35,3 millions d’euros.
Voilà ce que peut coûter une infraction liée au non-respect du règlement général sur la protection des données (RGPD). En effet, le 1er octobre 2020, la filiale allemande du groupe H&M a été sanctionnée par le Commissariat à la protection des données et à la liberté d’information de Hambourg pour avoir collecté et stocké massivement les données personnelles de ses salariés dans une enseigne de Nuremberg.
L’infraction court depuis 2014. Or, il aura fallu attendre 2019 pour que ces salariés prennent connaissance d’une atteinte à leur droit au respect de la vie privée, d’ailleurs protégé par l’article 8 de la Convention Européenne des Droits de l’Homme (CEDH). Leurs données, collectées puis numérisées illégalement par la direction du magasin bavarois, ont été exposées au vu et au su de toute l’entreprise suite à une mauvaise configuration informatique. Il n’en fallait pas moins pour que les faits, révélés à la presse allemande, alimentent le scandale H&M.
Qu’est ce qu’une donnée à caractère personnel ?
Selon l’article 4. 1 du RGPD, une donnée à caractère personnel désigne « toute information se rapportant à une personne physique identifiée ou identifiable », et cette personne « peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation (…) à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ». L’identification d’une personne peut se faire à partir d’une seule donnée, ou du croisement d’un ensemble de données. Par ailleurs, un traitement des données personnelles est caractérisé, au sens de l’article 4. 2 du RGPD, dès lors que ces données sont récoltées et conservées.
Une violation du RGPD par les dirigeants de la filiale allemande H&M
Les dirigeants de l’enseigne allemande H&M avaient pris pour habitude, au retour des vacances et congés maladies de leurs employés, d’organiser des entretiens. À cette occasion, les salariés se sont livrés sur des faits anodins, mais également sur leur croyance religieuse, leur état de santé ou encore leur opinion politique. Il s’agit non plus seulement de données personnelles, mais de données dites « sensibles » en ce qu’elles touchent à l’intimité des personnes. Passé ces entretiens, les dirigeants conservaient les informations ainsi obtenues sur un disque dur. Plus de 60 Go de données étaient alors mis à la disposition d’une cinquantaine de cadres du groupe.
Les données sensibles, pouvant donner lieu à des discriminations, font l’objet d’une vigilance renforcée par le RGPD. En effet, leur utilisation détournée représente un risque élevé pour les individus. Le principe posé à l’article 9-1 du RGPD est l’interdiction de leur collecte. Toutefois, il peut être dérogé à ce principe lorsque la personne y a explicitement et librement consenti, et qu’il existe une proportionnalité entre la collecte et la finalité du traitement des données. Cependant, le traitement poursuivait en l’espèce une fin illicite en ce qu’il permettait d’établir une surveillance et un profilage de chaque salarié. En outre, les informations les concernant étaient régulièrement actualisées.
Suite à la condamnation par le Commissariat à la protection des données et à la liberté d’information de Hambourg, l’équivalent de la Commission nationale de l’informatique et des libertés (CNIL) en France, H&M n’avait pas d’autre choix que d’assumer sa responsabilité, et de présenter ses excuses publiques aux salariés. En effet, « l’affaire témoigne d’un grave manque de respect pour la protection des données des employés sur le site H&M à Nuremberg » selon Johannes Caspar, commissaire à l’autorité de protection des données de Hambourg.
D’autre part, une grande enseigne telle qu’H&M craint davantage pour sa réputation. L’expérience a déjà fait savoir qu’un « bad buzz » pouvait faire perdre de la valeur boursière à une entreprise. La célèbre enseigne de prêt-à-porter a donc fait le choix de mettre en place des mesures concrètes pour garantir la protection des données personnelles qu’elle traite selon le principe d’accountability (de responsabilisation en français), posé à l’article 24 du RGPD. Pour rétablir la confiance dans le groupe, H&M s’engage à améliorer les audits en matière de protection des données personnelles, ainsi qu’à améliorer la connaissance des dirigeants et des salariés en la matière.
Le RGPD, un nouveau cadre juridique protecteur des données personnelles
Le règlement européen du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, plus simplement nommé RGPD, est entré en vigueur le 25 mai 2018. Remplaçant la directive européenne du 24 octobre 1995, il est le nouveau cadre européen concernant le traitement des données personnelles.
