La note est salée pour la firme suédoise qui vient de se voir infliger une amende de 35 millions d’euros au titre du RGPD pour avoir illégalement surveillé des salariés en Allemagne. La sanction est venue de l’autorité de protection des données de Hambourg et concernait la surveillance de plusieurs centaines d’employés d’un site de Nuremberg.
L’infraction court depuis 2014 où une partie de la main-d’œuvre était soumise « à l'enregistrement de détails sur leur vie privée ». Par exemple, « après des absences comme les vacances et les congés maladie, les chefs d’équipes ont mené des entretiens de retour avec les salariés », souligne le régulateur allemand. A travers ces discussions, « certains superviseurs ont acquis une large connaissance de la vie privée de leurs employés, allant de détails plutôt anodins sur les vacances à des questions familiales et sur les croyances religieuses ».
60 Go de données personnelles exposées
Tout cela aurait pu rester sous le radar du régulateur, si en octobre 2019, cette vaste collecte de données réalisées sur une disque dur n’avait été exposée à toute l’entreprise pendant plusieurs heures, suite à une mauvaise configuration. L’information a fuité dans la presse et le régulateur a demandé le gel du contenu du disque dur, représentant 60 Go de données.
Le professeur Johannes Casper, commissaire au sein de l’autorité de protection des données de Hambourg, indique que cette affaire, « témoigne d’un grave manque de respect pour la protection des données des employées sur le site H&M à Nuremberg ».
L’enseigne de vêtements a pris acte de la décision en promettant de l’examiner attentivement. « L’incident a révélé des pratiques de traitements des données personnelles des employés qui n’étaient pas conformes aux directives et instructions de H&M ». Elle ajoute, « H&M assume l’entière responsabilité et souhaite présenter des excuses sans réserve aux salariés des salariés du centre de servies de Nuremberg ». Elle va mener un plan d’action complet pour améliorer les audits sur la conformité en matière de protection des données, renforcer les connaissances des dirigeants pour assurer un environnement de travail sûr et conforme, et les former ainsi que les salariés dans ce domaine ».