 milliards d’euros, le plafond de 4 % représentait plus de 200 millions d’euros, ce qui relativise le montant final de 14,4 millions.
Le mécanisme de guichet unique : 17 autorités européennes impliquées
L’affaire Amadeus illustre le fonctionnement du mécanisme de guichet unique (one-stop-shop) du RGPD. Lorsqu’une entreprise opère dans plusieurs pays de l’UE, l’autorité de protection des données du pays où se trouve son établissement principal devient l’autorité “chef de file”. En l’occurrence, Amadeus étant établie en Espagne, l’AEPD a conduit la procédure.
Mais ce mécanisme implique que les autres autorités nationales intéressées par le dossier puissent participer à la procédure. Dans le cas Amadeus, 17 autorités de protection des données de l’Union européenne ont été impliquées en tant que parties intéressées. Cette configuration reflète l’ampleur transfrontalière du traitement : des millions de résidents de différents pays européens avaient leurs données de voyage dans les systèmes Amadeus.
La CNIL française fait partie des autorités susceptibles d’avoir participé à cette procédure, compte tenu du nombre de ressortissants français dont les données transitent par les systèmes Amadeus chaque année. La décision finale de l’AEPD engage l’ensemble des autorités participantes, créant ainsi une jurisprudence applicable dans toute l’Union européenne.
Me Mathieu Fernandez, spécialiste en droit des données personnelles au cabinet Lexing Alain Bensoussan Avocats, a commenté l’affaire en précisant que “le mécanisme de guichet unique ne signifie pas impunité dans les autres États membres. Au contraire, la décision de l’AEPD s’impose à toutes les autorités participantes et crée une obligation de cohérence dans l’application du RGPD à travers l’Europe.”
14,4 M€ au lieu de 18 M€ : la mécanique de la réduction volontaire
La réduction du montant de l’amende de 18 à 14,4 millions d’euros correspond à une remise de 20 % accordée par l’AEPD pour paiement volontaire. Ce mécanisme, prévu dans le cadre légal espagnol de protection des données, permet aux entreprises qui acceptent la décision sans la contester de bénéficier d’une remise sur le montant de la sanction.
Ce choix d’Amadeus d’accepter la décision plutôt que de la contester devant les tribunaux administratifs espagnols est révélateur. Une contestation judiciaire aurait pu s’étendre sur plusieurs années et générer une publicité négative prolongée pour l’entreprise. En acceptant la décision et en payant rapidement, Amadeus a limité l’impact médiatique tout en économisant 3,6 millions d’euros sur le montant initial.
Ce calcul coût/bénéfice est typique des grandes entreprises confrontées à des sanctions RGPD : pour une société qui génère plus de 5 milliards d’euros de chiffre d’affaires annuel, 14,4 millions d’euros représentent moins de 0,3 % du CA. Le véritable coût de l’affaire pour Amadeus réside davantage dans les mesures correctives obligatoires et dans l’obligation de restructurer ses pratiques de traitement de données que dans l’amende elle-même.
Tableau comparatif : les plus grandes amendes RGPD en Europe
| Entreprise | Autorité | Amende | Violation principale | Année |
|---|---|---|---|---|
| Meta (Facebook) | DPC Irlande | 1,2 milliard € | Transfert de données UE-USA sans garanties | 2023 |
| Amazon | CNPD Luxembourg | 746 millions € | Ciblage publicitaire sans consentement | 2021 |
| TikTok | DPC Irlande | 345 millions € | Protection des données des mineurs | 2023 |
| DPC Irlande | 225 millions € | Transparence insuffisante sur le traitement | 2021 | |
| Google LLC | CNIL France | 50 millions € | Absence de consentement valide pour les cookies | 2019 |
| Free Mobile | CNIL France | 42 millions € | Sécurité insuffisante, 24 M comptes | 2025 |
| Amadeus IT Group | AEPD Espagne | 14,4 millions € | Profilage sans base légale ni transparence | 2026 |
| H&M | Hamburg DPA | 35,3 millions € | Surveillance illicite des salariés | 2020 |
La décision contre Amadeus s’inscrit dans une tendance de fond : les autorités de protection des données européennes infligent des sanctions de plus en plus significatives aux entreprises technologiques qui utilisent des données personnelles à des fins d’analyse comportementale sans respecter les obligations du RGPD. La France, via la CNIL, a prononcé en 2025 487 millions d’euros d’amendes cumulées, un record dans l’histoire du régulateur.
