Règles encadrant l’accès par un employeur aux mails de ses employés pendant et après la relation de travail.

L‘accès aux correspondances électroniques des employés par leur employeur pendant la relation de travail peut sembler justifié dans certains cas de figure pour assurer la continuité de son activité ou encore pour garantir la sécurité de ses systèmes de communication ou garantir respect de son règlement de travail.

On pense par exemple aux cas d’absences prolongées d’employés quand l’employeur doit accéder à des informations cruciales pour la continuité de ses activités économiques (par exemple en cas de maladie grave, d’accident ou de congé parental) ou dans le cas d’une enquête interne fondée sur des soupçons légitimes de manquement au règlement de travail ou à la législation applicable par un(e) employé(e).

Eventuellement, un tel accès pourrait être aussi justifié dans certains cas lorsque l’employeur doit  effectuer certains contrôles en vue d’assurer le bon fonctionnement ou la sécurité des systèmes informatiques de l’entreprise ou des mises à jour (mais dans ce cas il faut déterminer si il est nécessaire d’accéder aux communications elles mêmes dans le cadre de cette finalité).  

Le maintien de la boite mail et son accès par un employeur après la relation de travail semble quant à lui beaucoup plus controversé et difficile à justifier dès lors qu’il n’y a plus de lien contractuel entre les parties. L’autorité de protection des données belge à d’ailleurs prévu dans sa jurisprudence des règles assez strictes à ce sujet.

Pour cette raison, il est nécessaire pour l’employeur de mettre en place des mesures organisationnelles pour assurer la continuité de ses activités et récupérer les informations nécessaires avant le départ.

Nous verrons dans cet article le cadre légal et jurisprudentiel applicable à de tels accès pendant la relation de travail et les règles applicables après le départ de l’employé(e).

Nous verrons aussi (de manière non exhaustive) les mesures pratiques à adopter par l’employeur dans ces deux cas de figure.

A/ Règles applicables pendant la relation de travail :

Règles encadrant la confidentialité des communications électroniques et exception applicables dans le cadre de la relation de travail :

(Remarque : Nous n’examinerons pas ici les dispositions applicables en droit pénal qui interdisent et sanctionnent également les accès non autorisés aux télécommunications privées qu’on retrouve dans les articles 259 bis et 314 bis du Code Pénal).

L’article 8 de la Convention européenne des Droits de l’Homme, l’article 7 de la Charte des droits fondamentaux de l’Union européenne et l’article 22 de la Constitution belge garantissent à toute personne le droit au respect de leur vie privée (et familiale) ainsi que la confidentialité de leurs correspondances.

La directive européenne communément appelée « directive E-privacy » et les dispositions de la loi belge qui la transpose (articles 124 et 125 de la loi belge du 13 juin 2005 sur les communications électroniques) consacrent quand à eux cette protection de la confidentialité dans le cadre des communications électroniques. (1)

Il est prévu l’interdiction pour toute partie (« utilisateur ») qui n’est pas l’émetteur ou le destinataire d’une communication effectuée au moyen d’un réseau public de communications et de services de communications électroniques accessibles au public (communications électroniques) d’accéder à son contenu (peu importe que ladite communication soit de nature privée ou professionnelle). (2)

Cette interdiction connaît toutefois deux exceptions générales et deux exceptions plus techniques et restreintes :

• la première exception générale est le consentement de tous les utilisateurs concernées par une communication électronique. Il est toutefois généralement admis que cette dérogation n’est pas applicable dans le contexte d’une relation de travail.

Ceci s’explique car la directive E-Privacy renvoie aux critères du RGPD (Règlement général sur la protection des données) pour ce qui est de l’interprétation de la validité du consentement et un de ces critères de validité du consentement  est que celui-ci doit être libre, or dans le cadre d’une relation employeur-employé(e) il est généralement admis que cette liberté de consentement fait défaut car il existe un rapport de subordination qui empêche que l’employé puisse refuser librement de donner son autorisation à son employeur sans craindre un préjudice dans le contexte de sa carrière. (3)

• la seconde exception générale vise les dérogations prévues expressément par la loi :

La directive « E-privacy » vise plus spécifiquement des lois dont le but serait de garantir la sécurité publique ou de prévenir, détecter et poursuivre des infractions pénales et des utilisations non autorisées des systèmes de communications électroniques.

