La gestion des boîtes e-mails professionnelles d’un salarié quittant l’organisme soulève des enjeux en matière de protection des données personnelles. Que faire des messages ? Peut-on continuer à consulter la boîte ? Pendant combien de temps ?
Nous vous proposons un rapide tour du sujet au travers des réponses apportées par trois autorités administratives indépendantes de protection des données en Europe : l’IPDC de Malte, l’APD de Belgique, et la CNIL en France.
Publication de 2009 : quelle était la position de la CNIL ?
La Commission Nationale Informatique et Libertés (CNIL), dans ses recommandations de 2009, s’était déjà intéressée aux principes applicables à l’accès aux e-mails d’un salarié absent ou ayant quitté l’entreprise. Ainsi, un accès temporaire à la boîte e-mail est possible en cas d’impératif de continuité de service (finalité de l’accès aux données), sous conditions cumulatives que :
- l’employé en ait été informé ;
- les e-mails identifiés comme personnels ne soient pas consultés ;
- que l’accès direct ne soit pas la règle par défaut.
La CNIL reconnaissait alors que si une boîte e-mail professionnelle ne doit pas être utilisée à des fins personnelles, cela peut arriver et implique qu’il faille se doter de mécanismes suffisants pour assurer le respect de la vie privée des personnes.
Jurisprudence Belge : combien de temps conserver les accès ?
Dans une décision de 2020, l’Autorité de Protection des Données (APD) Belge avait rendu une décision notable concernant l’accès à une boîte e-mail après le départ d’un salarié.
Une entreprise avait alors été condamnée à une amende administrative de 15 000 € pour n’avoir clôturé qu’après plus de deux ans les adresses e-mails professionnelles de collaborateurs ayant quitté leurs fonctions.
En effet, pour des questions de continuité des activités, les boîtes e-mails avaient été conservées, et des redirections avaient été paramétrées. L’entreprise indiquait alors que compte-tenu du type de messages professionnels reçues par ces boîtes, il était important que les boîtes ne soient pas désactivées.
L’APD, dans sa décision, en avait alors profité pour poser des règles claires en la matière :
- les boîtes e-mails des travailleurs partis doivent être désactivées au plus tard au moment de leur départ effectif de l’entreprise ;
- le travailleur doit avoir été informé des règles applicables à sa boîte e-mail professionnelle ;
- après un délai raisonnable, la boîte e-mail, les messages automatiques de réponse, et les redirections doivent être supprimées ;
- dans la mesure du possible les e-mails nécessaires à l’activité de l’entreprise doivent être récupérées sur la boîte e-mail du salarié avant son départ, et en sa présence.
Ici, l’APD estimait qu’un délai raisonnable de conservation d’une boîte e-mail après le départ du salarié se situerait aux alentours d’un (1) mois, et ne saurait exceder (idéalement) un trimestre.
FAQ d’avril 2025 : quelle position choisit l’autorité maltaise ?
Dans une FAQ récemment publiée sur son site, l’Information and Data Protection Commissioner (IDPC), l’autorité de protection des données maltaise, rappelle plusieurs règles concernant la gestion des boîtes e-mails des salariés sortants :
- suppression rapide : la boîte e-mail du salarié doit être désactivée ou supprimée dans un délai raisonnable (quelques semaines maximum après son départ) ;
- mise en place d’un message automatique : l’autorité recommande de configurer un répondeur automatique indiquant aux expediteurs d’un message que le salarié n’est plus dans l’organisme, et la personne à contacter en cas de besoin ;
- accès limité : l’accès à la boîte e-mail après le départ ne devrait, par défaut, pas être autorisé. En cas d’accès, ce dernier doit être justifié, limité dans le temps, et encadré par des procédures internes.
Comment se mettre en conformité aux recommandations des autorités européennes ?
Si les autorités européennes ne s’entendent pas forcément sur les délais applicables avant la suppression d’une boîte e-mail, ou les conditions d’accès aux informations, il est possible de se conformer aux principales recommandations en mettant en oeuvre plusieurs mesures communes :
- Informer le collaborateur (dans son contrat de travail, une charte informatique, ou une note d’information) de l’avenir de la boîte e-mail en cas de départ ;
- Rédiger une procédure de clôture des boîtes e-mails professionnels incluant une ou plusieurs recommandations des autorités, comme l’existence d’une redirection automatique temporaire, la désactivation planifiée de la boîte ou l’archivage des e-mails ;
- Limiter l’accès aux e-mails de la boîte archivée à quelques personnes spécifiques au sein de l’organisme.
_____________________________________
Des questions ? Besoin d’aide ? Contactez-nous pour découvrir comment nous pouvons vous accompagner dans votre démarche de conformité et renforcer la confiance de vos clients dans la gestion de leurs données personnelles.