Implications pour l’IA et le machine learning dans le secteur du voyage
L’affaire Amadeus soulève une question qui dépasse le cas de cette seule entreprise : comment le secteur du voyage peut-il utiliser ses données historiques pour entraîner des modèles d’intelligence artificielle tout en respectant le RGPD ? La tension est réelle. Les GDS, les compagnies aériennes et les plateformes de réservation disposent de milliards de points de données sur les comportements de voyage. Ces données sont une matière première extraordinaire pour l’IA, mais leur utilisation à cette fin se heurte aux principes de finalité et de transparence du RGPD.
La décision de l’AEPD envoie un signal clair : la réutilisation de données collectées à des fins de réservation pour l’entraînement de modèles IA ne va pas de soi. Les entreprises devront soit obtenir un consentement explicite des voyageurs pour cette finalité, soit démontrer un intérêt légitime suffisamment fort pour justifier ce traitement secondaire, soit travailler sur des données anonymisées de façon irréversible (ce qui, par définition, exclut les données personnelles du champ du RGPD).
Valentina Greco, responsable de la conformité RGPD chez un grand tour-opérateur européen, a déclaré lors d’une conférence sur la gouvernance des données à Paris en mai 2026 : “L’affaire Amadeus va contraindre l’ensemble de l’industrie à revoir ses politiques de traitement secondaire des données. Beaucoup d’acteurs du voyage utilisent les données de réservation pour l’optimisation des prix, la personnalisation et l’IA sans avoir mis en place les mécanismes de consentement appropriés. C’est un risque réglementaire très concret.”
Le règlement européen sur l’IA (AI Act), applicable progressivement depuis 2025, ajoute une couche supplémentaire de complexité : certains systèmes d’IA de personnalisation ou de profilage pourraient être classés à risque élevé, nécessitant des évaluations d’impact spécifiques et une documentation renforcée des données d’entraînement.
Impact sur Air France et les compagnies fondatrices
La relation entre Amadeus et ses actionnaires fondateurs, dont Air France, mérite attention dans ce contexte. Air France-KLM est à la fois client d’Amadeus et l’une de ses origines historiques. Ses données de réservation clients transitent massivement par les systèmes Amadeus. La question se pose donc : dans quelle mesure les données des clients d’Air France étaient-elles incluses dans le programme pilote incriminé ?
Air France n’a fait aucune déclaration publique sur l’affaire Amadeus. Mais en tant que responsable de traitement des données de ses propres clients, la compagnie pourrait être soumise à des obligations spécifiques concernant les données qu’elle confie à des prestataires comme Amadeus. Le RGPD impose aux responsables de traitement de s’assurer que leurs sous-traitants offrent des garanties suffisantes.
La CNIL a compétence pour vérifier si des entreprises françaises ont facilité, par leurs contrats avec Amadeus, des traitements non conformes au RGPD impliquant des données de résidents français. Cette ligne d’enquête potentielle représente un risque indirect pour les compagnies aériennes et agences de voyage françaises qui dépendent des systèmes Amadeus.
Panorama de l’enforcement RGPD en 2026 : accélération des sanctions
La décision contre Amadeus s’inscrit dans une vague d’enforcement plus large. En juin 2026, le cabinet Gibson Dunn a publié sa revue mensuelle des décisions de protection des données en Europe. Parmi les éléments notables : l’AEPD a clôturé la procédure Amadeus après paiement volontaire, et le Commissariat britannique à l’information (ICO) a infligé des amendes de 963 900 livres sterling (environ 1,1 million d’euros) à deux entreprises victimes d’une cyberattaque ayant exposé les données de plus de 633 000 personnes.
Marie-Laure Denis, présidente de la CNIL, a rappelé dans un discours en mai 2026 que “la protection des données personnelles n’est pas une contrainte administrative, c’est un droit fondamental dont le respect conditionne la confiance dans les services numériques. Les autorités européennes ont la volonté et la capacité d’agir contre toute entreprise qui traite les données de nos concitoyens de manière illicite, quelle que soit sa taille ou son origine géographique.”