L’Autorité de protection des données belge  a toutefois estimé (4)  que le pouvoir de contrôle de l’employeur en vertu du contrat de travail (voir à ce sujet la loi belge relative aux contrats de travail du 3 juillet 1978) suffirait comme base légale pour permettre à l’employeur de se prévaloir de cette exception.

Il nous semble que cette interprétation permet certes de combler un vide juridique mais est discutable étant donné que la loi sur le contrat de travail ne fait aucune référence explicite a la possibilité pour l’employeur d’exercer ce type de contrôle, or l’article 125 de la loi belge du 13 juin 2005 sur les communications électroniques précise dans son premier paragraphe qu’il faut que « la loi permette ou impose l’accomplissement des actes visés ».

Il existe également deux exceptions plus techniques et restreintes au principe de confidentialité des communications électroniques sur lesquelles nous ne nous étendrons pas étant donné qu’elles se limitent à des cas très spécifiques et restreints :

• Il s’agit d’une part de l’enregistrement légalement autorisé de communications et des données relatives au trafic y afférentes, lorsqu’il est effectué dans le cadre des usages professionnels licites, afin de fournir la preuve d’une transaction commerciale ou de toute autre communication commerciale.
  
• Il s’agit d’autre part du stockage ou à les accès techniques visant exclusivement à effectuer ou à faciliter la transmission d’une communication par la voie d’un réseau de communications électroniques, ou qui sont strictement nécessaires à la fourniture d’un service de la société de l’information expressément demandé par l’abonné ou l’utilisateur. (Cette exception concerne uniquement le stockage ou les accès techniques nécessaires.)

Principes applicables issus de la CCT 81  :

Pour la mise en œuvre d’un accès au mails de ses employés dans le chef l’employeur (en vertu d’une exception à la confidentialités des communications électroniques évoqués précédemment), la jurisprudence nationale (y compris la cour de cassation et la cour du travail de Bruxelles) et celle de la CEDH (Cour européenne des droits de l’homme) précisent que l’employeur doit respecter certains principes (qu’on peut retrouver en Belgique dans la convention collective de travail 81 relative à la protection de la vie privée des travailleurs à l’égard du contrôle des données de communication électroniques – ci-après « CCT 81 »). 

Il s’agit des principes suivants :

• le principe de transparence;
• le principe de nécessité ;
• le principe de légitimité ;
• le principe de proportionnalité.

En pratique, le respect du principe de transparence impliquerait surtout que l’employeur communique au préalable à ses employés la procédure suivie et les cas spécifiques ou un tel accès serait justifié (généralement dans son règlement de travail ou sa charte informatique).

Les principes de nécessité, de légitimité et de proportionnalité impliquent quant à eux que les accès soient nécessaires et justifiés par des objectifs légitimes et se fassent de la manière la moins intrusive possible pour l’employé(e) en visant uniquement les communications qui sont nécessaires pour atteindre  le ou les objectifs visés.

Par exemple, selon la jurisprudence de la CEDH et de la cour de cassation, un employeur qui ne respecterait pas ces principes et qui consulterait pendant la relation de travail et conserverait ensuite la boite mail et les e-mails d’un employé après son départ dans le but de réunir des preuves à son encontre suite à une faute présumée prendrait le risque que les preuves collectées soient déclarées irrecevables dans le cadre d’un procès (et risque éventuellement aussi certaines sanctions). (5)

Nous précisons toutefois que, si l’application de ces principes ne semble pas faire débat dans la jurisprudence, la référence directe à l’application CCT n° 81 nous paraît plus discutable.

