L’autorité de protection des données de Hambourg (HmbBfDI[1]) a sanctionné la société H&M, le 1er octobre 2020, pour avoir collecté et traité des données à caractère personnel d’une partie de son personnel en contradiction avec le RGPD[2].

Entre 2014 et 2019, des informations sur la vie privée de nombreux employés des bureaux de H&M de Nuremberg étaient notées, conservées et utilisées pour réaliser leur « profil ». Des informations sur leurs vacances, les diagnostics et symptômes de leurs éventuelles maladies, leurs éventuels problèmes familiaux, leurs confessions religieuses, toutes ces informations étaient notées par des chefs d’équipe « avec un niveau de détail élevé », « en vue de prendre des mesures et des décisions dans le cadre de la relation de travail ».

Les pratiques de H&M ont été révélées en octobre 2019, car les données étaient accessibles publiquement aux employées suite à une erreur de configuration du système dans lequel les données étaient stockées.

La Commission allemande a considéré que ces actes « témoignent d’un grave non-respect de la protection des données des employés », et qu’ils ont « entraîné une atteinte particulièrement importante à leurs droits ».

La Commission n’a pas précisé les détails de sa décision, mais il est évident, au vu des éléments présentés, que H&M a collecté et traité, pendant de nombreuses années, des données personnelles sur ses salariés sans y être autorisé[3]. Les données traitées étant parfois liées à la santé ou à la religion des personnes, un caractère aggravant est également présent.

Une amende de 35 millions € a été prononcée contre la société suédoise H&M, ce qui représente 0,15 % de son chiffre d’affaires[4]. Une compensation financière a également été versée aux employées.

Lire :

Notes et références

  1. HmbBfDI : Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (datenschutz.hamburg.de).
  2. RGPD : Règlement Général sur la Protection des Données (Règlement (UE) 2016/679).
  3. Le RGPD demande que « les données à caractère personnel doivent être traitées de manière licite » (source : RGPD, article 5-1-a). La société n’avait aucune base légale, c’est-à-dire aucune raison valable, pour procéder à un tel traitement. Le traitement doit donc être considéré comme illicite.
  4. La société H&M a déclaré un chiffre d’affaires de 232 milliards SEK pour l’année 2019, soit 22,7 milliards € (source : Rappel annuel 2019 d’H&M, hmgroup.com, en anglais).