L’autorité de protection des données d’Hambourg a prononcé une importante sanction à l’encontre d’une société H&M localisée à Nuremberg pour atteinte grave à la vie privée de ses employés.
L’affaire concerne un cas de surveillance de plusieurs centaines d’employés d’une société H&M localisée à Nuremberg.
Dans son communiqué de presse, le régulateur expose que, depuis 2014, une partie des employés faisait l’objet d’enregistrements concernant de nombreux détails relatif à leur vie privée :
- Les « notes de correspondance » étaient stockées en permanence sur le réseau ;
- Après une absence (vacance ou arrêt maladie, même de courte durée), le management réalisait des « Welcome back talks » (discussion de retour) avec leurs employés, dont le contenu était enregistré ;
- De plus, certains managers disposaient d’une grande connaissance de la vie privée de leurs employés grâce aux discussions informelles, allant du plus petit détail aux questions familiales ou de croyances religieuses.
Ces informations, enregistrées et stockées numériquement, étaient rendues accessibles à une cinquantaine de managers au sein de l’entreprise. Celles-ci étaient non seulement utilisées dans le cadre d’une évaluation méticuleuse des performances individuelles au travail, mais également, pour établir un profil détaillé des employés.
Ces pratiques ont été révélées au grand jour à la suite d’un problème technique, ayant rendu accessible ces données dans l’entreprise.
C’est après avoir été informée de ce traitement dans la presse, que l’autorité d’Hambourg a ordonné, d’une part, une limitation du traitement (que ces contenus stockés sur le serveur soient « gelés ») et, d’autre part, une remise des données pour analyse.
À la suite de cet incident, les responsables ont pris diverses mesures correctives. L’autorité relève que la direction de l’entreprise a présenté des excuses expresses aux personnes concernées, et également suivi la suggestion de verser aux employés un « dédommagement considérable ». C’est, pour elle, une reconnaissance sans précédent par une société de sa responsabilité à la suite d’un tel incident relatif à la protection des données.
Un commissaire de l’autorité de protection des données d’Hambourg a commenté en indiquant qu’il s’agissait d’un grave manquement à la protection des données des employés et que le montant de l’amende était adéquat et effectif pour dissuader les sociétés de violer la vie privée de leurs employés.