En effet, cette convention collective vise principalement le contrôle de l’utilisation des moyens de communication électroniques et des données de communication en réseau, notamment en cas d’usage dépassant le cadre professionnel ou l’usage privé occasionnel normal, plutôt que le contrôle du contenu même des e-mails envoyés ou reçus par les travailleurs, ce qui semble d’ailleurs ressortir de la jurisprudence de la Cour du travail de Bruxelles. (6)      

Principes et règles applicables en matière de protection des données à caractère personnel :

Le contenu de la boite mail professionnelle d’un(e) employé(e) contient souvent des données à caractère personnel concernant l’expéditeur/trice, mais également des données à caractère personnel concernant des tiers (qu’on peut retrouver dans le corps de chaque communication mais aussi dans les pièces jointes ou dans la mention des adresses mails des destinataires ou expéditeurs de chaque communication).

Ces communications peuvent dans certains cas aussi révéler des données à caractère personnel particulières (au sens de l’article 9 du RGPD – comprendre des données sensibles).

Cela pourra par exemple être le cas si l’employé(e)  utilise sa boite mail occasionnellement à des fins privées comme par exemple pour confirmer un rendez vous médical.              

L’employeur qui voudrait accéder à la boite mail d’un(e) des ses employés  devra donc en plus de respecter le cadre légal  applicable à la confidentialité des communications électroniques, pouvoir démontrer le respect des principes et des obligations applicables en matière de protection des données à caractère personnel.

Il s’agira notamment pour l’employeur de pouvoir justifier d’une base légale pour le traitement des données personnelles de ses employés et des tiers dans les communications auxquelles il accède et de respecter les principes de limitation des finalités, de minimisation des données, de proportionnalité et de transparence (qui coïncident en grande partie les principes précités dans la CCT 81).

D’autre part, il s’agira pour l’employeur de respecter d’autres obligations propres au RGPD (évoquées plus en détail dans le point C) comme par exemple l’obligation de mener une analyse d’impact (le cas échéant) et de mettre à jour le registre des activités de traitement et les politiques vie privées communiquées aux employés concernant le traitement de leurs données personnelles.

B/ Règles applicables dans le contexte de la fin de la relation de travail : 

Le fait que le contrat entre l’employeur et son employé(e) ait prenne fin signifie que l’employeur ne pourra a priori plus du point de vue des règles encadrant la confidentialité des communications électroniques (directive E-privacy) justifier l’accès aux correspondances de ses employés (à moins de justifier d’une loi autre que celle sur le contrat de travail ou d’obtenir le consentement de toutes les parties à chaque communication).

Du point de vue des règles protégeant les données à caractère personnel, la disparition du lien contractuel rendra aussi la conservation de la boite mail de l’employé(e) par son employeur très difficile à justifier.

Dans sa décision 133/2021 du 2 décembre 2021 (qui a été à l’origine d’une série de décisions qui confirment les règles préconisées par l’autorité dans cette décision dont la décision 97/2024 du 16 juillet 2024 et très récemment la décision du 101/2026 du 12 mai 2026), la Chambre Contentieuse de l’Autorité de protection des données (ci-après « APD ») a pris position sur ce sujet en donnant une série de directives claires pour les employeurs.

Décision de l’APD

L’APD considère que le responsable du traitement qui conserve, après le départ d’un travailleur, son adresse électronique et sa boîte mail pendant une durée indéterminée méconnaît plusieurs principes fondamentaux du RGPD, notamment les principes de limitation des finalités, de minimisation des données et de limitation de la conservation.

Par ailleurs, l’APD estime qu’après la fin de la relation de travail, le maintien d’une boîte mail nominative active et l’accès à son contenu ne reposent, en principe, plus sur la justification initiale qui permettait à l’employeur d’exercer un contrôle sur les communications électroniques professionnelles. En effet, la finalité liée à l’exécution et au contrôle de la relation de travail a disparu avec la cessation de celle-ci.

