Coup dur pour H&M. Le géant suédois du prêt-à-porter vient d’être condamné à payer une amende record de plus de 35,2 millions d’euros en Allemagne. L’objet de cette sanction : la récolte et le stockage massif des données personnelles des employés de l’entreprise entre 2014 et 2019, rapporte le Courrier International.

Une affaire qui remonte à 2014

Depuis au moins 2014, la direction du magasin H&M de Nuremberg collectait et stockait illégalement les données personnelles de ses salariés, qu’elle recueillait au travers d’un système bien huilé. En cas d’absence d’un employé par exemple, les managers de la boutique allaient jusqu’à demander à celui-ci de préciser ses symptômes et antécédents médicaux, avant de les regrouper dans un fichier servant à établir des profils individuels.

Plus encore, lors de discussions informelles, les supérieurs de l’enseigne obtenaient des informations sur les éléments de la vie privée de leurs collaborateurs, comme les croyantes religieuses ou les problèmes familiaux, qu’ils renseignaient par la suite dans ce fameux fichier : “Des données concernant la santé, depuis les fuites urinaires jusqu’aux cancers, mais aussi des données sur le milieu social, tels les conflits familiaux, les décès ou les vacances”. L’affaire a finalement été rendue en 2019, lorsqu’une enquête a été ouverte suite à une fuite de données causée par une erreur de configuration.

H&M s’excuse publiquement auprès de ses employés

Face à la mise en lumière de cette situation, H&M a présenté publiquement ses excuses à la centaine d’employés victime de cette récolte illégale de données, en plus de lui promettre des indemnisations. Elle a également remanié le management sur son site de Nuremberg, et assure avoir supprimé l’ensemble des données stockées illégalement.

De son côté, l’autorité de protection des données de Hambourg (l’équivalent de la CNIL) a condamné l’enseigne de prêt-à-porter à payer une amende de plus de 35,2 millions d’euros. Un record, puisqu’il s’agit du montant le plus important infligé par l’Allemagne au nom de la législation européenne sur la protection des données privées (RGPD) qui est entrée en vigueur en 2018.

H&M sert ainsi d’exemple, afin de « dissuader les autres entreprises » de céder aux mêmes pratiques, précise l’autorité de protection des données de Hambourg. Pour rappel, les entreprises peuvent écoper d’amendes allant jusqu’à 4% de leur chiffre d’affaires, dans le cadre d’une violation des normes RGPD. Pourtant, au début 2020, un rapport révélait que 90% des sites ne seraient pas encore en accord avec cette législation. D’ailleurs, au mois d’août, 101 entreprises européennes ont été attaquées pour non respect du RGPD.