Amadeus et le RGPD

Dernière mise à jour - Mai 2018

Le nouveau règlement général européen sur la protection des données (RGPD) prend effet le 25 mai 2018. Ce règlement a pour but de mettre à jour les lois existantes en matière de protection des données et d’améliorer la protection des données personnelles pour tenir compte des dernières évolutions technologiques, de la mondialisation et des flux complexes de données personnelles. Il s’agit d’une modernisation des lois actuelles de protection des données.

Le RGPD s’applique aux entreprises qui traitent des données personnelles au sein de l’Union européenne, mais aussi aux entreprises situées en dehors de l’UE qui peuvent cibler ou offrir des biens et des services à des individus dans l’UE.

Le respect de cette réglementation est l’une des plus grandes priorités d’Amadeus. Amadeus a développé un programme RGPD interne pour satisfaire les exigences liées au RGPD. Ce programme inclut un évaluation des systèmes d'Amadeus qui fait état de la façon dont les données personnelles sont traitées et identifie les modifications nécessaires des systèmes qui traitent les données personnelles afin de satisfaire les exigences du RGPD. Dans le cadre de cette évaluation, nous avons tenu compte des normes de l’industrie du voyage afin de garantir la satisfaction des exigences du RGPD ainsi que ses besoins.

Notre objectif est de nous assurer que les données à caractère personnel sont traitées conformément aux nouvelles exigences de transparence et de responsabilité du GDPR et sont correctement protégées pour nous permettre de soutenir nos clients en leur fournissant des informations leur permettant de respecter leurs obligations en matière de conformité.

Notre Avis de confidentialité du GDS Amadeus est disponible ici .

Notre Avis de confidentialité des partenaires commerciaux et clients Amadeus est disponible ici.

Pour plus d’informations concernant le RGPD, vous trouverez ci-dessous un glossaire, une section FAQ (questions fréquemment posées) et nos principes de confidentialité. Si vous avez d’autres questions, veuillez contacter votre responsable de comptes.

Glossaire

Données personnelles : les données personnelles représentent toutes les informations concernant un individu identifié ou identifiable ; cela signifie que si vous pouvez identifier un individu à partir des informations que vous traitez ou que vous gérez, même si ce n’est pas par son nom, il est probable que vous traitiez des données personnelles.

Sous-traitant : l’entité traitant les données pour le compte et dans le respect des instructions d’un responsable du traitement.

Responsable du traitement : l’entité qui décide des moyens et des fins du traitement des données personnelles. Amadeus est perçu comme responsable du traitement dans sa fonction de GDS.
 

FAQ

Veuillez transmettre vos questions à votre contact Amadeus.

  1. Est-ce qu’Amadeus respecte le RGPD ?
    Oui, Amadeus respecte les nouvelles exigences introduites par le RGPD. Le RGPD introduit notamment le concept de Privacy by Design (confidentialité dès la conception) et met davantage l'accent sur la transparence envers les individus et notre référentiel client en ce qui concerne les activités de traitement.
  2. Vos bureaux régionaux ainsi que vos filiales respectent-ils également le RGPD ?
    Sur toute l’année 2017 et le premier trimestre 2018, nous avons développé un programme RGPD interne pour nous adapter et nous préparer à ces nouvelles règles. Dans le cadre de ce programme, nous avons effectué un audit de toutes nos unités commerciales et produits traitant des données personnelles dans l’ensemble de notre entreprise.
  3. Si des données personnelles sont traitées dans un produit ou un service, comment Amadeus se conforme-t-elle au RGPD ?
    Amadeus respecte le RGPD dans la fourniture de ses services à ses clients. En tant que responsable du traitement, Amadeus se conforme au RGPD et aux lois spécifiques du secteur du GDS applicables à Amadeus en tant que GDS, et dans sa fonction de sous-traitant, Amadeus se conforme aux obligations contractuelles envers ses clients et ses possibles responsabilités directes en tant que sous-traitant dans le cadre du RGPD.
  4. Lors du traitement de vos propres clients, comment gérez-vous la conformité de vos données clients?
    En tant que prestataire informatique, nous exerçons nos activités conformément aux instructions de nos clients. De manière générale, la fonctionnalité du système Amadeus est développée pour répondre à leurs exigences et des processus sont en place pour répondre à toute modification de leurs besoins. En prévision du RGPD, nous avons appliqué, à nos activités de traitement, le degré de transparence requis. Ainsi, les clients gardent le contrôle et peuvent à leur tour satisfaire les exigences de transparence de leur base client.
  5. Avez-vous modifié vos processus pour être conforme ?
    Nous avons introduit de nouveaux processus dans différents domaines clés du RGPD, notamment la collecte de données mettant en évidence les activités de traitement d’une entité et le concept de Privacy by Design.
  6. Qui dois-je contacter si je souhaite recevoir des informations directement d'Amadeus?
    Veuillez transmettre vos questions à votre contact Amadeus.
     