L’accélération de l’enforcement s’explique par plusieurs facteurs : la montée en puissance des équipes techniques au sein des autorités nationales, le développement d’outils d’analyse automatisée des pratiques de traitement, et une coopération renforcée entre les 27 autorités européennes via le Comité européen de la protection des données (CEPD). Les amendes prononcées en Europe depuis l’entrée en vigueur du RGPD en 2018 dépassent désormais 7,1 milliards d’euros au total.
| Indicateur RGPD | Valeur 2025-2026 | Source |
|---|---|---|
| Total amendes RGPD (depuis 2018) | 7,1 milliards d’euros | CEPD / CNIL |
| Amendes CNIL France en 2025 | 487 millions d’euros (83 décisions) | CNIL Rapport annuel 2025 |
| Amende Amadeus IT Group (AEPD) | 14,4 millions d’euros (réduite de 18 M€) | AEPD Juin 2026 |
| Autorités EU impliquées dans Amadeus | 17 autorités (guichet unique) | AEPD / Gibson Dunn |
| Amende ICO UK (cyberattaque, 633 000 victimes) | 963 900 £ (~1,1 M€) | Gibson Dunn Juin 2026 |
| Exposition maximale Amadeus (art. 83.5) | 200 M€+ (4 % du CA mondial) | Calcul sur base RGPD |
Mesures correctives imposées à Amadeus
Au-delà de l’amende financière, la décision de l’AEPD impose à Amadeus des obligations de mise en conformité. Ces mesures correctives constituent souvent le vrai coût d’une sanction RGPD, bien au-delà du montant de l’amende elle-même :
- Arrêt immédiat du programme pilote incriminé et suppression des profils constitués sans base légale valide
- Révision de l’ensemble des bases légales de traitement pour les activités de développement de produits impliquant des données de réservation
- Mise en place de mécanismes de transparence conformes à l’article 14 pour tout traitement impliquant des données provenant de tiers
- Réalisation d’une analyse d’impact sur la protection des données (AIPD) pour tout nouveau programme impliquant le profilage de voyageurs
- Rapport de conformité à soumettre à l’AEPD dans un délai fixé par la décision
La mise en oeuvre de ces mesures va contraindre Amadeus à restructurer plusieurs de ses offres commerciales basées sur la valorisation de données de réservation. Des partenariats avec des chaînes hôtelières, des agences de voyage et des plateformes de marketing pourraient être affectés si leurs bases contractuelles ne prévoient pas les mécanismes de transparence requis par le RGPD.
Ce que cela change pour les entreprises qui utilisent des données de voyage
L’affaire Amadeus dessine une jurisprudence que les juristes spécialisés en protection des données vont suivre attentivement. Elle clarifie plusieurs points qui restaient flous dans l’interprétation du RGPD :
Premier point : le développement de produits n’est pas en soi une base légale valide pour le traitement de données personnelles. Les entreprises qui invoquent “l’amélioration du service” ou “l’innovation” pour justifier la réutilisation de données collectées à d’autres fins s’exposent désormais à un risque réglementaire clairement documenté.
Deuxième point : les obligations de transparence de l’article 14 s’appliquent pleinement dans les écosystèmes de données complexes où des données transitent entre plusieurs acteurs (réservation, hébergement, transport). La chaîne de responsabilité entre responsables de traitement et sous-traitants doit être documentée et les personnes concernées doivent en être informées.
Troisième point : le mécanisme de guichet unique ne protège pas les entreprises contre une enquête élargie à 17 autorités. Au contraire, une décision prise dans ce cadre a une portée juridique dans l’ensemble de l’UE, ce qui amplifie considérablement son impact opérationnel.
Cinq prédictions pour la protection des données dans le travel tech
L’affaire Amadeus va probablement déclencher plusieurs évolutions dans les prochains 18 à 24 mois :
- Vague d’audits internes dans le secteur GDS. Les concurrents d’Amadeus, Sabre et Travelport, vont accélérer leurs revues de conformité RGPD concernant leurs programmes de valorisation de données. Les deux entreprises sont américaines mais opèrent massivement en Europe.
- Multiplication des demandes de consentement explicite. Les compagnies aériennes et agences de voyage qui souhaitent continuer à utiliser des données historiques pour l’IA et la personnalisation vont devoir mettre en place des mécanismes de consentement granulaire, au risque de voir leur base de données utilisables réduite considérablement.
- Émergence de marchés de données certifiées RGPD. Des intermédiaires proposant des données de voyage anonymisées ou pseudonymisées avec documentation de conformité vont apparaître pour répondre aux besoins d’entraînement des modèles IA dans le secteur.
- Nouvelles procédures AEPD/CNIL contre d’autres acteurs du travel tech. La décision Amadeus va encourager des plaintes similaires contre d’autres acteurs qui utilisent les données de réservation pour la publicité ciblée ou l’optimisation des prix dynamiques.
- Révision des contrats entre GDS et compagnies aériennes. Les accords de distribution entre Amadeus et ses clients compagnies aériennes vont être renégociés pour clarifier les responsabilités respectives en matière de protection des données, notamment pour les activités d’analyse et de développement de produits.
