Peut-on conserver l’adresse électronique et la boite mail de son ex employé/collaborateur après son départ ?

par | Juin 16, 2022 | Protection des données à caractère personnel

Lorsqu’un employé ou un collaborateur indépendant* quitte une entreprise ou une organisation, la première réaction de l’employeur est de prendre les mesures nécessaires afin de pouvoir assurer au mieux la continuité de ses activités.

Dans ce contexte, l’employeur peut être tenté de conserver temporairement la boite mail et l’adresse électronique professionnelle nominative de son ex employé ou ex collaborateur après son départ.

(* Cette problématique peut aussi s’étendre aux administrateurs, prestataires de services, stagiaires ou toutes personnes physiques identifiables ayant travaillé dans une entreprise ou une organisation.)

Règles applicables :

Le contenu de la boite mail professionnelle d’un employé ou d’un collaborateur contient des données à caractère personnel le concernant, mais également des données à caractère personnel concernant les tiers qui sont y mentionnés (par exemple dans le corps de chaque communication ou dans les pièces jointes ou dans la mention des destinataires ou expéditeurs de chaque communication).

On peut également y retrouver des données à caractère personnel dites sensibles (art. 9 du RGPD). C’est par exemple le cas lorsque l’employé ou le collaborateur utilise sa boite mail professionnelle occasionnellement pour prendre ses rendez-vous médicaux.

Afin de pouvoir traiter ces données à caractère personnel, l’employeur doit donc pouvoir démontrer le respect des principes généraux et des obligations applicables du RGPD (Règlement général sur la protection des données) en tenant compte du rapport de force qui existe entre un employeur et ses employés/collaborateurs.

L’employeur doit également tenir compte dans ce contexte des règles protégeant le secret des communications électroniques (privées et professionnelles) qui de manière générale interdisent que des personnes qui ne sont pas destinataires personnellement d’une communication électronique puissent en prendre connaissance sans l’autorisation préalable de toutes les personnes concernées par la communication.

Il est intéressant de mentionner pour être complet que des dérogations aux règles protégeant le secret des communications électroniques des employés/collaborateurs (pendant la relation de travail) à l’égard de leur employeur existent. Toutefois ces exceptions ne sont envisageables que des dans des cas exceptionnels qui sont sévèrement encadrés par la loi et nécessitent une information préalable transparente à l’égard des employés/collaborateurs. Cela peut par exemple être le cas lors d’une absence prolongée d’un employé/collaborateur ou afin de protéger les intérêts économiques de l’employeur sur base de la constatation d’anomalies. (Voir à ce sujet en particulier la CCT81 concernant les mesures de surveillance des communications électroniques des travailleurs). 

Décision récente de l’Autorité de protection des données :

Dans une décision récente (décision 133/2021 du 2 décembre 2021), la Chambre Contentieuse de l’Autorité de protection des données (ci-après « APD ») prends position sur ce sujet.

L’APD considère que  le responsable du traitement (l’entreprise) qui après le départ du plaignant (l’ex employé ou collaborateur) conserve son adresse électronique et sa boîte mail pour une période indéterminée viole plusieurs des principes généraux du RGPD dont le principe de limitation des finalités, le principe de minimisation des données et le principe de limitation de la conservation des données.

Par ailleurs, l’APD considère que de tels traitements des données à caractère personnel ne reposent plus sur aucun fondement juridique dès lors que la base légale initiale pour traiter les données à caractère personnel de l’employé ou du collaborateur (à savoir l’exécution d’un contrat) disparait après son départ.

L’APD énonce ensuite des “directives” afin d’encadrer les pratiques admises d’un l’employeur ou d’une organisation dans ce contexte. (Ces directives sont reprises dans les mesures décrites dans le paragraphe suivant)

Mesures concrètes à prendre (et à ne pas prendre)

Mesures à adopter avant le départ de l’employé/collaborateur :

  • Décrire dans sa politique concernant l’usage des outils informatiques professionnels les utilisations admises des boites mails professionnelles (par exemple, faut-il mettre en copie une adresse générique de l’entreprise ou un supérieur ou un collègue ? Combien de temps conserver les communications et ou les classer ? Est-ce que l’usage privé occasionnel de la boite mail professionnelle est permis ou non ?..) ;
  • Informer les employés et collaborateurs de manière transparente sur les cas exceptionnels ou un employeur peut potentiellement accéder à leurs boites mails nominatives pendant la relation de travail et la procédure suivie (dans le respect de la loi et des exigences de conventions collectives de travail applicables) ;
  • Décrire et justifier dans sa politique vie privée interne (politique qui concerne exclusivement les employés et/ou collaborateurs) tous les traitements de données à caractère personnel dont les employés/collaborateurs peuvent faire l’objet (après avoir mené le cas échéant une analyse d’impact et complété le registre des activités de traitement) ;
  • Penser à offrir à l’employé ou au collaborateur la possibilité de « trier » ses messages privés et  professionnels lui-même avant son départ ou inclure cette obligation dans une procédure interne. En cas de litige entre l’employeur et l’employé ou le collaborateur, l’intervention d’un tiers impartial qui garantit la confidentialité (par exemple un avocat ou délégué à la protection des données) en présence de l’employé/collaborateur peut être une solution pour permettre la récupération de mails pertinents avant son départ.

