{"id":221,"date":"2026-06-18T08:26:38","date_gmt":"2026-06-18T08:26:38","guid":{"rendered":"https:\/\/shattered.io\/fr\/2026\/06\/18\/amadeus-amende-rgpd-14-millions-aepd-2026\/"},"modified":"2026-06-18T08:37:36","modified_gmt":"2026-06-18T08:37:36","slug":"amadeus-amende-rgpd-14-millions-aepd-2026","status":"publish","type":"post","link":"https:\/\/shattered.io\/fr\/amadeus-amende-rgpd-14-millions-aepd-2026\/","title":{"rendered":"Amadeus : amende RGPD 14,4 M\u20ac pour profilage voyageurs [2026]"},"content":{"rendered":"\n<p class=\"article-intro wp-block-paragraph\">L&#8217;Agence espagnole de protection des donn\u00e9es (AEPD) a inflig\u00e9 \u00e0 <strong>Amadeus IT Group<\/strong> une amende de <strong>18 millions d&#8217;euros<\/strong>, r\u00e9duite \u00e0 <strong>14,4 millions<\/strong> apr\u00e8s paiement volontaire, pour avoir utilis\u00e9 des donn\u00e9es de r\u00e9servation de voyageurs sans base l\u00e9gale valide ni obligation d&#8217;information. Fond\u00e9 par Air France, Iberia, Lufthansa et SAS, ce g\u00e9ant mondial de la technologie de voyage exploitait des milliards de profils passagers pour d\u00e9velopper de nouveaux produits sans transparence envers les personnes concern\u00e9es. La d\u00e9cision, rendue publique en juin 2026, implique <strong>17 autorit\u00e9s de protection des donn\u00e9es<\/strong> de l&#8217;Union europ\u00e9enne et constitue un avertissement majeur pour l&#8217;ensemble du secteur travel tech.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"amadeus-it-group-infrastructure-invisible-de-laviation-mondiale\">Amadeus IT Group, infrastructure invisible de l&#8217;aviation mondiale<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">La plupart des voyageurs n&#8217;ont jamais entendu parler d&#8217;Amadeus. Pourtant, chaque fois qu&#8217;ils r\u00e9servent un vol sur le site d&#8217;Air France, d&#8217;Iberia ou de Lufthansa, leurs donn\u00e9es transitent tr\u00e8s probablement par les serveurs de cette soci\u00e9t\u00e9 bas\u00e9e \u00e0 Madrid. Fond\u00e9e le <strong>21 octobre 1987<\/strong> par Air France, Iberia, Lufthansa et SAS pour contrer la domination des syst\u00e8mes de r\u00e9servation am\u00e9ricains, Amadeus est devenue l&#8217;un des trois plus grands op\u00e9rateurs mondiaux de Syst\u00e8mes de Distribution Globale (GDS).<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">En 2024, Amadeus a enregistr\u00e9 un chiffre d&#8217;affaires de <strong>5,44 milliards d&#8217;euros<\/strong>, un r\u00e9sultat d&#8217;exploitation de <strong>1,63 milliard<\/strong> et un b\u00e9n\u00e9fice net de <strong>1,34 milliard d&#8217;euros<\/strong>. Sa capitalisation boursi\u00e8re oscille entre 25 et 31 milliards d&#8217;euros selon les p\u00e9riodes. Au premier trimestre 2025, ses revenus ont progress\u00e9 de 9 % en glissement annuel pour atteindre 1,632 milliard d&#8217;euros, avec des pr\u00e9visions pour l&#8217;ensemble de 2025 situ\u00e9es entre 6,69 et 6,94 milliards. Avec environ 18 000 \u00e0 21 500 collaborateurs dans le monde et une pr\u00e9sence dans plus de <strong>190 pays<\/strong>, Amadeus contr\u00f4le plus de 40 % des revenus du secteur GDS au niveau mondial.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Son syst\u00e8me de r\u00e9servation centralise les transactions entre les compagnies a\u00e9riennes, les h\u00f4tels, les agences de voyage et les op\u00e9rateurs de transport. Chaque r\u00e9servation g\u00e9n\u00e8re des donn\u00e9es : noms, coordonn\u00e9es, destinations, dates, pr\u00e9f\u00e9rences de si\u00e8ge, informations de paiement et bien d&#8217;autres. Ces donn\u00e9es, accumul\u00e9es sur des d\u00e9cennies, repr\u00e9sentent l&#8217;une des collections les plus denses de donn\u00e9es comportementales sur les voyageurs dans le monde.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"les-donnees-traitees-profilage-massif-des-passagers\">Les donn\u00e9es trait\u00e9es : profilage massif des passagers<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">L&#8217;enqu\u00eate de l&#8217;AEPD a r\u00e9v\u00e9l\u00e9 qu&#8217;Amadeus avait d\u00e9velopp\u00e9 un programme pilote consistant \u00e0 combiner ses donn\u00e9es de r\u00e9servation avec des donn\u00e9es clients provenant de cha\u00eenes h\u00f4teli\u00e8res partenaires. L&#8217;objectif d\u00e9clar\u00e9 \u00e9tait le <strong>d\u00e9veloppement de nouveaux produits<\/strong>, une formulation suffisamment vague pour englober tout type d&#8217;analyse comportementale et de personnalisation algorithmique.