L’APD donne ensuite des règles afin d’encadrer les pratiques admises d’un l’employeur ou d’une organisation dans ce contexte :

Pratiques admises après le départ de l’employé  :

• La boîte mail de l’ex employé(e) doit être bloquée par l’entreprise ou l’organisation au plus tard le jour de son départ effectif et l’entreprise/organisation doit en avoir informé préalablement son ex employé ;
• L’employeur ou l’organisation doit mettre en place un message automatique de type « out of office » informant les expéditeurs que la personne concernée ne travaille plus pour l’entreprise ou l’organisation et qui fournit des coordonnées de contact pour le suivi. Ce message peut subsister pendant une période « raisonnable » (période de 1 mois selon l’APD).   ;
• Par exception au point précédent, un délai plus long pour laisser ce type de message (out of office) est envisageable si les circonstances le justifie (en principe 3 mois maximum selon l’APD). Dans ce cas l’ex employé(e) doit en être informé(e) au préalable et il est recommandé que l’entreprise ou organisation récolte également son accord.
• Après le délai raisonnable pendant lequel le message de type « out of office » est actif l’employeur doit supprimer la boite mail de son ex employé.

Pratiques déconseillées  :

Dans tous les cas, l’accès par l’employeur/organisation à la boite mail (et sa conservation) de son ex employé(e) ou la redirection automatique des e-mails lui étant adressés après son départ doit être évitée (ceci inclut la période de un à trois mois maximum ou celle ci est conservée). (7)

Dans sa décision n° 101/2026, la Chambre contentieuse semble considérer qu’un employeur qui aurait organisé, dès la création des boîtes mail professionnelles, une séparation efficace entre les communications privées et professionnelles pourrait, au départ d’un travailleur, récupérer les informations professionnelles nécessaires sans porter atteinte à sa vie privée.

Cette approche vise manifestement à concilier les besoins de continuité de l’entreprise avec les principes de minimisation des données et de protection de la vie privée. Elle soulève toutefois des difficultés pratiques importantes notamment en ce qui concerne les règles en matière de confidentialité des communications électroniques.

En effet, de nombreuses communications électroniques présentent un caractère mixte. Un même échange peut contenir à la fois des informations professionnelles et des éléments relevant de la vie privée. En outre, la protection de la confidentialité des communications électroniques ne dépend pas exclusivement de la nature privée ou professionnelle du message. Dès lors, la distinction proposée par la Chambre contentieuse apparaît parfois difficile à mettre en œuvre en pratique.

La Chambre contentieuse semble également envisager la possibilité d’obtenir l’accord de l’ancien travailleur afin d’identifier les données professionnelles devant être conservées.

À notre estime, cette solution devrait plutôt conduire l’ancien travailleur à effectuer lui-même le tri des messages, éventuellement sous la supervision d’une personne impartiale telle que le DPO, durant la période transitoire limitée admise par l’APD.

Une telle approche permettrait à l’entreprise de récupérer les informations strictement nécessaires à la poursuite de ses activités tout en évitant que l’employeur n’accède directement aux communications de son ancien collaborateur (car pour un tel accès il aurait besoin non seulement de son consentement mais aussi celui des autres parties à chaque communications).

C/ En pratique : exemple de mesures (préalables) que l’employeur peut adopter pour se conformer aux règles applicables.

Mesures générales à adopter par l’employeur pour encadrer les consultations pendant la relation de travail :

• Mener au préalable une analyse d’impact relative aux traitements de données personnelles envisagés (dans le cadre de l’accès aux mails des employés dans les cas précis envisagés par l’employeur) et prendre les mesures nécessaires (techniques et organisationnelles) pour supprimer ou faire diminuer les risques identifiés à un niveau acceptable (point de vue RGPD) ;
• Adapter le registre, la charte de confidentialité des employés et éventuellement les politiques de rétention des données pour tenir compte de ces traitements (point de vue RGPD).
• Adapter son règlement du travail et/ou la charte relative à l’utilisation acceptable des outils informatiques professionnels par les employés qui est souvent une annexe dudit règlement de travail  (après avoir consulté le conseil d’entreprise et/ou s’être concerté avec le conseiller en prévention et protection au travail et la délégation syndicale) en y décrivant clairement les cas qui justifient l’accès aux boites mails par l’employeur et les procédures applicables (qui doivent respecter les principes repris dans CCT 81) ainsi que les droits des employés (et prévoir éventuellement une information/présentation claire à ce sujet pour les employés) ;
• Il est aussi possible de conseiller aux employés (et l’indiquer dans le règlement de travail/charte IT) de libeller leurs mails de nature privée comme tels dans le titre pour renforcer leur confidentialité et éviter que ceux ci ne soient consultés par l’employeur (attention toutefois, en principe la mention du caractère privé de certains mails n’aura toutefois par pour effet de faire perdre aux mails ne contenant pas cette mention la protection de leur confidentialité en vertu de la loi et donc toute consultation nécessite que l’employeur puisse justifier celle-ci et respecte les principes de la CCT 81) ;
  

