Table des matières
De 2014 à 2019, des managers H&M ont stocké illégalement des données personnelles d’employés. La Cnil allemande vient de condamner le groupe au paiement d’une amende de 35 millions d’euros.
Le commissionnaire fédéral allemand de protection des données vient de livrer le verdict de son enquête entamée il y a un an. En 2019, une erreur de configuration avait entrainé une fuite de données, mettant en évidence le fait que des responsables de H&M Nuremberg avait collecté et stocké les données personnelles de leurs salariés.
L’autorité a donc reproché à la filiale allemande du groupe suédois de prêt à porter d’avoir laissé cette pratique se réaliser de 2014 à 2019. Dans les faits, les managers de la boutique de Nuremberg interrogeaient les employés sur les raisons de leur absence. Par exemple, dans le cas d’un arrêt maladie, le salarié devait préciser les symptômes qu’il avait et ses antécédents médicaux.
L’autorité protectrice des données allemande, équivalent de la Cnil en France, explique que ces données étaient ensuite stockées puis utilisées pour construire des profils personnels. Les managers récoltaient d’autres informations par le biais de discussions informelles. Les croyances religieuses et les problèmes familiaux étaient par exemple connus des responsables. Les autres managers avaient d’ailleurs accès à ces données privées. Finalement certains supérieurs avaient par exemple une large connaissance de la vie privée des employés. Pour comprendre l’ampleur de la chose, en plus du côté illégal, il faut savoir qu’en France, 6 personnes sur 10 refusent de partager leurs données sur internet car méfiants.
Devant ces preuves, l’enquête en a conclu que le groupe suédois devait payer une amende de 35 millions d’euros. Face à cette affaire, H&M a présenté ses excuses en expliquant qu’il s’agissait d’un problème local. Il ne s’agit aucunement d’une tendance générale. L’entreprise a aussi expliqué que ces pratiques étaient « non conformes aux directives » du groupe. H&M a déclaré vouloir verser une compensation financière à tous les salariés concernés par cette surveillance illégale.
Ce n’est pas la première amende qu’inflige l’autorité allemande de protection des données. En 2019, l’entreprise Deutsche Wohnen SE, spécialisée dans l’immobilier, a écopé d’une amende de 14,5 millions pour violation des données en entreprise soumise à l’encadrement RGPD (Règlement Général sur la Protection des Données).
Concernant la France, c’est la Cnil qui est chargée de protéger les données des citoyens, à la fois sur Internet, mais aussi dans les entreprises. Google a écopé de la plus grosse sanction avec 50 millions d’euros d’amende pour collecte et utilisation des données personnelles à des fins publicitaires sur Android. En juin 2020, le Conseil d’Etat français a confirmé cette sanction.
La plus lourde amende infligée par ce genre d’autorités revient à l’Information Commissioner’s Office (ICO), du côté du Royaume-Uni. Celle-ci n’a pas hésité à donner une amende de 183 millions de livres sterling à la compagnie aérienne British Airways. Cela résultait d’un vol de données financières de centaines de milliers de clients commis en 2018.