Notamment, celui-ci prévoit des obligations renforcées à l’égard des organisations, publiques comme privées, établies dans les états membres, mais également à l’égard de celles établies hors de l’Union Européenne, dès lors que leurs activités ciblent des résidents européens. Plusieurs principes relatifs au traitement des données sont énoncés à l’article 5 du RGPD. Parmi eux, nous retrouvons le principe de loyauté, de finalité, de proportionnalité, de durée limitée, de sécurité et de confidentialité.
Pour en revenir aux faits, le consentement des salariés n’avait pas été obtenu, ce qui déroge au principe de loyauté. Les dirigeants de l’enseigne, ici responsables de traitement, se devaient également de leur fournir des informations au stade de la collecte et / ou de l’exploitation de leurs données. De plus, les données sensibles faisaient l’objet d’une libre communication aux cadres du groupe H&M, violant de manière délibérée le principe de confidentialité. Enfin, le traitement poursuivait une fin illicite, puisqu’il n’avait que pour objectif de prédire les performances des salariés à travers l’analyse de leur situation personnelle. Seules les données strictement utiles à l’activité du groupe auraient pu être récoltées en vertu du principe de minimisation des données.
Par ailleurs, l’Europe obéit au régime « opt-in ». Cela implique d’obtenir le consentement préalable de l’individu pour pouvoir collecter ses données personnelles. Ce régime se combine avec l’article 21 du RGPD, consacrant le droit de s’opposer au traitement des données. Il est également possible pour les salariés d’H&M, via l’application de l’article 17 du RGPD, de réclamer l’effacement des données collectées au titre que leur traitement est illicite.
Et en France ?
La France est également soumise au RGPD en matière de protection des données personnelles. La CNIL, en tant qu’autorité de contrôle indépendante des pouvoirs publics, est en charge de vérifier le respect de ce règlement par les entreprises et les organismes publics. Depuis 2004, elle a le pouvoir de prononcer des sanctions si une violation des données personnelles est avérée. Concernant le traitement des données sensibles, les entreprises doivent toujours déclarer les fichiers enregistrant de telles données à la CNIL. En revanche, pour les données simplement personnelles, la loi du 20 juin 2018 a fait disparaitre ces formalités préalables.
Par ailleurs, la loi Informatique et Libertés du 6 janvier 1978, qui intervient aujourd’hui en complément du RGPD, est la première loi mondiale sur la protection des données personnelles. Selon son article premier, l’informatique « ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques ». Quant à la loi pour une République numérique, en date du 7 octobre 2016, elle renforce le principe selon lequel chaque individu dispose du droit de décider et de contrôler les usages qui sont faits de ses données. C’est ce que l’on appelle le droit à l’autodétermination informationnelle.
A l’échelle européenne, la protection des données personnelles des salariés est donc pleinement rendue effective. Le groupe H&M est ainsi prévenu : aucun manquement au RGPD ne sera toléré !
Sources :
- « RGPD : H&M écope de 35 M€ d’amende pour surveillance illégale des employés », article rédigé par Jacques Chelinat et publié le 5 octobre 2020 dans Le Monde Informatique
- « RGPD : 15 questions pour comprendre le règlement sur la protection des données personnelles », article rédigé par Julien Lausson, et publié le 25 mai 2019 dans Numerama
- « H&M condamné en Allemagne pour avoir surveillé ses salariés », article publié le 2 octobre 2020 dans Courrier international, et ayant pour source le journal Süddeutsche Zeitung – Munich
- « Référentiel relatif aux traitements de données à caractère personnel mis en oeuvre par des organismes privés ou publics aux fins de gestion du personnel », pages 3 à 6, site de la CNIL
- « RGPD : de quoi parle-t-on ? », site de la CNIL
- « La protection des données personnelles, le RGPD et la loi française du 20 juin 2018 », ouvrage rédigé par Guillaume Desgens-Pasanau et paru en 2019 chez LexisNexis, « Chapitre 1 : qu’est ce que la protection des données à caractère personnel ? »
- MOOC « atelier RGPD » proposé par la CNIL : https://atelier-rgpd.cnil.fr/