Le détaillant a reçu la deuxième amende GDPR la plus élevée en Europe à ce jour après que des détails sur la santé des employés, les problèmes familiaux, les croyances religieuses et plus encore aient été exposés à l’ensemble de l’entreprise.
La société de vêtements suédoise H&M s’est vu infliger une amende massive pour avoir enfreint les règles du RGPD en plaçant ses employés sous surveillance. L’amende s’élevait à plus de 35 millions d’euros et a été initiée par un organisme de surveillance de la protection des données en Allemagne, qui a déclaré que ce montant devrait «dissuader les entreprises de violer la vie privée de leurs employés».
Un centre de services H&M à Nuremberg surveillait plusieurs centaines d’employés depuis 2014, a déclaré le commissaire à la protection des données de Hambourg. Selon le chien de garde, il y avait eu «un enregistrement exhaustif de détails sur la vie privée» de certains membres du personnel. Une erreur de configuration au centre en octobre dernier a rendu ces détails visibles à l’ensemble de l’entreprise pendant plusieurs heures.
Une amende « adéquate et efficace »
L’autorité de protection des données de Hambourg a annoncé l’amende jeudi dernier (1er octobre). Il a expliqué qu’après le retour des employés de H&M Nuremberg de vacances et de congés de maladie, on leur a demandé de participer à des «entretiens de bienvenue» avec les superviseurs.
« Le montant de l’amende infligée est adéquat et efficace pour dissuader les entreprises de violer la vie privée de leurs employés »
– PROF JOHANNES CASPAR
«Après ces entretiens, dans de nombreux cas, non seulement les expériences de vacances concrètes des employés ont été enregistrées, mais aussi les symptômes de maladie et les diagnostics», a-t-il ajouté. «En outre, certains superviseurs ont acquis une vaste connaissance de la vie privée de leurs employés grâce à des entretiens personnels et en salle, allant de détails plutôt inoffensifs aux problèmes familiaux et aux croyances religieuses.»
Le professeur Johannes Caspar, commissaire de Hambourg pour la protection des données et la liberté de l’information, a déclaré que l’incident représentait un «mépris grave pour la protection des données des employés».
«Le montant de l’amende infligée est donc adéquat et efficace pour dissuader les entreprises de violer la vie privée de leurs employés», a déclaré Casper.
Selon Forbes, l’amende est la sanction GDPR la plus élevée qui ait été infligée en Allemagne et la deuxième en Europe depuis l’introduction de la législation en 2018.
Déclaration H&M
H&M a publié une réponse à l’amende sur son site Internet. Il a déclaré que la société avait «pleinement coopéré avec les autorités pour la protection pendant le processus ». La déclaration a ajouté que les pratiques de traitement des données mises en évidence lors de l’incident «n’étaient pas conformes» aux directives de l’entreprise.
«H&M assume l’entière responsabilité et souhaite présenter des excuses sans réserve aux employés du centre de service de Nuremberg.
«Un plan d’action complet a été lancé pour améliorer les pratiques d’audit interne afin de garantir la conformité à la confidentialité des données, renforcer les connaissances en leadership pour assurer un environnement de travail sûr et conforme et continuer à former et éduquer le personnel et les dirigeants dans ce domaine.»
Auteur/autrice
