Après le départ d’un employé, ne pas clôturer une boîte e-mail est punissable
Un collaborateur quitte l’entreprise. Des mois après son départ, l’adresse de courriel que son employeur lui avait été attribuée est toujours valide. Est-ce légal?
Dans une décision du 29 septembre 2020, la Chambre contentieuse de l’Autorité de protection des données (APD) a imposé une amende de 15.000 euros à une entreprise qui avait clôturé l’adresse e-mail de son ancien administrateur délégué deux ans et demi après son départ. Selon l’APD, l’absence de suppression de l’adresse e-mail est constitutive de manquements aux principes du Règlement général sur la protection des données (RGPD). Cette décision clarifie la marche à suivre par les employeurs dans la gestion des comptes e-mails lorsqu’un travailleur quitte l’entreprise.
Réponse automatique
Il incombe à l’employeur de supprimer la messagerie électronique des travailleurs ayant cessé leurs fonctions au plus tard le jour de leur départ effectif. Ils devront en être avertis au préalable et un message de réponse automatique devra être mis en place pendant une période raisonnable (a priori un mois). Une prolongation peut être prévue en fonction du contexte et du degré de responsabilité exercé par le travailleur. Néanmoins, après cette période raisonnable, la messagerie électronique du travailleur doit être supprimée. L’APD cite notam- ment la recommandation CM/Rec (2015)5 du Comité des ministres du Conseil de l’Europe sur le traitement des données à caractère personnel au travail. La recommandation énonce plus particulièrement ce qui suit: ” Lorsqu’un employé quitte son emploi, l’employeur devrait prendre des mesures techniques et organisationnelles afin que la messagerie électronique de l’employé soit désactivée automatiquement. Si le contenu de la messagerie devait être récupéré pour la bonne marche de l’organisation, l’employeur devrait prendre des mesures appropriées afin de récupérer son contenu avant le départ de l’employé et si possible en sa présence. L’exposé des motifs de la recommandation précise encore (point 122) que dans ces situations où l’employé quitte l’organisation, les employeurs doivent désactiver le compte de l’ancien employé de sorte à ne pas avoir accès à ses communications après son départ. ” Pour l’ADP, cette recommandation illustre la manière dont les principes de finalités, de minimisation et de conservation proportionnée doivent s’appliquer.
Politique claire et transparente
L’employeur doit établir une politique claire et transparente relative à la gestion des comptes e-mails au moment du départ du travailleur. En effet, l’adoption d’un tel document participe de la mise en oeuvre effective par l’employeur de ses obligations découlant du RGPD.
Ce durcissement de position de l’APD relatif à l’accès aux comptes e-mails d’anciens travailleurs implique que les employeurs devront dorénavant être attentifs aux points suivants:
- il ne sera plus possible d’accéder au compte e-mail d’un travailleur après son départ ;
- en cas de départ d’un travailleur, l’employeur devra pouvoir démontrer que les mesures nécessaires ont été prises ;
- l’employeur devra vérifier que sa politique en matière d’outils informatiques contient une procédure concernant la clôture du compte e-mail d’un travailleur suivant son départ. Si nécessaire, l’employeur devra modifier sa politique ;
- Et finalement, l’employeur devra s’assurer que cette procédure est respectée par les départements concernés.
Un article de Laurent De Surgeloose, avocat associé chez DLA Piper.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici