Blog Données personnelles
Deuxième amende record de 35.3 millions d’euros en Allemagne pour non respect du RGPD
Le 1er octobre 2020, l’autorité de protection des données de Hambourg (der hamburgische Beauftragte für Datenschutz und Informationsfreiheit) a ordonné une amende de 35 258 707,95 euros à l’encontre de la multinationale H&M. A ce jour, il s’agit de la deuxième amende la plus élevée prononcée en application du RGPD, à la suite de l’amende prononcée en janvier 2019 par la CNIL de 50 millions d’euros à l’encontre de Google.
La société H&M a été sanctionnée à la suite d’une erreur de configuration rendant accessible un traitement de données relatif aux salariés de son centre de service situé à Nuremberg à tous ses collaborateurs.
Le traitement en cause était mis en œuvre depuis 2014 au moins, et cochait toute les cases de non conformité aux principes de protection des données personnelles.
Collecte de donnée détaillées sur la vie privée, profilage des salariés à leur insu, notes confidentielles stockées de manière permanente sur un disque réseau. Les données collectées concernaient les absences telles que les vacances et les congés de maladie des salariés, et comportaient notamment leurs données de santé, des informations familiales et des opinions religieuses. Les données étaient rendues accessibles à plus de 50 cadres de l’entreprise sans habilitation spécifique.
Au regard du RGPD et de la loi fédérale allemande sur la protection des données, ce traitement ne respecte pas le principe de minimisation des données qui impose de ne collecter que les données nécessaires au traitement. La société ne respecte pas non plus l’obligation de limiter la durée de conservation des données.
En outre, ce traitement de données n’avait aucun fondement légal et les personnes n’étaient pas informées de la collecte de ces données pour partie sensibles.