Le commissaire à la protection des données et à la liberté d’information de Hambourg a infligé à H&M une amende de 35,3 millions d’euros pour traitement de données RH illicite dans son centre de services basé à Nuremberg.
En effet, l’autorité a découvert que la direction du centre de service de H&M à Nuremberg avait recours à des activités de surveillance très intrusives sur des centaines de salariés afin de prendre des décisions les concernant et évaluer leur performance.
Ces activités ont été révélées suite à une erreur de configuration qui a pour effet de rendre les données disponibles dans toute l’entreprise pendant plusieurs heures en octobre 2019.
Bien que H&M ait offert une compensation généreuse aux salariés concerné et mis en œuvre des mesures correctives afin de se conformer au RGPD, l’Autorité a maintenu l’amende.
Cette décision, dont le montant est significatif, est un rappel que la mise en conformité au RGPD doit également se concentrer sur les activités de RH et pas seulement du côté des clients. En pratique, dans les grandes entreprises, de nombreux problèmes proviennent des RH et des plaintes des employés ou anciens employés.
Le contexte
En octobre 2019, une erreur de configuration a eu pour effet de rendre accessible des données RH dans toute l’entreprise et a révélé des activités de surveillance très intrusives des salariés.
Selon l’autorité de Hambourg, qui a mené une enquête, il semble que depuis au moins 2014, l’entreprise dispose d’un fichier contenant un grand nombre d’information relative à la vie privée des salariés stockées en permanence sur un disque réseau.
Ces informations étaient notamment collectées à la suite d’une absence telle que des vacances ou une maladie (y compris une courte absence), les directions menaient ce que l’entreprise appelait des « Welcome Back Talks » avec leurs salariés, permettant à l’entreprise d’enregistrer les détails des vacances ou des symptômes de maladie et des diagnostics.
Outre ces entretiens formels, certains managers enregistraient numériquement les détails de la vie privée des salariés de leur équipe qu’ils avaient entendus lors de discussions informelles telles que les croyances religieuses ou des problèmes familiaux et étiaent parfois très détaillés afin de couvrir et documenter l’évolution des problèmes. Ces enregistrements pouvaient être partiellement lus par 50 cadres de l’entreprise.
Ce dossier servait à évaluer les performances professionnelles et à prendre des décisions concernant leur emploi.
Procédure
Après la divulgation accidentelle du dossier au sein de l’entreprise pendant plusieurs heures en octobre 2019, le commissaire de Hambourg a été informé des activités de l’entreprise par des articles de presse.
Une fois au courant, l’Autorité a ordonné le « gel » du contenu du disque dur du réseau et a remis et interrogé de nombreux témoins pour confirmer les pratiques.
Compensation / mesures correctives
La direction a pris diverses mesures correctives, notamment en présentant un plan sur la manière dont la protection des données sera désormais mise en œuvre dans le centre de services de Nuremberg. Ce plan comprend la nomination d’un nouveau coordinateur de la protection des données, des mises à jour mensuelles du statut de la protection des données, une protection accrue des dénonciateurs et un concept cohérent pour traiter les droits d’accès des personnes concernées.
La direction de l’entreprise a présenté ses excuses aux personnes concernées et a suggéré de verser aux employés une compensation considérable.
Malgré l’indemnisation et le plan de protection des données proposé par H&M, l’autorité de contrôle a quand même imposé une amende de 35,3 millions d’euros à H&M.
