Cause ? Non respect du RGPD.
L’autorité de contrôle allemande a prononcé une sanction à l’encontre de H&M pour surveillance illégale de ses employés.
Que s’est-il donc passé ?
Eh bien, il se trouve que l’entreprise procédait à une collecte plutôt extensive de données personnelles de ses employés pour des raisons de gestion de carrière et ce, depuis 2014. Il est question de données extrêmement précises : croyances religieuses, détails sur la vie privée, problèmes personnels, symptômes à chaque absence pour maladie, diagnostics, etc.
Toutes ces informations étaient accessibles à une cinquantaine de managers de l’entreprise et avaient pour but l’évaluation de la performance des employés. Or, une erreur de paramétrage des serveurs de fichiers a rendu ces données accessibles à tout le monde dans l’entreprise…
Que devons-nous tirer de cette affaire ?
Tout d’abord, ne collectez que les informations dont vous avez vraiment besoin. C’est le fameux principe de minimisation des données. Elles doivent être limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.
L’employeur ne peut pas collecter des données personnelles en dehors de la gestion de carrière de ses employés. Il convient de faire le tri entre ce qui est strictement nécessaire et indispensable et le reste.
Deuxièmement, évitez de collecter des données sensibles (articles 9 et 10 du RGPD) : données sur la santé, opinions politiques, croyances religieuses, origine raciale, appartenance syndicale, etc. La collecte de telles informations est soumise à un régime juridique plus contraignant.
Bureau H. 