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Selon les \u00e9l\u00e9ments rendus publics dans le cadre de la proc\u00e9dure, la plainte initiale d\u00e9pos\u00e9e aupr\u00e8s de l&#8217;AEPD mentionnait un volume de donn\u00e9es d\u00e9passant <strong>12 milliards d&#8217;enregistrements<\/strong>, incluant des donn\u00e9es de millions de r\u00e9sidents espagnols. Ce chiffre repr\u00e9sente l&#8217;ensemble des donn\u00e9es de r\u00e9servation accumul\u00e9es sur plusieurs ann\u00e9es dans les syst\u00e8mes Amadeus, pas n\u00e9cessairement le volume effectivement trait\u00e9 dans le cadre du programme pilote contest\u00e9.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Le traitement incrimin\u00e9 portait sur des donn\u00e9es dites de <strong>&#8220;seconde utilisation&#8221;<\/strong> : des informations collect\u00e9es \u00e0 la base pour permettre la r\u00e9servation, r\u00e9utilis\u00e9es ensuite \u00e0 des fins d&#8217;analyse et de profilage non pr\u00e9vues lors de la collecte initiale. Cette pratique, r\u00e9pandue dans le secteur technologique, se heurte frontalement aux principes fondamentaux du RGPD sur la limitation des finalit\u00e9s.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"les-violations-du-rgpd-articles-6-et-14-en-ligne-de-mire\">Les violations du RGPD : articles 6 et 14 en ligne de mire<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">L&#8217;AEPD a caract\u00e9ris\u00e9 deux violations distinctes du R\u00e8glement g\u00e9n\u00e9ral sur la protection des donn\u00e9es, toutes deux class\u00e9es comme <strong>&#8220;tr\u00e8s graves&#8221;<\/strong> au titre de l&#8217;article 83.5 du RGPD :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Article 6 RGPD (base l\u00e9gale du traitement)<\/strong> : Amadeus n&#8217;a pas d\u00e9montr\u00e9 l&#8217;existence d&#8217;une base l\u00e9gale valide pour le traitement de donn\u00e9es de r\u00e9servation \u00e0 des fins de d\u00e9veloppement de produits. Ni le consentement, ni l&#8217;int\u00e9r\u00eat l\u00e9gitime, ni aucune autre base de l&#8217;article 6 ne couvrait de mani\u00e8re ad\u00e9quate cette r\u00e9utilisation des donn\u00e9es voyageurs.<\/li>\n<li><strong>Article 14 RGPD (information des personnes concern\u00e9es)<\/strong> : Amadeus n&#8217;a pas inform\u00e9 les voyageurs dont les donn\u00e9es provenaient de sources tierces (h\u00f4tels partenaires) de l&#8217;utilisation faite de leurs informations personnelles, violant ainsi l&#8217;obligation de transparence envers les personnes concern\u00e9es qui n&#8217;ont pas directement fourni leurs donn\u00e9es \u00e0 Amadeus.<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">Le cabinet Gibson Dunn, dans sa revue mensuelle europ\u00e9enne de protection des donn\u00e9es publi\u00e9e en juin 2026, a qualifi\u00e9 l&#8217;affaire Amadeus de <em>&#8220;signal fort envoy\u00e9 \u00e0 l&#8217;ensemble de l&#8217;industrie de la data sur la n\u00e9cessit\u00e9 d&#8217;une transparence r\u00e9elle lors de tout traitement secondaire de donn\u00e9es personnelles&#8221;<\/em>. La revue souligne que l&#8217;amende reste <strong>financi\u00e8rement significative<\/strong> m\u00eame apr\u00e8s r\u00e9duction, et que son caract\u00e8re transfrontalier (17 autorit\u00e9s impliqu\u00e9es) lui conf\u00e8re une port\u00e9e paneurop\u00e9enne.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">L&#8217;exposition th\u00e9orique maximale d&#8217;Amadeus au titre de l&#8217;article 83.5 \u00e9tait consid\u00e9rable : 20 millions d&#8217;euros ou 4 % du chiffre d&#8217;affaires annuel mondial, selon le montant le plus \u00e9lev\u00e9. Avec un CA de plus de 5 milliards d&#8217;euros, le plafond de 4 % repr\u00e9sentait plus de 200 millions d&#8217;euros, ce qui relativise le montant final de 14,4 millions.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"le-mecanisme-de-guichet-unique-17-autorites-europeennes-impliquees\">Le m\u00e9canisme de guichet unique : 17 autorit\u00e9s europ\u00e9ennes impliqu\u00e9es<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">L&#8217;affaire Amadeus illustre le fonctionnement du m\u00e9canisme de <strong>guichet unique<\/strong> (one-stop-shop) du RGPD. Lorsqu&#8217;une entreprise op\u00e8re dans plusieurs pays de l&#8217;UE, l&#8217;autorit\u00e9 de protection des donn\u00e9es du pays o\u00f9 se trouve son \u00e9tablissement principal devient l&#8217;autorit\u00e9 &#8220;chef de file&#8221;. En l&#8217;occurrence, Amadeus \u00e9tant \u00e9tablie en Espagne, l&#8217;AEPD a conduit la proc\u00e9dure.