Le groupe H&M est condamné à une amende record de 35 millions d’euros pour avoir enfreint les principes du RGPD : l’enseigne de prêt-à-porter est accusée d’avoir illégalement stocké des données personnelles sur des salariés en Allemagne.
Récits de vacances et problèmes familiaux
Les responsables d’un site H&M à Nuremberg, en Allemagne, surveillaient de trop près des centaines de salariés. C’est en tous cas ce que reproche l’autorité allemande de protection des données, qui inflige au groupe de prêt-à-porter suédois une amende historique de 35 millions d’euros pour la cartographie non autorisée des données personnelles de ses employés.
Depuis 2014 au moins, des informations relatives à la vie privée des salariés sont massivement enregistrées, selon l’autorité de protection des données. Les employés qui revenaient de vacances ou d’un congé de maladie devaient s’entretenir avec les chefs d’équipe. Suite à ces entretiens, dans de nombreux cas, les informations concernant non seulement le récit concret des vacances, mais aussi les symptômes et diagnostics des salariés, étaient enregistrées, rapporte Forbes.
Lors de discussions informelles, certains responsables ont également fouillé dans la vie privée de leurs employés, abordant tant des questions innocentes que questions relatives à des problèmes familiaux et croyances religieuses, et toutes ces informations étaient ensuite enregistrées. Cette pratique a été mise en lumière en octobre 2019, lorsque toute l’entreprise a eu accès à l’ensemble de ces données pendant plusieurs heures en raison d’une erreur de configuration.
Pour donner le ton
Cette condamnation fait partie de la législation européenne sur la protection des données privées (RGPD), entrée en vigueur en 2018. Il s’agit en effet de l’amende du RGPD la plus élevée jamais prononcée en Allemagne et la deuxième plus élevée en Europe. Seul Google avait été puni encore plus sévèrement l’année dernière en France, avec une amende de 50 millions d’euros. Avec une telle condamnation, le tribunal souhaite donner le ton aux autres entreprises.
H&M déclare en assumer l’entière responsabilité et tient à s’excuser « sans réserve » auprès des employés du site. Selon le géant de l’habillement, l’incident a révélé des pratiques non conformes aux directives et instructions. Un vaste plan d’action serait désormais en place pour améliorer les pratiques d’audit interne et former les responsables.