Résumé des bonnes pratiques suivant l’Autorité de Protection des Données
Toute entreprise est un jour ou l’autre confrontée au départ d’un collaborateur. Or les collaborateurs se voient habituellement attribuer une adresse e-mail personnalisée.
Qu’en est-il de cette adresse e-mail après le départ du collaborateur ? L’employeur peut-il conserver cette adresse e-mail pour assurer la poursuite de son activité? Dans l’affirmative, pour quelle durée et suivant quelles modalités ?
- Plaintes des employés
L’Autorité de Protection des Données (APD) fut saisie de plusieurs plaintes d’employés qui se sont rendus compte que leurs adresses e-mails restaient actives après leur départ et ce, parfois durant de nombreux mois.
Pour justifier cette situation, les entreprises concernées évoquent généralement le caractère professionnel des messageries, la nécessité de pouvoir reconsulter les messages qui y sont stockés et de pouvoir continuer à recevoir des e-mails pour les besoins du service, dans le cadre des relations professionnelles avec les clients et partenaires commerciaux.
- Application du RGPD
Dans plusieurs décisions récentes (29 septembre 2020 (64/2020), 2 décembre 2021 (133/2021), 30 avril 2024 (66/2024),16 juillet 2024 (97/2024)), l’Autorité de Protection des Données (APD) rappelle que le RGPD s’applique bien aux outils professionnels s’ils comprennent des données à caractère personnel. Or, les adresses e-mails non génériques – soit celles rédigées à partir du prénom et/ou du nom de l’employé – sont des données à caractère personnel auxquelles s’appliquent donc toutes les obligations du RGPD.
Par conséquent, l’entreprise, responsable de traitement de ces adresses e-mails personnelles, doit veiller à ce que le traitement des adresses e-mails repose sur une finalité licite (ici: contrat de travail ou intérêt légitime), minimisation (utilisation adéquate, pertinente et non excessive de la donnée), conservation limitée des données (suppression lorsque les données ne sont plus utiles à la finalité).
Sur cette base, l’APD a développé plusieurs « bonnes pratiques » qu’elle entend faire respecter par les entreprises.
- Bonne pratique: suppression de l’adresse e-mail à la fin du contrat
L’APD considère qu’en application des principes de finalité, minimisation et limitation du délai de conservation, l’entreprise doit en principe bloquer la messagerie électronique au plus tard le jour du départ effectif de la personne concernée.
Ce blocage interviendra (i) après avoir averti le titulaire de la messagerie et (ii) après avoir fait insérer un message automatique indiquant que le titulaire n’exerce plus ses fonctions au sein de l’entreprise, renseignant les coordonnées de la personne (ou l’adresse générique) à contacter.
Cette période transitoire (message automatique) devrait être limitée dans le temps à une période raisonnable, évaluée par l’APD à 1 mois, avec un maximum 3 mois.
L’APD déconseille le transfert automatique d’e-mails entrant vers une autre adresse e-mail en raison de l’absence de maîtrise sur les courriers entrant et le fait que des e-mails d’ordre privé pourraient ainsi être adressés sur l’adresse de renvoi, à l’insu de la personne concernée et de l’émetteur du message.
- Bonne pratique: trier et transférer les e-mails privés et professionnels
Dès lors que la messagerie est supprimée, l’APD recommande d’inviter la personne concernée à faire le tri dans ses e-mails et à transférer, avant son départ, les e-mails privés reçus sur sa messagerie professionnelle vers une messagerie privée et/ou de le supprimer.
De même, l’entreprise qui aurait besoin d’accéder à la messagerie pour assurer la bonne marche de l’entreprise devrait récupérer ce dont elle a besoin sur la messagerie avant le départ de la personne concernée et en sa présence. En cas de situation litigieuse, l’APD recommande l’intervention d’une personne de confiance.