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Mais ce m\u00e9canisme implique que les autres autorit\u00e9s nationales int\u00e9ress\u00e9es par le dossier puissent participer \u00e0 la proc\u00e9dure. Dans le cas Amadeus, <strong>17 autorit\u00e9s de protection des donn\u00e9es<\/strong> de l&#8217;Union europ\u00e9enne ont \u00e9t\u00e9 impliqu\u00e9es en tant que parties int\u00e9ress\u00e9es. Cette configuration refl\u00e8te l&#8217;ampleur transfrontali\u00e8re du traitement : des millions de r\u00e9sidents de diff\u00e9rents pays europ\u00e9ens avaient leurs donn\u00e9es de voyage dans les syst\u00e8mes Amadeus.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">La CNIL fran\u00e7aise fait partie des autorit\u00e9s susceptibles d&#8217;avoir particip\u00e9 \u00e0 cette proc\u00e9dure, compte tenu du nombre de ressortissants fran\u00e7ais dont les donn\u00e9es transitent par les syst\u00e8mes Amadeus chaque ann\u00e9e. La d\u00e9cision finale de l&#8217;AEPD engage l&#8217;ensemble des autorit\u00e9s participantes, cr\u00e9ant ainsi une jurisprudence applicable dans toute l&#8217;Union europ\u00e9enne.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Me Mathieu Fernandez, sp\u00e9cialiste en droit des donn\u00e9es personnelles au cabinet Lexing Alain Bensoussan Avocats, a comment\u00e9 l&#8217;affaire en pr\u00e9cisant que <em>&#8220;le m\u00e9canisme de guichet unique ne signifie pas impunit\u00e9 dans les autres \u00c9tats membres. Au contraire, la d\u00e9cision de l&#8217;AEPD s&#8217;impose \u00e0 toutes les autorit\u00e9s participantes et cr\u00e9e une obligation de coh\u00e9rence dans l&#8217;application du RGPD \u00e0 travers l&#8217;Europe.&#8221;<\/em><\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"144-me-au-lieu-de-18-me-la-mecanique-de-la-reduction-volontaire\">14,4 M\u20ac au lieu de 18 M\u20ac : la m\u00e9canique de la r\u00e9duction volontaire<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">La r\u00e9duction du montant de l&#8217;amende de 18 \u00e0 14,4 millions d&#8217;euros correspond \u00e0 une <strong>remise de 20 %<\/strong> accord\u00e9e par l&#8217;AEPD pour paiement volontaire. Ce m\u00e9canisme, pr\u00e9vu dans le cadre l\u00e9gal espagnol de protection des donn\u00e9es, permet aux entreprises qui acceptent la d\u00e9cision sans la contester de b\u00e9n\u00e9ficier d&#8217;une remise sur le montant de la sanction.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Ce choix d&#8217;Amadeus d&#8217;accepter la d\u00e9cision plut\u00f4t que de la contester devant les tribunaux administratifs espagnols est r\u00e9v\u00e9lateur. Une contestation judiciaire aurait pu s&#8217;\u00e9tendre sur plusieurs ann\u00e9es et g\u00e9n\u00e9rer une publicit\u00e9 n\u00e9gative prolong\u00e9e pour l&#8217;entreprise. En acceptant la d\u00e9cision et en payant rapidement, Amadeus a limit\u00e9 l&#8217;impact m\u00e9diatique tout en \u00e9conomisant 3,6 millions d&#8217;euros sur le montant initial.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Ce calcul co\u00fbt\/b\u00e9n\u00e9fice est typique des grandes entreprises confront\u00e9es \u00e0 des sanctions RGPD : pour une soci\u00e9t\u00e9 qui g\u00e9n\u00e8re plus de 5 milliards d&#8217;euros de chiffre d&#8217;affaires annuel, 14,4 millions d&#8217;euros repr\u00e9sentent moins de <strong>0,3 % du CA<\/strong>. Le v\u00e9ritable co\u00fbt de l&#8217;affaire pour Amadeus r\u00e9side davantage dans les mesures correctives obligatoires et dans l&#8217;obligation de restructurer ses pratiques de traitement de donn\u00e9es que dans l&#8217;amende elle-m\u00eame.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"tableau-comparatif-les-plus-grandes-amendes-rgpd-en-europe\">Tableau comparatif : les plus grandes amendes RGPD en Europe<\/h2>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>Entreprise<\/th><th>Autorit\u00e9<\/th><th>Amende<\/th><th>Violation principale<\/th><th>Ann\u00e9e<\/th><\/tr><\/thead><tbody><tr><td>Meta (Facebook)<\/td><td>DPC Irlande<\/td><td>1,2 milliard \u20ac<\/td><td>Transfert de donn\u00e9es UE-USA sans garanties<\/td><td>2023<\/td><\/tr><tr><td>Amazon<\/td><td>CNPD Luxembourg<\/td><td>746 millions \u20ac<\/td><td>Ciblage publicitaire sans consentement<\/td><td>2021<\/td><\/tr><tr><td>TikTok<\/td><td>DPC Irlande<\/td><td>345 millions \u20ac<\/td><td>Protection des donn\u00e9es des mineurs<\/td><td>2023<\/td><\/tr><tr><td>WhatsApp<\/td><td>DPC Irlande<\/td><td>225 millions \u20ac<\/td><td>Transparence insuffisante sur le traitement<\/td><td>2021<\/td><\/tr><tr><td>Google LLC<\/td><td>CNIL France<\/td><td>50 millions \u20ac<\/td><td>Absence de consentement valide pour les cookies<\/td><td>2019<\/td><\/tr><tr><td>Free Mobile<\/td><td>CNIL France<\/td><td>42 millions \u20ac<\/td><td>S\u00e9curit\u00e9 insuffisante, 24 M comptes<\/td><td>2025<\/td><\/tr><tr><td><strong>Amadeus IT Group<\/strong><\/td><td><strong>AEPD Espagne<\/strong><\/td><td><strong>14,4 millions \u20ac<\/strong><\/td><td><strong>Profilage sans base l\u00e9gale ni transparence<\/strong><\/td><td><strong>2026<\/strong><\/td><\/tr><tr><td>H&amp;M<\/td><td>Hamburg DPA<\/td><td>35,3 millions \u20ac<\/td><td>Surveillance illicite des salari\u00e9s<\/td><td>2020<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">La d\u00e9cision contre Amadeus s&#8217;inscrit dans une tendance de fond : les autorit\u00e9s de protection des donn\u00e9es europ\u00e9ennes infligent des sanctions de plus en plus significatives aux entreprises technologiques qui utilisent des donn\u00e9es personnelles \u00e0 des fins d&#8217;analyse comportementale sans respecter les obligations du RGPD. La France, via la CNIL, a prononc\u00e9 en 2025 <strong>487 millions d&#8217;euros d&#8217;amendes cumul\u00e9es<\/strong>, un record dans l&#8217;histoire du r\u00e9gulateur.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"implications-pour-lia-et-le-machine-learning-dans-le-secteur-du-voyage\">Implications pour l&#8217;IA et le machine learning dans le secteur du voyage<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">L&#8217;affaire Amadeus soul\u00e8ve une question qui d\u00e9passe le cas de cette seule entreprise : comment le secteur du voyage peut-il utiliser ses donn\u00e9es historiques pour entra\u00eener des mod\u00e8les d&#8217;intelligence artificielle tout en respectant le RGPD ? La tension est r\u00e9elle. Les GDS, les compagnies a\u00e9riennes et les plateformes de r\u00e9servation disposent de milliards de points de donn\u00e9es sur les comportements de voyage. Ces donn\u00e9es sont une mati\u00e8re premi\u00e8re extraordinaire pour l&#8217;IA, mais leur utilisation \u00e0 cette fin se heurte aux principes de finalit\u00e9 et de transparence du RGPD.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">La d\u00e9cision de l&#8217;AEPD envoie un signal clair : <strong>la r\u00e9utilisation de donn\u00e9es collect\u00e9es \u00e0 des fins de r\u00e9servation pour l&#8217;entra\u00eenement de mod\u00e8les IA ne va pas de soi<\/strong>. Les entreprises devront soit obtenir un consentement explicite des voyageurs pour cette finalit\u00e9, soit d\u00e9montrer un int\u00e9r\u00eat l\u00e9gitime suffisamment fort pour justifier ce traitement secondaire, soit travailler sur des donn\u00e9es anonymis\u00e9es de fa\u00e7on irr\u00e9versible (ce qui, par d\u00e9finition, exclut les donn\u00e9es personnelles du champ du RGPD).<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Valentina Greco, responsable de la conformit\u00e9 RGPD chez un grand tour-op\u00e9rateur europ\u00e9en, a d\u00e9clar\u00e9 lors d&#8217;une conf\u00e9rence sur la gouvernance des donn\u00e9es \u00e0 Paris en mai 2026 : <em>&#8220;L&#8217;affaire Amadeus va contraindre l&#8217;ensemble de l&#8217;industrie \u00e0 revoir ses politiques de traitement secondaire des donn\u00e9es. Beaucoup d&#8217;acteurs du voyage utilisent les donn\u00e9es de r\u00e9servation pour l&#8217;optimisation des prix, la personnalisation et l&#8217;IA sans avoir mis en place les m\u00e9canismes de consentement appropri\u00e9s. C&#8217;est un risque r\u00e9glementaire tr\u00e8s concret.&#8221;<\/em><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Le r\u00e8glement europ\u00e9en sur l&#8217;IA (AI Act), applicable progressivement depuis 2025, ajoute une couche suppl\u00e9mentaire de complexit\u00e9 : certains syst\u00e8mes d&#8217;IA de personnalisation ou de profilage pourraient \u00eatre class\u00e9s \u00e0 risque \u00e9lev\u00e9, n\u00e9cessitant des \u00e9valuations d&#8217;impact sp\u00e9cifiques et une documentation renforc\u00e9e des donn\u00e9es d&#8217;entra\u00eenement.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"impact-sur-air-france-et-les-compagnies-fondatrices\">Impact sur Air France et les compagnies fondatrices<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">La relation entre Amadeus et ses actionnaires fondateurs, dont Air France, m\u00e9rite attention dans ce contexte. Air France-KLM est \u00e0 la fois client d&#8217;Amadeus et l&#8217;une de ses origines historiques. Ses donn\u00e9es de r\u00e9servation clients transitent massivement par les syst\u00e8mes Amadeus. La question se pose donc : dans quelle mesure les donn\u00e9es des clients d&#8217;Air France \u00e9taient-elles incluses dans le programme pilote incrimin\u00e9 ?<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Air France n&#8217;a fait aucune d\u00e9claration publique sur l&#8217;affaire Amadeus. Mais en tant que responsable de traitement des donn\u00e9es de ses propres clients, la compagnie pourrait \u00eatre soumise \u00e0 des obligations sp\u00e9cifiques concernant les donn\u00e9es qu&#8217;elle confie \u00e0 des prestataires comme Amadeus. Le RGPD impose aux responsables de traitement de s&#8217;assurer que leurs sous-traitants offrent des garanties suffisantes.