RGPD : H&M condamné à une amende de 35 millions d'euros pour avoir surveillé ses salariés
Des managers d'H&M ont récolté et stocké illégalement les données personnelles de leurs employés entre 2014 et 2019. Le groupe suédois de prêt-à-porter vient d'être condamné au paiement d'une amende de 35 millions d'euros pour violation du RGPD par la Cnil allemande.
Le Commissaire fédéral allemand à la protection des données et à la liberté d'information – l'équivalent de la Cnil – a condamné la filiale allemande d'H&M au paiement d'une amende de 35 millions d'euros pour violation du Règlement général sur la protection des données (RGPD). Il s'agit du montant le plus élevé infligé par l'Allemagne à une entreprise en vertu de cette législation européenne.
Un stockage illégal de données personnelles
L'autorité reproche au groupe de prêt-à-porter d'avoir laissé des responsables du site de Nuremberg collecter et stocker les données personnelles des salariés entre 2014 et 2019. Elle avait décidé d'ouvrir une enquête après qu'une fuite de données en 2019, causée par une erreur de configuration, ait révélé la quantité de données qu'H&M Allemagne collectait sur la vie privée de ses employés.
Concrètement, lorsqu'un employé s'absentait, les managers de la boutique de Nuremberg avaient pris l'habitude de l'interroger sur les raisons de son absence. En cas d'arrêt maladie, il devait par exemple préciser ses symptômes et ses antécédents médicaux. Toutes ces informations étaient ensuite stockées dans un fichier et servaient à établir des "profils individuels", raconte l'autorité protectrice de la vie privée.
Lors de discussions informelles, les managers récoltaient également des informations sur les "problèmes familiaux" ou "les croyances religieuses" de leurs collaborateurs. Ces données étaient mises à la libre disposition des autres responsables. Par conséquent, "certains de ces supérieurs possédaient une large connaissance sur la vie privée de leurs employés", indique la Cnil allemande dans son communiqué.
H&M veut verser une compensation financière aux victimes
L'entreprise suédoise a présenté ses excuses pour ces pratiques qu'elle estime "non conforme aux directives" du groupe mais a insisté sur l'aspect "local" de ces violations. Elle a annoncé vouloir verser une compensation financière à tous les employés touchés par cette surveillance illégale.
En 2019, la Cnil allemande a infligé une amende de 14,5 millions d'euros à l'entreprise spécialisée dans l'immobilier Deutsche Wohnen SE pour avoir conservé des données en violation du RGPD. En France, c'est Google qui a reçu la plus grosse sanction, d'un montant de 50 millions d'euros, pour ses pratiques abusives dans la collecte et l'utilisation des données personnelles à des fins publicitaires sur Android.
Mais c'est l'Information Commissioner's Office (ICO) qui a infligé l'amende la plus lourde liée au RGPD, de 183 millions de livres sterling, contre la compagnie aérienne British Airways. Cette peine résultait d'un vol, commis en 2018, de données financières de centaines de milliers de clients de l'entreprise.
Sélectionné pour vous
SUR LE MÊME SUJET
RGPD : H&M condamné à une amende de 35 millions d'euros pour avoir surveillé ses salariés
Tous les champs sont obligatoires
0Commentaire
Réagir