L’Allemagne a infligé jeudi une amende sans précédent de 35,3 millions d’euros au groupe de prêt-à-porter H&M, pour avoir enregistré des données privées de certains salariés à leur insu, a annoncé le centre de protection des données du pays jeudi.
« Une amende de 35.258.707,95 euros est requise contre H&M (…) pour une affaire de surveillance de plusieurs centaines de ses collaborateurs », a indiqué le Commissariat à la protection des données de Hambourg.
Il s’agit du montant le plus important infligé par l’Allemagne à une entreprise au nom de la législation européenne sur la protection des données privées (RGPD), depuis son entrée en vigueur en 2018, a indiqué une porte-parole de l’institution à l’AFP.
Les autorités reprochent au groupe de prêt-à-porter d’avoir laissé des responsables d’un site H&M, à Nuremberg (sud), rassembler et stocker des informations sur leurs salariés, entre 2014 et 2019. « Certains de ces supérieurs ont acquis une large connaissance de la vie privée de leurs employés », a constaté le centre de protection.
Après l’absence d’un collaborateur, les responsables du site organisaient systématiquement un entretien, traitant « des vacances », ou des « symptômes et diagnostics » du salarié, en cas de congés maladie. Ces informations étaient ensuite « enregistrées », stockées numériquement, et servaient à « établir des profils individuels ».
Les supérieurs obtenaient également des éléments de vie privée de leurs collaborateurs lors de discussions informelles, notamment sur des « problèmes familiaux », ou des « croyances religieuses ». Ces données étaient ensuite « disponibles à la lecture pour jusqu’à 50 responsables du groupe ».
Réagissant à la décision des autorités allemandes, la marque de prêt-à-porter a présenté ses excuses pour des faits qu’elle estime « non conformes aux directives et instructions » du groupe.
H&M insiste sur l’aspect « local » de ces pratiques, et affirme avoir « signalé immédiatement les faits » aux autorités, après en avoir pris connaissance.
Ces faits ont été dévoilés en octobre 2019, lorsqu‘une erreur informatique les a rendus accessibles, pendant quelques heures, à l’ensemble de l’entreprise.
Le Règlement européen de protection des données a renforcé les obligations des entreprises en terme de protection de la vie privée. Il prévoit des amendes pouvant aller jusqu’à 4% de leur chiffre d’affaires.
En 2019, l’Allemagne a déjà condamné le groupe immobilier Deutsche Wohnen à une amende de 14,5 millions d’euros pour avoir archivé des données sensibles de ses locataires.
La France a de son côté infligé une sanction de 50 millions d’euros au géant de l’informatique Google, pour défaut d’information de ses utilisateurs de leurs données personnelles.
L’amende la plus élevée a été infligée par le Royaume-Uni à la compagnie aérienne British Airways, qui a écopé en 2019 d’une sanction de 183 millions de livres (200 millions d’euros), pour un vol des données financières de centaines de milliers de ses clients.