  Politiques et pratiques spécifiques à prendre en considérations pour assurer la continuité des activités après le départ d’un(e) employé(e) :

• Il est possible d’adopter une politique interne relative à l’utilisation professionnelle de la messagerie électronique (qui peut constituer une annexe au règlement de travail), prévoyant notamment dans quels cas les employés doivent classer ou sauvegarder certaines communications dans des dossiers partagés déterminés en fonction de la nature ou du niveau de confidentialité de l’information, ou mettre en copie certaines personnes ou boîtes fonctionnelles pour des communications spécifiques. Cette politique peut être rappelée régulièrement aux employés au moyen de formations, de notes de service ou d’autres communications internes.
• Penser à demander à l’employé(e) (et l’inclure ceci dans la politique d’utilisation de la boite mail qui peut constituer une annexe au règlement de travail) sur le départ de « trier » ses messages privés et  professionnels avant son départ ou inclure cette obligation dans une procédure interne. (En cas de litige entre l’employeur et l’employé(e) l’intervention d’un tiers impartial qui garantit la confidentialité comme par exemple un avocat ou délégué à la protection des données) peut être une solution pour permettre la récupération de mails pertinents avant son départ.  

Conclusion

Un accès non justifié, indistinct et non transparent par l’employeur aux mails de ses employés pendant la relation de travail est interdit.

L’employeur qui veut pouvoir exercer un contrôle des mails de ses employés dans certaines circonstances spécifiques et justifiées pendant la relation de travail devra informer ses employés de manière transparente des cas et de la procédure suivie et devra pouvoir justifier la légitimité, la nécessité et la proportionnalité pour les cas de figure ou des accès sont prévus.

L’employeur sera également tenu de respecter dans ce cadre ses obligations en matière de protection des données à caractère personnel (analyse d’impact, information dans la politique vie privée des employé et mise à jour du registre).

Après le départ d’un(e) employé(e), la conservation de sa boite mail et de son adresse électronique nominative par l’employeur est très difficile à justifier (surtout du point de vue règles relatives à la protection des données à caractère personnel). Il est donc utile de prévoir des politiques relatives à l’utilisation de la boite mail, l’archivage et le tri des dossiers en cours (si un départ est prévu).

Il n’est pas inutile de préciser que les recommandations de l’APD (autorité de protection des données) à ce sujet ne sont pas théoriques.

En effet, l’APD a infligé une simple réprimande au responsable du traitement (l’employeur) au vu de circonstances atténuantes (actions prises par l’employeur pour limiter l’impact des violations constatées) mais dans une décision précédente, le responsable du traitement avait écopé  d’une amende de 15 000 euros ainsi que d’un ordre de mise en conformité. (Décision 64/2020).

Plus récemment l’APD a infligé une sanction de 176 000 euros dans un cas similaire. (Décision 101/2026 – l’amende est particulièrement élevée car elle tient compte du revenu du responsable du traitement).

Il existe aussi d’autres sanctions qui pourraient être applicables à l’employeur dans le contexte d’une consultation non autorisée des mails de ses employés notamment celles prévues par le code pénal et les dispositions pénales de la loi sur les communications électroniques visant à sanctionner les accès non autorisés.

