Le 1er octobre dernier, le Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), l’autorité allemande chargée de la protection des données, a condamné la filiale allemande de la société suédoise H&M à payer une amende de 35,3 millions d’euros pour avoir violé le Règlement général sur la protection des données (RGPD). Le BfDI avait ouvert une enquête sur le centre de services de H&M de Nuremberg après les révélations dans la presse de la collecte illicite de données sur la vie privée des employés depuis 2014. Cette pratique avait été révélée grâce à une erreur de configuration du système, qui avait rendu les informations visibles durant quelques heures dans toute l’entreprise en octobre 2019. L’enquête a montré qu’à la suite de vacances ou d’absences pour maladie par exemple, les managers organisaient des rencontres avec les collaborateurs concernés, au cours desquelles ils collectaient des renseignements sur les vacances passées ou la maladie survenue. En outre, certains supérieurs consignaient soigneusement des informations sur la vie privée de leurs employés (problèmes familiaux, convictions religieuses…) grâce à des discussions informelles. Les résultats étaient stockés sur des supports numériques et parfois partagés avec d’autres responsables de l’entreprise. Les données ainsi collectées ont notamment été employées pour dresser un profil des salariés, profil susceptible d’être utilisé lors de décisions touchant les relations professionnelles. H&M a déclaré son intention de verser une compensation financière à tous les employés affectés par cette surveillance illégale.