Styrmir

Le scandale H&M : une leçon de confidentialité pour les ressources humaines

H&M Allemagne : Un « bad buzz » à 35 millions d’€ et une réputation entachée !

Quand les RH viole la vie privée de leurs salariés

En 2020, la filiale allemande de H&M a écopé d’une amende record de 35,3 millions d’euros pour avoir espionné… ses propres employés. Pendant des années, les managers ont collecté des données ultra-personnelles — santé, vie de famille, croyances religieuses — sans base légale. Une violation flagrante du RGPD, notamment des articles 5 (minimisation) et 9 (interdiction du traitement de données sensibles). Au-delà de l’amende, c’est la réputation de l’entreprise qui a été mise en cause auprès de ses employés, ses partenaires et surtout ses clients.

Des entretiens de retour transformés en fiches secrètes

Entre 2014 et 2019, dans le centre H&M de Nuremberg, les responsables menaient des Welcome Back Talks censés faciliter le retour au travail. En réalité, ces entretiens servaient à collecter massivement les données personnelles de ses salariés, en particulier des détails intimes : symptômes de maladie, projets familiaux, vacances, voire opinions personnelles.
Ces notes étaient stockées dans un outil interne accessible à plusieurs dizaines de managers. Plus de 60 Go de données ont été collectées et stockées… Jusqu’au jour où une erreur de configuration a rendu ces fichiers visibles à tout le personnel… et révélé l’ampleur du scandale.

Trop tard pour éviter une crise d’image mondiale !

Le Commissariat à la protection des données et à la liberté d’information de Hambourg a tranché : une amende de 35,3 millions d’et un rappel à l’ordre historique.

H&M a, en effet, violé plusieurs principes clés du RGPD.

Données non pertinentes et excessives (violation du principe de minimisation).
Collecte de données sensibles sans consentement explicite.
Manque de transparence et de contrôle d’accès.

Face à cette décision, H&M a vite réagi : excuses publiques, indemnisation des employés et refonte totale de sa politique RH. Malheureusement, le mal était fait. Son image a été entachée…

Ce que les RH doivent retenir en termes de « Privacy »

L’affaire H&M a agi comme un électrochoc. Les services RH gèrent chaque jour des informations sensibles, sans cadre clair, le risque de dérive est immense.

Petit rappel :

Ce qui peut être collecté légalement : données d’état civil, paie, santé au travail.
Ce qui ne l’est pas : croyances, vie privée, diagnostics médicaux, opinions personnelles.

Comment éviter ce type de scandale « RH »?

La règle d’or des RH en matière de données personnelles : ne garder que ce qui est strictement nécessaire. Et surtout, informer les salariés de chaque traitement.

Former les managers au RGPD et à la confidentialité.
Encadrer les entretiens individuels : questions autorisées, archivage limité.
Auditer régulièrement les pratiques RH.
Impliquer le DPO dès qu’un nouveau processus RH touche aux données.

Ces réflexes simples protègent autant les salariés que la réputation de votre entreprise.

by Styrmir

British Airways : une « petite faille » à 20 millions de livres

« Errare humanum est, perseverare diabolicum ». Quand la confiance vacille, on en peut en payer le prix.

L’affaire British Airways (BA) est devenue un cas d’école en matière de cybersécurité et de conformité au RGPD : une faille technique minime, exploitée par des cybercriminels aguerris, s’est transformée en une amende de 20 millions de livres et une crise réputationnelle majeure.

La faille : un script tiers détourné

L’été 2018, entre le 22 juin et le 5 septembre, des pirates infiltrent le site officiel de BA via un script JavaScript obsolète(Modernizr), compromis depuis des années. Cette technique est typique du groupe Magecart, collectif criminel spécialisé dans le web skimming (injection de code sur des sites e-commerce pour voler les données de paiement).

Leur méthode :

  • injection d’un code malveillant sur la page de paiement ;

  • redirection des données clients vers un faux domaine quasi identique (baways.com) ;

  • collecte silencieuse de données personnelles et bancaires (noms, adresses, numéros de carte, CVV).

