En octobre 2020, le Commissaire à la protection des données de Hambourg a infligé une sanction administrative de 35,3 millions d’euros à H&M. Cette amende sanctionnait la collecte et la conservation systématique d’informations sensibles sur les salariés d’un centre de services en Allemagne. Ce cas constitue l’une des décisions les plus marquantes fondées sur l’article 9 du RGPD, qui régit strictement le traitement des catégories particulières de données.
Les faits constatés
Pendant plusieurs années, la direction locale collectait et conservait des informations issues :
d’échanges informels après des arrêts maladie,
de discussions internes après les vacances,
de retours individuels sur la vie familiale ou religieuse,
de récits relatifs à l’état de santé ou à des difficultés personnelles.
Ces données — parfois très détaillées — étaient ensuite utilisées pour orienter des décisions RH, de management, d’évaluation et de développement interne. Autrement dit : ces informations servaient dans le système décisionnel RH et non comme simples notes “exploratoires”.
Le lien juridique avec l’article 9 du RGPD
L’article 9 du RGPD pose un principe clair :
Le traitement des données sensibles est interdit, sauf exception strictement encadrée.
Sont considérées comme sensibles notamment :
données de santé
convictions religieuses ou philosophiques
opinions politiques
appartenance syndicale
données génétiques / biométriques
informations sur la vie sexuelle ou l’orientation sexuelle
De telles données ne peuvent être traitées que dans des cas limitatifs, par exemple :
Dans l’affaire H&M, aucune base légale valable n’était identifiée. Et aucun mécanisme d’autorisation documenté n’était justifiable.
Analyse juridique : un cas emblématique de disproportion et d’atteinte à la vie privée
Cette décision illustre une dimension essentielle du RGPD en milieu RH :
Souvent lorsque l’information touche à la sphère intime, elle bascule dans l’article 9. (Même en interne, même sans divulgation externe, même si « c’était pour mieux accompagner ».)
Implications pratiques pour les services RH
Ce cas permet de formuler des règles simples et concrètes pour le quotidien :
1) Ne jamais consigner d’informations sensibles si elles ne sont pas strictement nécessaires.
Les “retours d’après congés / arrêt maladie” sont hors périmètre RH.
2) Ne pas noter les confidences personnelles.
Ce qui est dit à la machine à café reste conversation informelle → pas de trace écrite.
3) Formaliser des lignes rouges internes.
Ex : “aucune note d’entretien annuel ne doit contenir d’informations sanitaires, religieuses ou familiales”.
4) Si une donnée sensible doit réellement être traitée, il est nécessaire d'encadrer convenablement le traitement :
la base légale
la finalité
la durée de conservation
les droits associés
5) Former les managers
La conformité RH ne consiste pas uniquement à sécuriser les dossiers du personnel ; elle consiste à limiter, en amont, la tentation de collecter ce qui n’a pas à être collecté.
La sanction H&M est un rappel sévère : l’article 9 du RGPD n’est pas une clause théorique — c’est une frontière juridique qui protège l’intégrité de la personne au travail. Dès que l’on bascule sur la santé, la religion, la situation privée, l’intimité familiale ou émotionnelle, nous sortons du champ “RH classique”. Chez PiaLab, nous accompagnons les entreprises à sécuriser leurs pratiques internes, clarifier leurs règles de collecte et former leurs managers.
Pour auditer vos pratiques RH, vos supports d’entretien ou réviser votre cadre interne de collecte, contactez-nous pour une première analyse exploratoire.
