AEPD inflige 14,4 M€ à Amadeus pour profilage sans base légale

En bref — L’AEPD a infligé à Amadeus une amende totale initiale de 18 M€, ramenée à 14,4 M€ via paiement volontaire, pour avoir réutilisé des données de réservation (PNR/booking) à des fins de profilage marketing sans base légale valable et sans information des personnes concernées.

Les faits

• Qui : Amadeus IT Group, fournisseur mondial de technologies pour le voyage.
• Quoi : traitement de données de « millions » de passagers pour un projet pilote de profilage marketing, sans base de licéité suffisante et sans information des personnes.
• Où : Espagne (autorité compétente : AEPD).
• Quand : décision rendue publique les 26–27 mai 2026 (plainte anonyme de septembre 2023).
• Combien : amende de 18 M€ (9 M€ + 9 M€ pour deux manquements), réduite à 14,4 M€ par « pago voluntario » sans admission de responsabilité. Amadeus a indiqué contester la décision.

Cadre légal et fondement

L’AEPD retient deux manquements très graves : l’absence de base légale pour la finalité testée (article 6) et le défaut d’information lorsque les données ne sont pas collectées auprès de la personne (article 14). Voir les articles 6 et 14 du RGPD pour les exigences de licéité et de transparence.

La décision illustre une approche stricte envers la réutilisation secondaire de données dans des écosystèmes B2B, en particulier lorsque le responsable de traitement est « invisible » pour la personne (p. ex., GDS, agrégateurs, hubs de données).

Impacts pour les entreprises luxembourgeoises

Sont exposés : compagnies aériennes, OTA, TMC, hôteliers, ferroviaires, assureurs voyage et, plus largement, tout acteur qui alimente un GDS, une place de marché B2B ou un data hub sectoriel. Les groupes opérant au Luxembourg doivent revalider leur base légale et leurs mécanismes d’information lorsque :

• la finalité ultérieure (profilage, scoring, marketing, tarification dynamique, détection de fraude) repose sur un intérêt légitime non documenté/insuffisant, ou appelle un consentement non recueilli valable ;
• les voyageurs ne sont pas informés directement et efficacement (article 14) — la simple mention noyée dans une politique générique, surtout si votre marque est invisible pour le client final, est insuffisante.

Actions concrètes à entreprendre cette semaine

• Cartographier les traitements « invisibles » : flux GDS/marketplaces, data lakes, projets pilotes d’IA/profilage ; vérifier pour chacun la base de licéité (test d’intérêt légitime, consentement si requis) et l’alignement finalités–informations.
• Mettre à niveau l’information article 14 : notices spécifiques et actionnables (identité du responsable, finalités, base légale, droits, sources, destinataires, transferts) ; canaux efficaces (e-mails, pages dédiées, bannières à la confirmation de réservation).
• Encadrer les pilotes de profilage : pas de test sur données réelles sans DPIA, base claire et gouvernance contractuelle (art. 26/28) ; comité éthique/données et go/no go DPO/Legal ; documentation de la nécessité/proportionnalité et du rejet des finalités incompatibles.
• Soutien DPO : formaliser le mandat DPO pour piloter les analyses de licéité, la transparence article 14 et les DPIA, y compris dans les écosystèmes B2B complexes.

À retenir

La combinaison « réutilisation B2B + invisibilité du responsable + absence d’information » entraîne un risque élevé de sanction. Anticipez en renforçant la transparence, la documentation de l’intérêt légitime et la gouvernance de vos pilotes de profilage/IA.

Article generé par la veille réglementaire Luxgap. Pour un accompagnement personnalisé sur ce sujet, contactez-nous.