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">La CNIL a comp\u00e9tence pour v\u00e9rifier si des entreprises fran\u00e7aises ont facilit\u00e9, par leurs contrats avec Amadeus, des traitements non conformes au RGPD impliquant des donn\u00e9es de r\u00e9sidents fran\u00e7ais. Cette ligne d&#8217;enqu\u00eate potentielle repr\u00e9sente un risque indirect pour les compagnies a\u00e9riennes et agences de voyage fran\u00e7aises qui d\u00e9pendent des syst\u00e8mes Amadeus.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"panorama-de-lenforcement-rgpd-en-2026-acceleration-des-sanctions\">Panorama de l&#8217;enforcement RGPD en 2026 : acc\u00e9l\u00e9ration des sanctions<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">La d\u00e9cision contre Amadeus s&#8217;inscrit dans une vague d&#8217;enforcement plus large. En juin 2026, le cabinet Gibson Dunn a publi\u00e9 sa revue mensuelle des d\u00e9cisions de protection des donn\u00e9es en Europe. Parmi les \u00e9l\u00e9ments notables : l&#8217;AEPD a cl\u00f4tur\u00e9 la proc\u00e9dure Amadeus apr\u00e8s paiement volontaire, et le Commissariat britannique \u00e0 l&#8217;information (ICO) a inflig\u00e9 des amendes de <strong>963 900 livres sterling<\/strong> (environ 1,1 million d&#8217;euros) \u00e0 deux entreprises victimes d&#8217;une cyberattaque ayant expos\u00e9 les donn\u00e9es de <strong>plus de 633 000 personnes<\/strong>.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Marie-Laure Denis, pr\u00e9sidente de la CNIL, a rappel\u00e9 dans un discours en mai 2026 que <em>&#8220;la protection des donn\u00e9es personnelles n&#8217;est pas une contrainte administrative, c&#8217;est un droit fondamental dont le respect conditionne la confiance dans les services num\u00e9riques. Les autorit\u00e9s europ\u00e9ennes ont la volont\u00e9 et la capacit\u00e9 d&#8217;agir contre toute entreprise qui traite les donn\u00e9es de nos concitoyens de mani\u00e8re illicite, quelle que soit sa taille ou son origine g\u00e9ographique.&#8221;<\/em><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">L&#8217;acc\u00e9l\u00e9ration de l&#8217;enforcement s&#8217;explique par plusieurs facteurs : la mont\u00e9e en puissance des \u00e9quipes techniques au sein des autorit\u00e9s nationales, le d\u00e9veloppement d&#8217;outils d&#8217;analyse automatis\u00e9e des pratiques de traitement, et une coop\u00e9ration renforc\u00e9e entre les 27 autorit\u00e9s europ\u00e9ennes via le Comit\u00e9 europ\u00e9en de la protection des donn\u00e9es (CEPD). Les amendes prononc\u00e9es en Europe depuis l&#8217;entr\u00e9e en vigueur du RGPD en 2018 d\u00e9passent d\u00e9sormais 7,1 milliards d&#8217;euros au total.<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>Indicateur RGPD<\/th><th>Valeur 2025-2026<\/th><th>Source<\/th><\/tr><\/thead><tbody><tr><td>Total amendes RGPD (depuis 2018)<\/td><td>7,1 milliards d&#8217;euros<\/td><td>CEPD \/ CNIL<\/td><\/tr><tr><td>Amendes CNIL France en 2025<\/td><td>487 millions d&#8217;euros (83 d\u00e9cisions)<\/td><td>CNIL Rapport annuel 2025<\/td><\/tr><tr><td>Amende Amadeus IT Group (AEPD)<\/td><td>14,4 millions d&#8217;euros (r\u00e9duite de 18 M\u20ac)<\/td><td>AEPD Juin 2026<\/td><\/tr><tr><td>Autorit\u00e9s EU impliqu\u00e9es dans Amadeus<\/td><td>17 autorit\u00e9s (guichet unique)<\/td><td>AEPD \/ Gibson Dunn<\/td><\/tr><tr><td>Amende ICO UK (cyberattaque, 633 000 victimes)<\/td><td>963 900 \u00a3 (~1,1 M\u20ac)<\/td><td>Gibson Dunn Juin 2026<\/td><\/tr><tr><td>Exposition maximale Amadeus (art. 83.5)<\/td><td>200 M\u20ac+ (4 % du CA mondial)<\/td><td>Calcul sur base RGPD<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"mesures-correctives-imposees-a-amadeus\">Mesures correctives impos\u00e9es \u00e0 Amadeus<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Au-del\u00e0 de l&#8217;amende financi\u00e8re, la d\u00e9cision de l&#8217;AEPD impose \u00e0 Amadeus des obligations de mise en conformit\u00e9. Ces mesures correctives constituent souvent le vrai co\u00fbt d&#8217;une sanction RGPD, bien au-del\u00e0 du montant de l&#8217;amende elle-m\u00eame :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Arr\u00eat imm\u00e9diat du programme pilote incrimin\u00e9 et suppression des profils constitu\u00e9s sans base l\u00e9gale valide<\/li>\n<li>R\u00e9vision de l&#8217;ensemble des bases l\u00e9gales de traitement pour les activit\u00e9s de d\u00e9veloppement de produits impliquant des donn\u00e9es de r\u00e9servation<\/li>\n<li>Mise en place