Le scandale H&M : une leçon de confidentialité pour les ressources humaines

H&M Allemagne : Un « bad buzz » à 35 millions d’€ et une réputation entachée !

Quand les RH viole la vie privée de leurs salariés

En 2020, la filiale allemande de H&M a écopé d’une amende record de 35,3 millions d’euros pour avoir espionné… ses propres employés. Pendant des années, les managers ont collecté des données ultra-personnelles — santé, vie de famille, croyances religieuses — sans base légale. Une violation flagrante du RGPD, notamment des articles 5 (minimisation) et 9 (interdiction du traitement de données sensibles). Au-delà de l’amende, c’est la réputation de l’entreprise qui a été mise en cause auprès de ses employés, ses partenaires et surtout ses clients.

Des entretiens de retour transformés en fiches secrètes

Entre 2014 et 2019, dans le centre H&M de Nuremberg, les responsables menaient des Welcome Back Talks censés faciliter le retour au travail. En réalité, ces entretiens servaient à collecter massivement les données personnelles de ses salariés, en particulier des détails intimes : symptômes de maladie, projets familiaux, vacances, voire opinions personnelles.
Ces notes étaient stockées dans un outil interne accessible à plusieurs dizaines de managers. Plus de 60 Go de données ont été collectées et stockées… Jusqu’au jour où une erreur de configuration a rendu ces fichiers visibles à tout le personnel… et révélé l’ampleur du scandale.

Trop tard pour éviter une crise d’image mondiale !

Le Commissariat à la protection des données et à la liberté d’information de Hambourg a tranché : une amende de 35,3 millions d’€ et un rappel à l’ordre historique.

H&M a, en effet, violé plusieurs principes clés du RGPD.

– Données non pertinentes et excessives (violation du principe de minimisation).

– Collecte de données sensibles sans consentement explicite.

– Manque de transparence et de contrôle d’accès.

Face à cette décision, H&M a vite réagi : excuses publiques, indemnisation des employés et refonte totale de sa politique RH. Malheureusement, le mal était fait. Son image a été entachée…

Ce que les RH doivent retenir en termes de « Privacy »

L’affaire H&M a agi comme un électrochoc. Les services RH gèrent chaque jour des informations sensibles, sans cadre clair, le risque de dérive est immense.

Petit rappel :

– Ce qui peut être collecté légalement : données d’état civil, paie, santé au travail.

– Ce qui ne l’est pas : croyances, vie privée, diagnostics médicaux, opinions personnelles.

Comment éviter ce type de scandale « RH »?

La règle d’or des RH en matière de données personnelles : ne garder que ce qui est strictement nécessaire. Et surtout, informer les salariés de chaque traitement.

– Former les managers au RGPD et à la confidentialité.

– Encadrer les entretiens individuels : questions autorisées, archivage limité.

– Auditer régulièrement les pratiques RH.

– Impliquer le DPO dès qu’un nouveau processus RH touche aux données.

Ces réflexes simples protègent autant les salariés que la réputation de votre entreprise.