Amadeus, 14,4 millions d’amende : la leçon n’est pas pour les géants

Quatorze millions quatre cent mille euros. C’est la somme qu’Amadeus IT Group a fini par verser à l’autorité espagnole de protection des données, et la première réaction de celui qui fait tourner une petite entreprise de terrain, en la lisant, c’est de souffler et de la ranger dans les ennuis de géants. Un colosse de la technologie du voyage, un dossier avec un numéro d’enregistrement, des avocats alignés des deux côtés. Rien à voir avec toi, ton fourgon, tes six opérateurs et la feuille d’émargement à l’entrée. C’est précisément là le piège, car ce qui a coulé Amadeus, ce n’est pas sa taille, c’est une question à laquelle ton entreprise répond chaque jour sans s’en rendre compte.

La sanction partait d’une base de 18 millions, deux tranches de neuf, réduite de 20% pour paiement volontaire jusqu’aux 14,4 finaux. L’entreprise a payé sans reconnaître de faute, ce qui est la manière élégante de refermer une plaie sans admettre qu’elle saigne. Le motif de fond, lui, ne se maquille pas. L’autorité a retenu la violation de deux articles du RGPD : l’article 6, qui exige une base légale pour traiter des données personnelles, et l’article 14, qui oblige à informer les personnes lorsque leurs données sont traitées sans avoir été recueillies auprès d’elles directement.

Il vaut la peine de regarder ce qu’Amadeus a réellement fait, car la leçon habite le détail. L’entreprise avait lancé un projet pilote qui croisait les données de réservation de son système, les enregistrements PNR, avec les fichiers clients de chaînes hôtelières, et de ce croisement elle bâtissait des profils de voyageurs pour ce qu’ils appelaient la vente hyperpersonnalisée. Le pilote est allé chercher des réservations de 2019 et les a réutilisées en 2022, trois ans après que ces personnes avaient réservé un vol en pensant à tout autre chose. Personne ne les a averties que leur empreinte de voyage reviendrait sur la table pour nourrir un modèle commercial. Le projet, dit Amadeus, n’a jamais été commercialisé. Cela ne change rien. On n’est pas sanctionné pour avoir vendu, on est sanctionné pour avoir traité.

Deux questions, et aucune ne parle de taille

Retire Amadeus de la photo et garde le squelette de l’affaire, car ce squelette est le tien. La première question est celle de l’article 6 : as-tu une base légale pour traiter cette donnée, pour cette finalité précise ? Détenir la donnée n’est pas la même chose que pouvoir l’utiliser pour tout ce qui te passe par la tête. Amadeus détenait les PNR de façon légitime, ils lui servaient à gérer les réservations, et pourtant elle ne pouvait pas les recycler trois ans plus tard pour profiler. La finalité a changé, la base n’a pas suivi. La seconde question est celle de l’article 14 : la personne sait-elle que tu traites ses données ? Une bonne raison enfermée dans un tiroir ne suffit pas, il faut la dire, par écrit, clairement, et avant, pas une fois la plainte déjà tombée.

C’est là que le patron du fourgon ne peut plus regarder ailleurs. Si tu géolocalises tes opérateurs, tu traites des données personnelles, les leurs, tous les jours. En France, la CNIL est claire sur la géolocalisation des salariés : elle n’est admise que pour une finalité légitime et de façon proportionnée, jamais pour suivre en permanence un employé, et le salarié comme les représentants du personnel doivent être informés au préalable, le tout adossé au Code du travail et au RGPD. Ce sont, tiens donc, les deux mêmes questions qu’Amadeus a ratées, en habit français. Une finalité légitime et proportionnée, et le vrai devoir d’informer le salarié. La frontière entre une PME tranquille et une PME avec un dossier ouvert n’est pas l’effectif, c’est de savoir si ces deux cases sont cochées.

Dans le quotidien d’une petite entreprise, le problème n’est presque jamais la mauvaise foi. C’est l’improvisation. On installe une appli qui relève la position à toute heure parce qu’elle était dans le pack, on laisse le suivi continu du véhicule allumé alors qu’il suffisait de connaître l’heure de début et de fin de l’intervention, et l’information au salarié reste un “je le lui ai dit de vive voix le premier jour”. Aucune de ces trois choses ne résiste à un contrôle. Le pistage permanent, quand le début et la fin auraient suffi, n’est pas proportionné. Et le dit de vive voix, devant la CNIL, pèse autant qu’une promesse de campagne.

La sortie n’est pas d’arrêter de mesurer, c’est de mesurer bien

Le paradoxe, c’est qu’être en règle et détenir la preuve du travail ne sont pas des forces opposées, elles tirent du même côté. Ce que la loi te demande, une finalité circonscrite, la donnée minimale et une personne informée, est exactement ce dont tu as besoin pour qu’un rapport tienne quand un client conteste les heures. Un enregistrement qui capte la position seulement à l’instant qui compte, le début et la fin de l’intervention, et rien au milieu, est à la fois celui qui respecte la proportionnalité et celui que personne ne peut démonter. Collecter moins, ici, vaut plus.

C’est pourquoi GeoTapp a été développé à l’inverse du pilote d’Amadeus. Pas de filature de l’équipe toute la journée : la position se prend d’un toucher au démarrage et d’un toucher à la fin, la donnée reste liée à cette seule finalité, et l’opérateur sait ce qui est enregistré parce que l’information fait partie de l’outil, pas d’une discussion au portail. C’est la ligne que l’aventure d’Amadeus a franchie et que l’application, volontairement, ne franchit pas.

Si tu veux voir avec quels mots exacts on informe un salarié de la géolocalisation, nous avons un guide sur la doctrine de la CNIL sur la géolocalisation des salariés et les sanctions prêt à adapter. L’amende d’Amadeus est chère comme avertissement, mais bon marché si elle t’épargne la tienne.

La question n’est donc pas combien réalise celui qui a pris l’amende, c’est de savoir si tu pourrais répondre aujourd’hui à ces deux questions par écrit. Saurais-tu prouver sur quelle base et avec quelle information tu géolocalises ton équipe ?