Amadeus sanctionné 18 M€ par l'AEPD pour profilage illicite de voyageurs

15/6/26
👈 les autres actualités

L'AEPD inflige 18 millions d'euros à Amadeus pour traitement illicite de données de voyageurs

L'autorité espagnole de protection des données (AEPD) vient de sanctionner Amadeus IT Group d'une amende record de 18 millions d'euros — réduite à 14,4 millions via paiement volontaire — pour avoir réutilisé des données de réservation de passagers dans un pilote de profilage marketing sans base légale valide et sans en informer les personnes concernées. Une décision publiée fin mai 2026 qui envoie un signal fort sur les risques du repurposing de données dans le secteur B2B.

Ce qui s'est passé

En septembre 2023, une plainte anonyme est déposée auprès de l'AEPD contre Amadeus, géant mondial de la technologie du voyage (GDS, systèmes de réservation, solutions SaaS pour compagnies aériennes et hôtels). L'enquête révèle qu'Amadeus a conduit un pilote de profilage marketing en réutilisant des données PNR (Passenger Name Records) — les données de réservation traitées dans le cadre de contrats B2B avec des compagnies aériennes — pour créer des profils à des fins publicitaires.

L'AEPD retient deux infractions distinctes, à 9 millions d'euros chacune :

  • Article 6 du RGPD — absence de base légale valide pour la finalité secondaire de profilage. Le traitement initial était légitime (exécution de contrats B2B), mais la réutilisation à des fins marketing ne disposait d'aucun fondement juridique. Ni consentement, ni intérêt légitime correctement documenté.
  • Article 14 du RGPD — absence totale d'information envers les passagers. Lorsque les données ne sont pas collectées directement auprès de la personne, les obligations d'information restent applicables — Amadeus n'a transmis aucune mention de transparence sur cette réutilisation.

Pourquoi c'est important pour les DPO

Cette affaire cristallise un angle d'attaque réglementaire de plus en plus fréquent : le B2B reuse. Un responsable du traitement collecte des données dans le cadre d'une relation contractuelle B2B, puis les réutilise pour des finalités non prévues — sans que les personnes concernées (ici, les passagers) aient jamais interagi directement avec lui.

La chaîne de responsabilité devient alors opaque : le passager a fourni ses données à une compagnie aérienne, pas à Amadeus. Pourtant, Amadeus est qualifié de responsable du traitement pour le pilote de profilage — ce qui déclenche l'ensemble des obligations RGPD, y compris l'information des personnes et la justification de la licéité du traitement.

Le profilage au sens du RGPD — même à des fins purement marketing et sans décision automatisée — nécessite une base légale explicite et une information préalable des personnes. C'est précisément ce double manquement qui a coûté 18 millions à Amadeus.

Ce que ça change pour les organisations

Trois enseignements concrets à tirer de cette décision :

  1. Cartographier les flux de données B2B vers des finalités secondaires. Toute donnée reçue dans le cadre d'un contrat B2B et réutilisée pour du marketing, de l'analytique ou du profilage interne constitue un traitement secondaire qui doit être évalué séparément. Le test de compatibilité des finalités (article 6(4) RGPD) doit être formalisé dans le registre des traitements.
  2. Documenter la base légale avant le démarrage d'un pilote. Les "pilotes" ou "expérimentations internes" ne sont pas exonérés des obligations RGPD. Si Amadeus avait formalisé une base légale (intérêt légitime documenté, ou consentement collecté via les compagnies aériennes partenaires) avant le lancement, la sanction aurait pu être évitée.
  3. Intégrer les obligations article 13/14 dans les flux de données tiers. Dès qu'un traitement implique des données collectées indirectement, l'obligation d'informer les personnes est active — que ce soit via une mention dans la politique de confidentialité accessible, ou via les partenaires B2B.

Ce que Leto pense de cette décision

L'amende Amadeus illustre un risque systémique dans les entreprises qui monétisent leurs données : le moment où un traitement B2B "glisse" vers une finalité commerciale non prévue est précisément celui où les protections RGPD s'appliquent le plus fortement — et où elles sont le plus souvent oubliées. 18 millions d'euros pour un pilote marketing non documenté : le coût de l'improvisation est désormais chiffré.

Sources : Data Protection Report, Luxgap — analyse de la décision AEPD

Restez connecté(e).

Téléchargez notre application mobile de veille RGPD, Intelligence Artificielle et Cybersécurité. 
100% gratuite. 
Je télécharge

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026