Principes de confidentialité d'Amadeus

Les informations, en particulier les données personnelles, étant au cœur de notre activité, le traitement de celles-ci est essentiel et, par conséquent, la confidentialité des données / protection des données est une priorité absolue pour le groupe Amadeus. Amadeus s’est donc engagé à adhérer aux principes de confidentialité d'Amadeus.

Les principes de confidentialité d'Amadeus constituent la base du cadre de confidentialité comme définie dans nos politiques d’entreprise, dans nos normes et processus, et dans notre comportement.

En tant qu’entreprise internationale, Amadeus a tenu compte des normes internationalement reconnues (telles que les principes directeurs des Nations Unies et de l’OCDE, et la norme ISO/IEC 29100), ainsi que du règlement général européen sur la protection des données (RGPD) lors de l'établissement des principes de confidentialité d'Amadeus.

 

Principes de confidentialité d'Amadeus
Infographie des principes de confidentialité d'Amadeus

 

Transparence Informer sur la manière dont Amadeus traite les données
Légalité

Nous devons :

  • disposer d'une base légale permissible pour le traitement des données personnelles (par ex. : un contrat, une obligation légale, un intérêt légitime ou le consentement de l’individu) ;
  • nous assurer que nous ne faisons rien d’illégal avec les données.
Transparence Nous devons être transparents sur la manière dont nous traitons les données personnelles et fournir (1) aux individus les avis de confidentialité appropriés lors du recueil de leurs données personnelles et (2) aux clients les informations appropriées sur l’enregistrement, le flux et l’accès aux données.
Respect des droits de la personne concernée

La personne concernée possède

  • le droit d'être informé de la collecte et du traitement de ses données personnelles;
  • le droit d’accès à ses données personnelles ;
  • le droit de s’opposer au traitement et aux décisions prises par des moyens automatisés ;
  • le droit de rectification de données personnelles imprécises ;
  • le droit de suppression de ses données personnelles et d’oubli, et
  • le droit de portabilité des données.

 

Proportionnalité Traiter uniquement les données personnelles nécessaires afin d'assurer l'accès à nos services
Limites

Nous devons préciser dès le départ à quelles fins nous traitons les données personnelles et ce que nous avons l’intention d’en faire.

Nous ne pouvons traiter les données personnelles qu’à ces fins légales et spécifiques.

Minimisation des données

Nous devons limiter

  • les données personnelles que nous détenons sur d’un individu aux seules informations nécessaires à cette fin spécifique ;
  • le nombre de personnes au sein d’Amadeus ayant accès aux données personnelles.
Limitation de stockage

Nous devons fournir

  • ne conservent les données personnelles que le temps nécessaire à la réalisation de l'objectif poursuivi,
  • puis les suppriment ou les anonymisent de manière sécurisée.
Précision Nous devons nous assurer que les données personnelles sont exactes, complètes et à jour (à moins qu’il n’existe une raison légitime à la conservation de données obsolètes)

 

Protection appropriée Protéger les données personnelles et les traiter comme strictement confidentielles
Sécurité Nous devons prendre les mesures organisationnelles et techniques appropriées pour protéger les données personnelles contre les risques tels que la perte ou l’accès non autorisé, la destruction, les changements d’utilisation ou la divulgation.
Transferts de données Nous devons nous assurer que les données personnelles sont protégées de manière adéquate avant d’être transférées à une autre partie.