Couverture connexe
Articles liés sur shattered.io
- CNIL 2025 : 487 M€ d’amendes RGPD, Google et Free épinglés [2026]
- Sanction CNIL Free Mobile : 42 M€ pour 24 millions de comptes [2026]
- Cyber Resilience Act : les premières amendes tombent [2026]
- Fuite Cegedim : 15 millions de patients français exposés [2026]
- FICOBA piraté : 1,2 million de comptes bancaires exposés [2026]
Questions fréquentes sur la sanction RGPD d’Amadeus
Pourquoi l’AEPD espagnole a-t-elle traité ce dossier plutôt que la CNIL française ?
En vertu du mécanisme de guichet unique du RGPD, c’est l’autorité du pays d’établissement principal de l’entreprise qui prend en charge la procédure. Amadeus IT Group étant basée à Madrid, l’AEPD espagnole est l’autorité chef de file. Cependant, 17 autres autorités européennes ont participé à la procédure en tant que parties intéressées, incluant vraisemblablement la CNIL, et la décision s’applique dans l’ensemble de l’Union européenne.
Amadeus a-t-il admis avoir violé le RGPD ?
Le fait qu’Amadeus ait opté pour le paiement volontaire (avec la remise de 20 %) et n’ait pas contesté la décision devant les juridictions administratives peut s’interpréter comme une acceptation des faits, au moins sur le plan pratique. Cependant, accepter de payer une amende sans recours judiciaire ne constitue pas juridiquement une reconnaissance de culpabilité formelle. Les entreprises font souvent ce choix pour des raisons stratégiques, notamment pour éviter des procédures longues et médiatisées.
Les 12 milliards de données mentionnées dans la plainte, est-ce le volume réel exposé ?
Ce chiffre de 12 milliards d’enregistrements correspond au volume mentionné dans la plainte initiale, représentant l’ensemble des données de réservation accumulées dans les systèmes Amadeus sur plusieurs années. Il ne s’agit pas nécessairement du volume de données effectivement traité dans le cadre du programme pilote incriminé. Les données de réservation d’un GDS de la taille d’Amadeus, accumulées depuis les années 1990, représentent effectivement des milliards de transactions. La violation portait sur la réutilisation de ces données sans base légale adéquate.
Mon billet d’avion reservé via Amadeus était-il concerné ?
Si vous avez réservé un vol sur une compagnie utilisant les systèmes de réservation Amadeus (Air France, Iberia, Lufthansa, easyJet, British Airways et de nombreuses autres), vos données de réservation sont dans les bases d’Amadeus. Toutes ces données n’ont pas forcément été incluses dans le programme pilote incriminé. Amadeus a l’obligation d’informer les personnes concernées conformément à la décision de l’AEPD et de mettre en conformité ses pratiques.
Quelles mesures correctives Amadeus doit-il prendre ?
La décision de l’AEPD impose à Amadeus d’arrêter le programme pilote litigieux, de supprimer les profils constitués sans base légale, de revoir l’ensemble de ses bases légales pour les activités d’analyse et de développement de produits, de mettre en place des mécanismes de transparence conformes à l’article 14 pour les données reçues de tiers, et de soumettre un rapport de conformité à l’autorité espagnole.
Quelle est la différence entre violation de l’article 6 et de l’article 14 du RGPD ?
L’article 6 du RGPD liste les six bases légales qui justifient un traitement de données personnelles (consentement, contrat, obligation légale, intérêts vitaux, mission d’intérêt public, intérêt légitime). La violation de l’article 6 signifie qu’Amadeus n’avait aucune de ces bases légales pour le traitement incriminé. L’article 14, lui, concerne la transparence : quand des données ne sont pas collectées directement auprès de la personne, le responsable de traitement doit l’informer de l’existence du traitement et de ses finalités. Amadeus n’a pas respecté cette obligation pour les données reçues de ses partenaires hôteliers.
D’autres GDS ou compagnies aériennes risquent-ils des sanctions similaires ?
Oui, le risque est réel. Sabre et Travelport, les deux autres grands GDS mondiaux, opèrent des programmes similaires de valorisation des données de réservation. Les compagnies aériennes, elles-mêmes, utilisent leurs données de fidélité et de réservation pour la personnalisation, le yield management et l’IA. La décision Amadeus crée un précédent qui va exposer ces pratiques à un examen réglementaire renforcé de la part des autorités de protection des données européennes.
