35 millions d'euros d'amende pour non respect du RGPD

La semaine dernière j’envoyais ma newsletter en adressant un mot à propos des nouvelles recommandations de la CNIL en matière de cookies. En substance j’expliquais qu’il valait mieux ne pas perdre trop de temps avec ces recommandations, car les cookies génèrent relativement peu d’enjeux en termes de droit et libertés des personnes (à l’exception de certaines régies publicitaires qui font du suivi comportemental). En substance, j’indiquais qu’il valait mieux se concentrer sur les choses suivantes :

“Par contre, de nombreuses entreprises ont des enjeux tout à fait réels qui pour le coup sont souvent ignorés, comme :

  • La vidéosurveillance (ex : ou plus généralement, la légalité de la collecte des données personnelles, qui a généré plus de 50 millions d’euros de sanction jusqu’à présent juste pour la France… si je m’en tiens au respect de l’article 5)
  • La gestion des fichiers RH et leur conformité RGPD (opportunément invoqué quand on a un contentieux RH…)
  • La conformité aux recommandations de sécurité informatique de la CNIL (plusieurs millions d’euros de sanctions prononcées par la CNIL)”

Le lendemain, on apprenait que la CNIL allemande venait de sanctionner l’entreprise H&M a 35 millions d’euros (en fait 35,258,707.95€ pour être exact), pour surveillance illégale de ses propres employés. Exactement le type d’atteintes à la vie privée pour lesquelles le RGPD a été édicté, et précisément ce sur quoi les organisations devraient se concentrer. Quoi de mieux que l’actualité pour illustrer mon propos originel ? Alors que de nombreux webmasters vont passer des jours ou de semaines sur les recommandations cookies, ce qui est important côté RGPD reste encore trop souvent totalement ignoré des organisations.

Revenons donc rapidement sur les faits avant de reprendre ce sur quoi il faut être attentif.

Les faits

L’entreprise H&M avait, depuis 2014, opéré une collecte extensive de données personnelles relatives à ses employés afin de créer des profils types sur eux ; l’objectif affiché de ces profils était la gestion de carrière, et contenaient des informations très détaillées, dont informations médicales très précises (détails des symptômes à chaque absence pour maladie, détails de la maladie en question, détails des diagnostics, etc.), ainsi que des informations relatives aux croyances religieuses, des détails précis relatifs à leur vie privée, autant qu’à leurs problèmes personnels.

Ces fiches, accessibles à l’ensemble des managers de l’entreprise (50 personnes), étaient utilisées pour l’évaluation de la performance des employés et la définition de leurs perspectives de carrière. La révélation de cette collecte de données privées a été causée par une erreur de paramétrage des serveurs de fichiers de l’entreprise qui a permis l’accès à ces fiches sans restriction à l’ensemble des employés et a été ensuite diffusé dans la presse.

H&M a rapidement mis en oeuvre des mesures afin de mettre un terme à ces pratiques, elle a présenté ses excuses aux employés concernés et leur a proposé un dédommagement financier.

Les risques auxquels il faut être attentif

Ce que cette histoire malencontreuse peut nous enseigner c’est qu’il faut être très vigilant quant aux pratiques qui peuvent surgir de collecte de données personnelles. Le RGPD les règlemente très strictement sous peine de sanctions.

On rappellera ici deux éléments qui sont essentiels et qui ont manqué à l’entreprise : veiller à minimiser les données personnelles collectées, et veiller à ne pas collecter de données sensibles.

Minimiser les données collectées

C’est un des changements les plus substantiels opérés par le règlement européen, qui tient au fait que celui-ci impose de ne collecter que les données strictement nécessaires. En cela, les données personnelles doivent être :

«_ adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données)_»

En matière RH, cela signifie qu’une entreprise ne peut pas collecter des données privées dans le contexte de la gestion et du suivi de carrière. Il y a là une évolution importante de la règlementation ancienne qui prévoyait simplement que l’on pouvait collecter des données tant que cette collecte n’était excessive. Les choses ont changé depuis 2016… Tout ce qui n’est pas totalement indispensable à la gestion de carrière ne peut être collecté.

Ne pas collecter de données sensibles article 9 et 10

En seconde observation, on rappellera également qu’il est strictement interdit de collecter des données médicales - qui plus est le détail des symptômes, le détail des maladies, etc. ou encore des données relatives aux croyances religieuses des personnes.

Le règlement s’inscrit ici encore dans la continuité de la loi informatique et liberté et de la directive de 1995 qui ont adopté une démarche pragmatique centrée autour des risques relatifs au traitement de certaines données, dites sensibles. Celles-ci font l’objet de contraintes juridiques plus importantes que les autres en raison des risques qui leur sont associés.

Voici par exemple la liste des données dont la collecte est très vigoureusement encadrée (art. 9):

« Le traitement des données à caractère personnel qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique sont interdits »

Conclusion

Le cas de l’entreprise H&M est presque un cas d’école tant il est évident pour une personne ayant été un minimum formé sur le sujet qu’un dérapage majeur avait lieu. Il est dommage que l’entreprise n’ait pas considéré une offre de formation qui coûte entre 800€ et 1700€ et qui permet de comprendre clairement ce qu’il est possible de faire ou pas dans ce domaine. Mais peut-être que 35 millions d’euros d’amende aideront à convaincre les dirigeants qu’il vaut toujours mieux prévenir que guérir…

Si la formation est un sujet pour vous, jetez un oeil à la formation conformité RGPD et pratique de la conformité qui sont deux produits qui vous aideront à avancer.

Téléchargez la formation conformité RGPD

Téléchargez gratuitement notre formation conformité RGPD et éliminez vos risques rapidement

Thiébaut Devergranne
Docteur en droit
Thiébaut Devergranne est expert en droit des nouvelles technologies depuis plus de 15 ans, dont 6 passés au sein des services du Premier Ministre. En savoir plus
Téléchargez la formation conformité RGPD (gratuit)
Téléchargez gratuitement notre mini formation conformité RGPD et réduisez vos risques rapidement, avec l'actualité de la conformité RGPD et nos offres de produits/service exclusives !
VOS CGV (gratuites)