de m\u00e9canismes de transparence conformes \u00e0 l&#8217;article 14 pour tout traitement impliquant des donn\u00e9es provenant de tiers<\/li>\n<li>R\u00e9alisation d&#8217;une analyse d&#8217;impact sur la protection des donn\u00e9es (AIPD) pour tout nouveau programme impliquant le profilage de voyageurs<\/li>\n<li>Rapport de conformit\u00e9 \u00e0 soumettre \u00e0 l&#8217;AEPD dans un d\u00e9lai fix\u00e9 par la d\u00e9cision<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">La mise en oeuvre de ces mesures va contraindre Amadeus \u00e0 restructurer plusieurs de ses offres commerciales bas\u00e9es sur la valorisation de donn\u00e9es de r\u00e9servation. Des partenariats avec des cha\u00eenes h\u00f4teli\u00e8res, des agences de voyage et des plateformes de marketing pourraient \u00eatre affect\u00e9s si leurs bases contractuelles ne pr\u00e9voient pas les m\u00e9canismes de transparence requis par le RGPD.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"ce-que-cela-change-pour-les-entreprises-qui-utilisent-des-donnees-de-voyage\">Ce que cela change pour les entreprises qui utilisent des donn\u00e9es de voyage<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">L&#8217;affaire Amadeus dessine une jurisprudence que les juristes sp\u00e9cialis\u00e9s en protection des donn\u00e9es vont suivre attentivement. Elle clarifie plusieurs points qui restaient flous dans l&#8217;interpr\u00e9tation du RGPD :<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Premier point : le <strong>d\u00e9veloppement de produits<\/strong> n&#8217;est pas en soi une base l\u00e9gale valide pour le traitement de donn\u00e9es personnelles. Les entreprises qui invoquent &#8220;l&#8217;am\u00e9lioration du service&#8221; ou &#8220;l&#8217;innovation&#8221; pour justifier la r\u00e9utilisation de donn\u00e9es collect\u00e9es \u00e0 d&#8217;autres fins s&#8217;exposent d\u00e9sormais \u00e0 un risque r\u00e9glementaire clairement document\u00e9.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Deuxi\u00e8me point : les obligations de transparence de l&#8217;article 14 s&#8217;appliquent pleinement dans les \u00e9cosyst\u00e8mes de donn\u00e9es complexes o\u00f9 des donn\u00e9es transitent entre plusieurs acteurs (r\u00e9servation, h\u00e9bergement, transport). La cha\u00eene de responsabilit\u00e9 entre responsables de traitement et sous-traitants doit \u00eatre document\u00e9e et les personnes concern\u00e9es doivent en \u00eatre inform\u00e9es.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Troisi\u00e8me point : le m\u00e9canisme de guichet unique ne prot\u00e8ge pas les entreprises contre une enqu\u00eate \u00e9largie \u00e0 17 autorit\u00e9s. Au contraire, une d\u00e9cision prise dans ce cadre a une port\u00e9e juridique dans l&#8217;ensemble de l&#8217;UE, ce qui amplifie consid\u00e9rablement son impact op\u00e9rationnel.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"cinq-predictions-pour-la-protection-des-donnees-dans-le-travel-tech\">Cinq pr\u00e9dictions pour la protection des donn\u00e9es dans le travel tech<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">L&#8217;affaire Amadeus va probablement d\u00e9clencher plusieurs \u00e9volutions dans les prochains 18 \u00e0 24 mois :<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li><strong>Vague d&#8217;audits internes dans le secteur GDS.<\/strong> Les concurrents d&#8217;Amadeus, Sabre et Travelport, vont acc\u00e9l\u00e9rer leurs revues de conformit\u00e9 RGPD concernant leurs programmes de valorisation de donn\u00e9es. Les deux entreprises sont am\u00e9ricaines mais op\u00e8rent massivement en Europe.<\/li>\n<li><strong>Multiplication des demandes de consentement explicite.<\/strong> Les compagnies a\u00e9riennes et agences de voyage qui souhaitent continuer \u00e0 utiliser des donn\u00e9es historiques pour l&#8217;IA et la personnalisation vont devoir mettre en place des m\u00e9canismes de consentement granulaire, au risque de voir leur base de donn\u00e9es utilisables r\u00e9duite consid\u00e9rablement.<\/li>\n<li><strong>\u00c9mergence de march\u00e9s de donn\u00e9es certifi\u00e9es RGPD.<\/strong> Des interm\u00e9diaires proposant des donn\u00e9es de voyage anonymis\u00e9es ou pseudonymis\u00e9es avec documentation de conformit\u00e9 vont appara\u00eetre pour r\u00e9pondre aux besoins d&#8217;entra\u00eenement des mod\u00e8les IA dans le secteur.<\/li>\n<li><strong>Nouvelles proc\u00e9dures AEPD\/CNIL contre d&#8217;autres acteurs du travel tech.<\/strong> La d\u00e9cision Amadeus va encourager des plaintes similaires contre d&#8217;autres acteurs qui utilisent les donn\u00e9es de r\u00e9servation pour la publicit\u00e9 cibl\u00e9e ou l&#8217;optimisation des prix dynamiques.