L’entreprise suédoise H&M a été condamnée le 1er octobre 2020 par le Commissariat à la protection des données de Hambourg à une amende de 35 millions d’euros. Il lui est reproché d’avoir collecté et conservé des données personnelles de salariés à leur insu.
Entre 2014 et 2019, des responsables d’un site H&M de Nuremberg ont récolté des informations sur la vie personnelle de leurs salariés. Ainsi, lorsqu’un employé s’absentait pour un arrêt maladie ou pour ses vacances, il était ensuite convoqué par sa hiérarchie à un entretien afin de collecter des informations personnelles telles que les symptômes de la maladie, le diagnostic, mais encore les problèmes familiaux ou les croyances religieuses. Ces informations servaient ensuite à établir un « profil individuel ». L’entreprise a présenté ses excuses aux salariés pour cette atteinte à la protection des données personnelles garantie par le RGPD.
La sanction d’H&M s’inscrit désormais dans une tendance des autorités de protection des données européennes de sanctionner de plus en plus fortement les manquements des entreprises aux principes du RGPD. Des amendes considérables sont ainsi prononcées à leur encontre : 50 millions d’euros à l’encontre de Google, 183 millions de livres sterling contre British Airways, 27,8 millions contre TIM. Il faut donc s’assurer de mettre en place un programme de conformité rigoureux et continu, afin d’empêcher la mise en œuvre de telles pratiques.