RGPD en Allemagne : amende record pour H&M
Le Commissariat à la protection des données et à la liberté d’information de Hambourg (Allemagne) a annoncé la condamnation de l’enseigne suédoise H&M à une amende de 35,3 millions d´euros dans le cadre d’une affaire de surveillance de plusieurs centaines de ses salariés dans son centre de service de Nuremberg, en Allemagne. Au moins depuis l’année 2014, une importante récolte de données sur la vie privée d’une partie des collaborateurs se déroulait sur place, suite à quoi ces données étaient conservées illégalement sur un lecteur réseau par la direction locale.
Après chaque absence d’un salarié, les responsables du site organisaient un entretien, durant lequel les vacances, voire parfois les symptômes et les diagnostics médicaux après un congé maladie, étaient relevés puis enregistrés numériquement. Par ailleurs, certains supérieurs n’hésitaient pas à s’approprier une large connaissance de la vie privée de leurs collègues lors de discussions informelles avec ces derniers, en allant des problèmes familiaux de certains aux confessions religieuses des autres. Toutes ces informations étaient avec un haut degré de précision ensuite mises à la disposition de prêt d’une cinquantaine de cadres du groupe, tout étant actualisées au cours du temps. Ces données permettaient à la direction, à côté de la mise en place d’une notation méticuleuse de la productivité individuelle, de dresser des profils de chaque employé.
Ce prélèvement massif de données personnelles fut rendu public suite à une erreur informatique en octobre 2019, qui rendit momentanément accessibles les notes de la direction du site dans toute l’entreprise. Juste après avoir été informé de cette collecte de renseignements, le commissaire à la protection des données et à la liberté d´information de Hambourg, Johannes Caspar, ordonna le gel du contenu du lecteur réseau et sa restitution par l´entreprise. L’audition de nombreux témoins permit de confirmer, après analyse des données, l’existence des pratiques documentées sur le lecteur.
Face à la mise en lumière de ce système de contrôle de ses employés, l’enseigne de prêt-à-porter présenta publiquement ses excuses aux victimes et s’engagea à leur verser d’importants dommages et intérêts. Cette découverte de ces nombreuses atteintes à la vie privée amena les responsables à mettre en place des mesures pour améliorer la protection des données au sein de l’entreprise en Allemagne, avec entre autre l’arrivée d’un nouveau coordinateur à la protection des données et l’instauration de mises à jour mensuelles de l’état de la protection des données.
Depuis l’entrée en vigueur en 2018 de la législation européenne sur la protection des données privées (RGPD), cette condamnation est un record en Allemagne, lequel est censé servir d’exemple et « dissuader les autres entreprises de violer la sphère privée de leurs collaborateurs », précise Johannes Caspar. Ce dernier salue tout de même « les efforts d’indemnisation des victimes et de rétablissement de la confiance dans le groupe » de la part de la direction, qui montrent selon lui « la volonté d’exprimer aux personnes concernées le respect et l’estime qu’elles méritent dans leur engagement quotidien pour leur entreprise ».