En deux mois, plus de 430 000 personnes sont impactées – clients comme employés. Le tout sans détection immédiate : preuve qu’une absence de supervision proactive (via un SIEMSecurity Information and Event Management, un outil de corrélation d’alertes – et un SOCSecurity Operations Center, centre de surveillance dédié – ou encore un EDR, Endpoint Detection and Response, pour analyser les postes de travail) laisse le champ libre à ce type d’attaque.

Ce que l’ICO reproche à British Airways

L’Information Commissioner’s Office (ICO, régulateur britannique des données) a pointé de graves manquements aux articles 5(1)(f) et 32 du RGPD (Règlement Général sur la Protection des Données, cadre européen de protection des données personnelles).

Les lacunes identifiées étaient multiples :

  • Identifiants sensibles stockés en clair : login et mots de passe d’administrateurs accessibles.

  • Absence de MFA (Multi-Factor Authentication, authentification multifacteur), pourtant devenue un standard de sécurité sur les systèmes critiques.

  • Données bancaires conservées illégalement, y compris les CVV, en violation du PCI DSS (Payment Card Industry Data Security Standard, norme mondiale de sécurité pour les paiements).

  • Surveillance et audit insuffisants, aucun mécanisme robuste de détection d’intrusion.

  • Chaîne de confiance défaillante : un script tiers vulnérable exploité, révélant une gouvernance insuffisante des prestataires.

Autrement dit, BA a manqué aux fondamentaux de la cyber-hygiène. Des mesures reconnues comme standards – ISO 27001 (International Organization for Standardization 27001, norme internationale de gestion de la sécurité de l’information), NIS2 (Network and Information Security Directive 2, directive européenne pour les secteurs essentiels), DORA (Digital Operational Resilience Act, règlement européen sur la résilience du secteur financier) – auraient permis d’éviter une telle situation.

L’amende : spectaculaire et symbolique

En juillet 2019, l’ICO annonçait une amende record de 183 millions de livres (1,5 % du chiffre d’affaires mondial). Finalement, la sanction fut réduite à 20 millions de livres en octobre 2020.

Malgré cette réduction, il s’agit à l’époque de la plus lourde amende jamais infligée par le régulateur britannique. Le message est clair : l’inaction coûte cher – en argent, en image et en confiance.

Les leçons à retenir

Cette affaire a marqué un tournant et illustre plusieurs enseignements pour toutes les organisations manipulant des données sensibles :

  • La sécurité ne s’arrête pas au pare-feu : mises à jour régulières, contrôle des scripts tiers, segmentation réseau sont indispensables.

  • Supervision proactive : détection rapide des signaux faibles via SOC, SIEM, EDR, en cohérence avec les recommandations de l’ANSSI.

  • Gestion des tiers et supply chain : un pilier du NIS2 et de DORA, désormais incontournable.

  • Pouvoir dissuasif du RGPD : les amendes (jusqu’à 20 M€ ou 4 % du CA mondial) ne sont pas théoriques, elles tombent.

  • Communication transparente et rapide : notifier dans les 72 heures (article 33 du RGPD) et informer les victimes (article 34).

  • Culture de sécurité : la responsabilité ne repose pas que sur les techniciens, mais aussi sur la gouvernance et les décisions budgétaires.

Conclusion

Le cas British Airways dépasse la simple “faille technique exploitée”. C’est une démonstration des dynamiques de responsabilité dans le monde numérique moderne. Une mise à jour oubliée, un fournisseur non audité, une supervision absente… et le coût se chiffre en millions.

Avec le RGPD comme socle, et désormais NIS2 et DORA pour les secteurs critiques, les régulateurs rappellent que la cybersécurité n’est plus une option : c’est un enjeu stratégique, juridique et moral. La confiance numérique se construit – ou se perd – à coups de vigilance quotidienne.

by Styrmir

© 2025 Varden Security. All rights reserved