Pour conclure afin de limiter les risques juridiques dans le contexte actuel, il est important pour l’employeur d’anticiper et de prévoir préalablement les mesures, analyses et politiques adéquates en vertu de la législation applicable pertinente (droit encadrant les communications électroniques, droit de la protection des données à caractère personnel et principes repris dans CCT 81).

……………………………………..

(1) La Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (connue sous le nom de directive E-Privacy) prévoit des obligations spécifiques aux communications électroniques comme par exemple celles concernant l’utilisation des cookies, l’envoi de communications promotionnelles électroniques et adresse aussi dans son article 5 la confidentialité des communications électroniques. Cette directive devait être à terme remplacée par un Règlement depuis plusieurs années mais ceci n »a toujours pas abouti au jour de l’écriture de cet article.

(2)  La directive E-Privacy à son article 2, (a) ne fait pas de distinction entre les utilisateurs qui utilisent un système de communications électroniques accessible au public à des fins privées ou professionnelles (il est est indiqué explicitement dqns le texte que les deux catégories sont visées) et par conséquent les communications professionnelles sont également incluses à l’article 5 concernant la confidentialité des communications électroniques. 

(3) Voir à ce sujet l’article 2, (f) de la directive E-Privacy et le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données ou « RGPD »).   

Selon l’article 4, 11) du RGPD (qui donne la définition et les conditions du consentement et vers lequel la directive E-Privacy renvoie), le consentement doit être donné de manière  libre, spécifique, éclairée et univoque. Le considérant 42 du RGPD indique par ailleurs que  « le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d’une véritable liberté de choix ou n’est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice. »  

(4) https://www.autoriteprotectiondonnees.be/professionnel/themes/vie-privee-sur-le-lieu-de-travail/surveillance-de-l-employeur/surveillance-electronique-sur-internet-et-email

(5) La jurisprudence admet qu’un accès de l’employeur au contenu de la correspondance de ses employés sans avoir respecté ces principes au préalable (en particulier le principe de transparence) consiste en une violation de la vie privée et la confidentialité des correspondances de son employé et rend tout élément issus de cette ingérence de l’employeur inadmissibles en tant que preuves.

Voir à ce sujet : Cass., 20 mai 2019, R.G. S.17.0089.F, www.juridat.be : La Cour de cassation s’est prononcée dans le cadre d’un licenciement pour motif grave ou l’employeur rapportait la preuve des faits reprochés à son employé par la production de courriers électroniques (professionnels et privés) qu’il avait obtenus en accédant à sa boîte mail sans avoir respecté au préalable les principes de légitimité, de transparence, de nécessité et de proportionnalité. La Cour de Cassation a considéré que les preuves ainsi recueillies étaient entachées d’irrégularité puisqu’elles violaient la vie privée du travailleur.

Cette interprétation de la cour de Cassation est d’ailleurs concordante avec celle de la Cour européenne des droits de l’homme dans l’arrêt BĂRBULESCU c. ROUMANIE (coe.int) qui concerne un cas similaire ou il a été conclu à une atteinte illicite au respect de la vie privée/confidentialité de la correspondance du travailleur garanti par l’article 8 de la CEDH du fait que ces principes (légitimité,transparence, nécessité et proportionnalité) n’avaient pas étés respectés par son employeur.

(6) https://www.securex.be/fr/lex4you/employeur/themes/obligations-de-l-employeur/rgpd-et-privacy/que-disent-les-cours-et-tribunaux

(7) Voir à ce sujet l’article 14.5 de la recommandation 2015(5) du conseil de l’Europe.

……………………………………………….                           

Vous vous trouvez dans une situation similaire à celle évoquée dans cet article et vous vous posez des questions sur vos droits et devoirs ?

Vous souhaiteriez prendre les devants afin d’implémenter les mesures nécessaires pour justifier certains accès aux communications de vos employés dans des cas spécifiques ?

Plus généralement, vous avez une question relative à l’application du RGPD ou des règles concernant les communications électroniques dans ce contexte ou dans un autre contexte ?

N’hésitez pas à demander un entretien via notre formulaire de contact ou en écrivant à info@md-lex.be