- Bonne pratique: dans des cas particuliers, prolongation de la messagerie jusqu’à 3 mois
L’APD estime que le maintien de la messagerie après le départ de la personne concernée de l’entreprise peut se justifier dans certains cas, en particulier en fonction du degré de responsabilité exercé par la personne concernée (telle une fonction d’administrateur délégué ou une fonction clé que la personne concernée était seule à exercer). Dans ce cas, la messagerie pourrait rester active dans un délai « raisonnable », que l’APD estime comme allant d’un à maximum 3 mois après le départ du collaborateur. L’APD souligne que cette prolongation est donc exceptionnelle et doit se justifier et que cette prolongation se fait avec l’accord de la personne concernée ou, au minimum, après l’en avoir avertie. L’entreprise doit aussi rechercher des solutions alternatives à mettre en place le plus rapidement possible sans nécessairement attendre l’échéance ultime de cette prolongation.
Dès lors que le contrat a disparu (base de licéité initiale), le maintien de la messagerie jusqu’à 3 mois reposerait sur la base de licéité de l’intérêt légitime de l’entreprise à assurer le bon fonctionnement de l’entreprise et la continuité des prestations. Passé ce délai de 3 mois, l’APD estime que l’entreprise ne pourrait plus justifier d’un intérêt légitime et qu’en conséquence, le traitement ne repose plus sur aucune base de licéité – ce qui est une infraction au RPGD.
- Sanction en cas de non-respect
En cas de non-respect des prescriptions du RGPD, des sanctions peuvent être prises par l’APD. Ces sanctions vont de la suspension du prononcé jusqu’à des amendes administratives, en passant par une obligation de mise en conformité, un avertissement ou une réprimande.
Dans le cas d’une entreprise qui avait maintenu active une messagerie électronique durant cinq mois nonobstant des demandes d’effacement, une réprimande avec ordonnance de mise en conformité a été prise.
Dans un dossier similaire où les messageries ont subsisté durant plusieurs années sans aucune notification signalant aux émetteurs que d’autres utilisateurs que les destinataires ont accès à ces adresses mail, l’APD a sanctionné l’entreprise d’une réprimande, un ordre de mise en conformité détaillé et une amende administrative de 15.000 euros.
Les sanctions sont donc réelles et dépendront fortement du contexte.
- Des bonnes pratiques… qui ne constituent pas des obligations
L’APD a ainsi défini des bonnes pratiques sur la base d’une jurisprudence qu’elle entend imposer à toutes les entreprises. Ces bonnes pratiques de l’APD ne sont toutefois pas des obligations légales, mais restent fondées sur une certaine lecture du RGPD.
La suppression d’une messagerie professionnelle peut apparaitre impraticable dans les faits. Il apparait difficile de ne pas conserver les e-mails professionnels d’un « key account manager » après son départ dès lors que son successeur doit pouvoir poursuivre son activité.
Les entreprises pourraient donc décider de ne pas appliquer ces bonnes pratiques et d’appliquer une autre politique de gestion des e-mails. Le cas échéant, il est fortement recommandé de justifier et de documenter les choix qui ont été faits.
- Politique de gestion des e-mails transparente … et stricte ?
Toute entreprise se doit de se doter d’une politique claire et transparente relative à la gestion des boites de messagerie et de la procédure à appliquer au moment du départ d’un collaborateur de l’entreprise: procédure en cas de départ, information de la personne, maintien de la messagerie durant une période déterminée, transfert des e-mails, etc.
Pour éviter l’utilisation de la messagerie professionnelle à des fins privées, une politique stricte pourrait également être mise en place : l’utilisation de la messagerie professionnelle est tout simplement interdite à des fins privées. Cette règle doit être clairement établie en début de contrat, avoir une finalité légitime (cybersécurité, continuité du service, etc.) et proportionnelle à la finalité (impossible de faire autrement). Cela permettra d’appliquer une présomption de professionnalité des outils professionnels, à l’instar des principes retenus en France depuis plusieurs années (Cass.fr., 15 décembre 2010, 08-42.486).
Pour toute question relativement à l’application du RGPD dans le cadre du contrôle des outils professionnels, n’hésitez pas à prendre contact avec Me Thibault Caeymaex, avocat au barreau de Bruxelles.
Associate Partner THALES Lawyers