H & M n’a pas le droit de recueillir des informations confidentielles sur ses employés à leur insu. Pour ne pas avoir suivi cette règle en Allemagne, la chaîne suédoise de prêt-à-porter devra payer une amende de 35,3 millions d’euros, a annoncé jeudi le Commissariat à la protection des données de Hambourg.

L’affaire remonte à octobre 2019, explique la Süddeutsche Zeitung. Depuis au moins 2014, la direction du magasin bavarois de Nuremberg avait bâti tout un système de recueil d’informations confidentielles à propos de centaines de salariés. “Des données concernant la santé, depuis les fuites urinaires jusqu’aux cancers, mais aussi des données sur le milieu social, tels les conflits familiaux, les décès ou les vacances”, étaient soigneusement et systématiquement recueillies à l’insu des personnes concernées. Et accessibles à une cinquantaine de managers de l’entreprise.

Excuses publiques

H&M s’est publiquement excusé auprès des employés concernés, qu’elle a l’intention d’indemniser. Depuis que l’affaire a été rendue publique, l’entreprise dit avoir remanié sa chaîne de management à Nuremberg, avoir formé les employés et pris ses “précautions pour supprimer les données stockées”.

À lire aussi : Vie privée. Union européenne : une si délicate protection des données

Le montant de l’amende, particulièrement élevé, est une façon de “dissuader les autres entreprises”, estime l’autorité de protection des données de Hambourg (l’équivalent d’une Cnil régionale, H & M ayant son siège allemand à Hambourg). Avec le règlement général sur la protection des données (RGPD), en vigueur depuis 2018 en Europe, les entreprises ont des obligations renforcées en termes de protection de la vie privée et peuvent écoper d’amendes allant jusqu’à 4 % de leur chiffre d’affaires.