<\/li>\n<li><strong>R\u00e9vision des contrats entre GDS et compagnies a\u00e9riennes.<\/strong> Les accords de distribution entre Amadeus et ses clients compagnies a\u00e9riennes vont \u00eatre ren\u00e9goci\u00e9s pour clarifier les responsabilit\u00e9s respectives en mati\u00e8re de protection des donn\u00e9es, notamment pour les activit\u00e9s d&#8217;analyse et de d\u00e9veloppement de produits.<\/li>\n<\/ol>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"couverture-connexe\">Couverture connexe<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"articles-lies-sur-shattered-io\">Articles li\u00e9s sur shattered.io<\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li><a href=\"\/fr\/cnil-amendes-rgpd-record-2025-2026\/\">CNIL 2025 : 487 M\u20ac d&#8217;amendes RGPD, Google et Free \u00e9pingl\u00e9s [2026]<\/a><\/li>\n<li><a href=\"\/fr\/sanction-cnil-free-42-millions-2026\/\">Sanction CNIL Free Mobile : 42 M\u20ac pour 24 millions de comptes [2026]<\/a><\/li>\n<li><a href=\"\/fr\/cyber-resilience-act-amende-2026\/\">Cyber Resilience Act : les premi\u00e8res amendes tombent [2026]<\/a><\/li>\n<li><a href=\"\/fr\/fuite-donnees-cegedim-15-millions-2026\/\">Fuite Cegedim : 15 millions de patients fran\u00e7ais expos\u00e9s [2026]<\/a><\/li>\n<li><a href=\"\/fr\/ficoba-piratage-comptes-bancaires-2026\/\">FICOBA pirat\u00e9 : 1,2 million de comptes bancaires expos\u00e9s [2026]<\/a><\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"questions-frequentes-sur-la-sanction-rgpd-damadeus\">Questions fr\u00e9quentes sur la sanction RGPD d&#8217;Amadeus<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"pourquoi-laepd-espagnole-a-t-elle-traite-ce-dossier-plutot-que-la-cnil-francaise\">Pourquoi l&#8217;AEPD espagnole a-t-elle trait\u00e9 ce dossier plut\u00f4t que la CNIL fran\u00e7aise ?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">En vertu du m\u00e9canisme de guichet unique du RGPD, c&#8217;est l&#8217;autorit\u00e9 du pays d&#8217;\u00e9tablissement principal de l&#8217;entreprise qui prend en charge la proc\u00e9dure. Amadeus IT Group \u00e9tant bas\u00e9e \u00e0 Madrid, l&#8217;AEPD espagnole est l&#8217;autorit\u00e9 chef de file. Cependant, 17 autres autorit\u00e9s europ\u00e9ennes ont particip\u00e9 \u00e0 la proc\u00e9dure en tant que parties int\u00e9ress\u00e9es, incluant vraisemblablement la CNIL, et la d\u00e9cision s&#8217;applique dans l&#8217;ensemble de l&#8217;Union europ\u00e9enne.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"amadeus-a-t-il-admis-avoir-viole-le-rgpd\">Amadeus a-t-il admis avoir viol\u00e9 le RGPD ?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Le fait qu&#8217;Amadeus ait opt\u00e9 pour le paiement volontaire (avec la remise de 20 %) et n&#8217;ait pas contest\u00e9 la d\u00e9cision devant les juridictions administratives peut s&#8217;interpr\u00e9ter comme une acceptation des faits, au moins sur le plan pratique. Cependant, accepter de payer une amende sans recours judiciaire ne constitue pas juridiquement une reconnaissance de culpabilit\u00e9 formelle. Les entreprises font souvent ce choix pour des raisons strat\u00e9giques, notamment pour \u00e9viter des proc\u00e9dures longues et m\u00e9diatis\u00e9es.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"les-12-milliards-de-donnees-mentionnees-dans-la-plainte-est-ce-le-volume-reel-expose\">Les 12 milliards de donn\u00e9es mentionn\u00e9es dans la plainte, est-ce le volume r\u00e9el expos\u00e9 ?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Ce chiffre de 12 milliards d&#8217;enregistrements correspond au volume mentionn\u00e9 dans la plainte initiale, repr\u00e9sentant l&#8217;ensemble des donn\u00e9es de r\u00e9servation accumul\u00e9es dans les syst\u00e8mes Amadeus sur plusieurs ann\u00e9es. Il ne s&#8217;agit pas n\u00e9cessairement du volume de donn\u00e9es effectivement trait\u00e9 dans le cadre du programme pilote incrimin\u00e9. Les donn\u00e9es de r\u00e9servation d&#8217;un GDS de la taille d&#8217;Amadeus, accumul\u00e9es depuis les ann\u00e9es 1990, repr\u00e9sentent effectivement des milliards de transactions. La violation portait sur la r\u00e9utilisation de ces donn\u00e9es sans base l\u00e9gale ad\u00e9quate.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"mon-billet-davion-reserve-via-amadeus-etait-il-concerne\">Mon billet d&#8217;avion reserv\u00e9 via Amadeus \u00e9tait-il concern\u00e9 ?