Attention aux données que vous conservez sur vos travailleurs !

Début octobre, l’autorité de protection des données d’Hambourg a décidé d’infliger une amende de 35,3 millions d’euros au service center de H&M à Nuremberg parce que l’enseigne de mode suédoise avait violé la vie privée de ses travailleurs en conservant de nombreuses données à caractère personnel.

Il s’agissait plus précisément de nombreuses données sensibles, telles que les symptômes de maladie ou les diagnostics médicaux, mais aussi des informations concernant les problèmes relationnels et les croyances. Cet éventail de données détaillées aurait été pris en considération lors de prise de décisions en matière d’emploi. Le RGPD interdit pourtant, par principe, le traitement de telles données sensibles et exige donc qu’il y ait toujours un fondement légal pour les traiter ainsi qu’une exception.

Faits

H&M avait l'habitude d'organiser des "welcome back talks" entre les travailleurs et le chef d'équipe après chaque absence d'un travailleur (vacances, incapacité de travail, brève absence, etc.). Lors de ces entretiens, toutes sortes de choses étaient examinées, comme la cause de l'absence, le ressenti sur les  vacances, etc.  Tout ou partie des données obtenues lors de ces conversations étaient stockées sur une plateforme numérique à laquelle une cinquantaine de responsables avaient accès. Depuis 2014 au moins, de nombreux détails sur la vie privée des travailleurs ont été conservés de cette manière au sein de l'entreprise. En bref, l'entreprise avait développé un large éventail de données très sensibles sur environ 700 travailleurs. En outre, des informations résultant de conversations privées, telles qu'une conversation informelle pendant la pause déjeuner, auraient également été conservées dans le dossier.

Les données conservées auraient été utilisées, entre autres, pour esquisser un profil des travailleurs sur lequel, outre les évaluations liées aux performances, auraient été basées toutes les décisions en matière d'emploi, telles que le renouvellement ou non d'un contrat.

Fuite de données

Le fait que ces données avaient été collectées a été révélé lorsqu'elles ont été involontairement mises à la disposition de tous les travailleurs de l'entreprise pendant quelques heures en raison d'une erreur de configuration dans le système informatique. Le commissaire à la protection des données d’Hambourg a ouvert une enquête après que cette fuite ait été signalée.

Décision

Même si H&M a toujours adopté une attitude coopérative et a annoncé qu'elle accorderait une aide financière aux travailleurs concernés, l'autorité de protection des données d’Hambourg a infligé à l'entreprise une amende substantielle de 35.258 707,95 euros. Selon le commissaire, ce montant est justifié par le fait que l'enquête sur la vie privée des travailleurs, l’enregistrement et la mise à jour continus de ces données ont violé les droits des travailleurs de manière particulièrement grave. Il est souligné qu'une amende de ce calibre est donc appropriée et, en même temps, un moyen efficace de dissuader d'autres employeurs de violer la vie privée de leurs travailleurs.  

En réponse, H&M a non seulement présenté ses excuses, mais a également accordé une compensation aux travailleurs concernés qui avaient été occupés pendant au moins un mois depuis mai 2018, date à laquelle le RGPD est entré en vigueur. Selon l'autorité de contrôle de Hambourg, cette compensation démontre clairement la volonté de donner aux travailleurs le respect et la reconnaissance qu'ils méritent en tant que travailleurs dans le contexte du RGPD . En outre, la société a également lancé un plan d'action visant à améliorer les pratiques d'audit interne afin de garantir le respect des règles en matière de protection des données.

D’après les informations dont nous disposons, H&M ne contestera pas la décision et cette décision est définitive.

Point d'action

Comme le RGPD est un cadre juridique européen, cet arrêt est également pertinent pour les employeurs belges. En tant qu'employeur, veillez à ne pas conserver de données qui ne sont pas nécessaires ou qui ne peuvent être justifiées dans le cadre de la relation de travail, en particulier les données que le RGPD classe comme sensibles, telles que les informations sur la santé, les opinions politiques, les croyances religieuses, l'origine ethnique, etc.