Pratiques admises (par l’APD) après le départ de l’employé/collaborateur  :

  • La boîte mail de l’ex employé/ex collaborateur doit être bloquée par l’entreprise ou l’organisation au plus tard le jour de son départ effectif. L’entreprise/organisation doit en informer préalablement l’ex employé ou collaborateur ;
  • Par dérogation au paragraphe précédent, l’APD admet qu’il puisse y avoir un accord entre l’ex employé/ex collaborateur et l’entreprise/organisation sur un accès temporaire par l’ex employé ou l’ex collaborateur à son ancienne boite mail afin clôturer certains dossiers.  L’APD n’indique pas si un tel accord pourrait permettre à l’employeur de bénéficier également d’un accès à la boite mail de son ex employé ou collaborateur. On peut penser que ce n’est pas le cas étant donné que l’employeur aurait alors un accès indistinct à des mails professionnels et privés de son ex employé / ex collaborateur mais également à des données à caractère personnel de tiers dont il n’a pas obtenu l’accord.   ;
  • L’employeur ou l’organisation peut (et c’est recommandé) mettre en place un message automatique informant les expéditeurs de messages vers l’adresse électronique de l’ex employé ou ex collaborateur que celui ou celle-ci ne travaille plus pour l’entreprise ou l’organisation et qui fournit les coordonnées à contacter pour le suivi. Ce message peut subsister pendant une période « raisonnable » (période de 1 mois selon l’APD).  L’entreprise/organisation doit informer l’ex employé ou collaborateur de cette mesure au préalable. ;
  • Par exception au paragraphe précédent, un délai plus long est envisageable si les circonstances le justifie (en principe 3 mois maximum selon l’APD). Dans ce cas l’ex employé ou ex collaborateur doit en être informé au préalable et il est recommandé que l’entreprise ou organisation récolte également son accord.

Pratiques déconseillées  :

  • Dans tous les cas, l’accès par l’employeur/organisation à la boite mail de son ex employé ou ex collaborateur ou la redirection automatique des e-mails lui étant adressés après son départ doit être évitée . Dans ce cas, des informations privées et potentiellement sensibles pourraient être divulguées à l’insu (sans l’accord) de l’ex employé ou ex collaborateur et du correspondant (tiers). (Voir à ce sujet l’article 14.5 de la recommandation 2015(5) du conseil de l’Europe);

Conclusion

Après le départ d’un employé ou d’un collaborateur, la conservation de sa boite mail  et de  son adresse électronique professionnelle par l’employeur est à proscrire  sous réserve des exceptions admises par l’APD. 

Il n’est pas inutile de préciser que les recommandations de l’APD ne sont pas théoriques.

En effet, si dans la décision commentée l’APD a infligé une simple réprimande au responsable du traitement (l’employeur) au vu de circonstances atténuantes (actions prises par l’employeur pour limiter l’impact des violations constatées), dans une décision précédente, le responsable du traitement avait écopé en plus d’une réprimande d’une amende de 15 000 euros ainsi que d’un ordre de mise en conformité pour des faits similaires.

Afin de limiter ses risques juridiques et assurer la continuité de ses activités, il est  important pour l’employeur d’anticiper et de prévoir des mesures adéquatent qui encadrent et informent ses employés et collaborateurs sur l’utilisation admise des boites mails et des adresses électroniques, sur les traitements de données à caractère personnel que l’entreprise effectue et sur leurs obligations avant de quitter l’entreprise ou organisation (pendant la relation de travail).

Vous vous trouvez dans une situation similaire à celle évoquée dans cet article et vous vous posez des questions sur vos droits et devoirs ?

Vous souhaiteriez prendre les devants afin d’informer vos employés sur les mesures applicables en matière d’utilisation de leurs communications électroniques dans le l’utilisation de leur boite et adresse électronique professionnelle ?

Plus généralement, vous avez une question relative à l’application du RGPD ou des règles concernant les communications électroniques dans ce contexte ou dans un autre contexte ?

N’hésitez pas à demander un entretien via notre formulaire de contact ou écrivant à info@md-lex.be

EN FR