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Si vous avez r\u00e9serv\u00e9 un vol sur une compagnie utilisant les syst\u00e8mes de r\u00e9servation Amadeus (Air France, Iberia, Lufthansa, easyJet, British Airways et de nombreuses autres), vos donn\u00e9es de r\u00e9servation sont dans les bases d&#8217;Amadeus. Toutes ces donn\u00e9es n&#8217;ont pas forc\u00e9ment \u00e9t\u00e9 incluses dans le programme pilote incrimin\u00e9. Amadeus a l&#8217;obligation d&#8217;informer les personnes concern\u00e9es conform\u00e9ment \u00e0 la d\u00e9cision de l&#8217;AEPD et de mettre en conformit\u00e9 ses pratiques.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"quelles-mesures-correctives-amadeus-doit-il-prendre\">Quelles mesures correctives Amadeus doit-il prendre ?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">La d\u00e9cision de l&#8217;AEPD impose \u00e0 Amadeus d&#8217;arr\u00eater le programme pilote litigieux, de supprimer les profils constitu\u00e9s sans base l\u00e9gale, de revoir l&#8217;ensemble de ses bases l\u00e9gales pour les activit\u00e9s d&#8217;analyse et de d\u00e9veloppement de produits, de mettre en place des m\u00e9canismes de transparence conformes \u00e0 l&#8217;article 14 pour les donn\u00e9es re\u00e7ues de tiers, et de soumettre un rapport de conformit\u00e9 \u00e0 l&#8217;autorit\u00e9 espagnole.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"quelle-est-la-difference-entre-violation-de-larticle-6-et-de-larticle-14-du-rgpd\">Quelle est la diff\u00e9rence entre violation de l&#8217;article 6 et de l&#8217;article 14 du RGPD ?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">L&#8217;article 6 du RGPD liste les six bases l\u00e9gales qui justifient un traitement de donn\u00e9es personnelles (consentement, contrat, obligation l\u00e9gale, int\u00e9r\u00eats vitaux, mission d&#8217;int\u00e9r\u00eat public, int\u00e9r\u00eat l\u00e9gitime). La violation de l&#8217;article 6 signifie qu&#8217;Amadeus n&#8217;avait aucune de ces bases l\u00e9gales pour le traitement incrimin\u00e9. L&#8217;article 14, lui, concerne la transparence : quand des donn\u00e9es ne sont pas collect\u00e9es directement aupr\u00e8s de la personne, le responsable de traitement doit l&#8217;informer de l&#8217;existence du traitement et de ses finalit\u00e9s. Amadeus n&#8217;a pas respect\u00e9 cette obligation pour les donn\u00e9es re\u00e7ues de ses partenaires h\u00f4teliers.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"dautres-gds-ou-compagnies-aeriennes-risquent-ils-des-sanctions-similaires\">D&#8217;autres GDS ou compagnies a\u00e9riennes risquent-ils des sanctions similaires ?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Oui, le risque est r\u00e9el. Sabre et Travelport, les deux autres grands GDS mondiaux, op\u00e8rent des programmes similaires de valorisation des donn\u00e9es de r\u00e9servation. Les compagnies a\u00e9riennes, elles-m\u00eames, utilisent leurs donn\u00e9es de fid\u00e9lit\u00e9 et de r\u00e9servation pour la personnalisation, le yield management et l&#8217;IA. La d\u00e9cision Amadeus cr\u00e9e un pr\u00e9c\u00e9dent qui va exposer ces pratiques \u00e0 un examen r\u00e9glementaire renforc\u00e9 de la part des autorit\u00e9s de protection des donn\u00e9es europ\u00e9ennes.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>L&#8217;Agence espagnole de protection des donn\u00e9es (AEPD) a inflig\u00e9 \u00e0 Amadeus IT Group une amende de 18 millions d&#8217;euros, r\u00e9duite \u00e0 14,4 millions apr\u00e8s paiement volontaire, pour avoir utilis\u00e9 des\u2026<\/p>\n","protected":false},"author":9,"featured_media":222,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[10,4],"tags":[],"class_list":["post-221","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-10","category-privacy"],"_links":{"self":[{"href":"https:\/\/shattered.io\/fr\/wp-json\/wp\/v2\/posts\/221","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/shattered.io\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/shattered.io\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/shattered.io\/fr\/wp-json\/wp\/v2\/users\/9"}],"replies":[{"embeddable":true,"href":"https:\/\/shattered.io\/fr\/wp-json\/wp\/v2\/comments?post=221"}],"version-history":[{"count":1,"href":"https:\/\/shattered.io\/fr\/wp-json\/wp\/v2\/posts\/221\/revisions"}],"predecessor-version":[{"id":223,"href":"https:\/\/shattered.io\/fr\/wp-json\/wp\/v2\/posts\/221\/revisions\/223"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/shattered.io\/fr\/wp-json\/wp\/v2\/media\/222"}],"wp:attachment":[{"href":"https:\/\/shattered.io\/fr\/wp-json\/wp\/v2\/media?parent=221"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/shattered.io\/fr\/wp-json\/wp\/v2\/categories?post=221"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/shattered.io\/fr\/wp-json\/wp\/v2\/tags?post=221"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}