Violation du RGPD pour H&M et lourde amende pour son « mépris flagrant »

Violation du RGPD pour H&M et lourde amende pour son « mépris flagrant »

L’enseigne de mode H&M écope d’une amende de 35,3 millions d’euros. Elle est condamnée par une autorité de protection allemande pour l’usage illégal de données personnelles des salariés par des cadres.

« Après examen de cet incident, il est clair que nos lignes directrices n’ont pas été suivies ». C’est ainsi que la PDG de la marque suédoise, Helena Helmersson, accueille la sanction rendue à l’encontre d’H&M.

C’est plus précisément la filiale allemande de l’enseigne qui écope d’une condamnation pour non-respect du règlement européen sur la protection des données personnelles (RGPD). Mais si le couperet tombe en 2020, l’origine des faits est, elle, bien antérieure.

Des données personnelles conservées depuis 2014

Ce qui vaut à H&M cette peine de 35,3 millions d’euros d’amende prononcée par une Cnil allemande, ce sont des pratiques de surveillance du personnel remontant à 2014. La branche allemande de l’enseigne menait ainsi des enquêtes sur la vie personnelles des salariés.

Ces pratiques ont conduit la direction à stocker un certain nombre de données personnelles, relatives notamment à des situations médicales ou à des croyances religieuses.  Les informations étaient ainsi conservées sur un disque réseau.

L’enquête met en cause le personnel d’encadrement de H&M. Le régulateur note par exemple que des superviseurs « ont acquis une large connaissance de la vie privée de leurs employés. » Comment ? Au travers d’entretiens personnels et en magasin.

Un « mépris flagrant » des données personnelles

Ces données étaient alors retranscrites et stockées numériquement. L’autorité de protection souligne encore que ces informations étaient « partiellement lisibles par une cinquantaine d’autres cadres de l’entreprise. »

Or ces pratiques illégales auraient pu perdurer longtemps encore au sein de l’entreprise. C’est seulement à la suite d’une erreur de configuration que les faits seront révélés. Cette erreur se traduisait en 2019, pendant plusieurs heures, par l’accès de l’ensemble des salariés aux données personnelles incriminées.

Pour le responsable de la protection des données à Hambourg, il convient donc de parler de « mépris flagrant » de la législation. Johannes Caspar défend donc une sanction financière « justifiée. » Le patron de l’autorité estime qu’une telle décision est susceptible de « contribuer à dissuader les entreprises de violer la vie privée des individus. »

A lire également sur MyData

Spartoo se prend les pieds dans les principes du RGPD

Spartoo se prend les pieds dans les principes du RGPD

Le site e-commerce de vente de chaussures Spartoo écope d’une sanctionne de 250.000 euros de la Cnil. L’autorité constate plusieurs manquements à l’égard des données des clients, mais aussi des prospects et des salariés.

A propos de Christophe Auffray 356 Articles
De formation initiale en marketing Web et en économie, je me suis spécialisé par la suite dans la presse B2B consacrée à l'économie numérique et dispose dans ce secteur de 15 ans d'expérience. Spécialiste de la transformation numérique, de l'innovation et des nouveaux business models des entreprises, j'ai développé des compétences dans les domaines du marketing éditorial, de la stratégie éditoriale, de la production de contenus premium et la gestion de sites d'information et d'équipe dans l'univers des médias en ligne et du marketing des solutions innovantes.