Protection de la vie privée : que faire avec la boîte mail d’un ancien travailleur ?

article image Par 

Un employeur (dizaine de collaborateurs) ne clôture pas la boîte mail d’un ancien travailleur. L’Autorité de la protection des données (APD) le condamne à 15.000€ d’amende. Quels enseignements en tirer en cas de départ d’un collaborateur ?

Les faits

Un ancien travailleur constate qu’il est toujours possible d’envoyer des mails à ses anciennes adresses professionnelles. Afin de garantir le respect de sa vie privée, il met son ex-employeur en demeure de supprimer l’ensemble des anciennes boîtes mails professionnelles.

Au bout de 3 ans, les anciennes adresses mails ne sont toujours pas désactivées par son ancien employeur.

Il saisit l’Autorité de la protection des données (APD) afin qu’elle condamne son ex-employeur suite à l'utilisation illicite de données à caractère personnel.

Arguments de l’ex-employeur

L’employeur invoque les arguments suivants pour se défendre :

  • une mauvaise connaissance des règles en matière de protection des données dans son chef ;
  • tous les messages entrants de l’ancien collaborateur étaient redirigés vers une seule personne (employée administrative) qui n’a par ailleurs jamais utilisé l’adresse de messagerie de l’ancien travailleur pour répondre à des messages de tiers (seule sa propre adresse mail était utilisée) ;
  • le transfert des mails avait pour but de :
    • ne pas perdre  de mails importants d’organismes  de contrôle actifs dans le secteur (+ clients, fournisseurs, …) étant donné que l’ancien travailleur occupait un poste clef dans l’entreprise ;
    • vu le départ précipité de l’ancien travailleur sans constitution de dossiers à l’attention de ses successeurs, la consultation des archives des e-mails s’est faite à des fins exclusivement professionnelles.

Rappels de certains principes par l’Autorité de protection des données (APD) et décision

Principe de finalité

En vue de protéger la vie privée du travailleur, l’employeur doit veiller à poursuivre un but légitime lorsqu’il accède à l’ancienne boîte mail de son travailleur.

Principe de minimisation et limitation de la durée de conservation

Le principe de minimisation impose de limiter la quantité de données personnelles collectées ainsi que la durée de conservation de celles-ci à ce qui est strictement nécessaire au vu du but poursuivi.

Décision

L’ADP constate la violation des principes repris ci-dessus (et autres). La boîte mail aurait dû être clôturée immédiatement (ou à tout le moins, être maintenu pendant un grand maximum 3 mois avec accord du travailleur). Une réponse automatique avec renvoi à une autre personne doit être privilégiée plutôt qu’un transfert automatique de mails.

Quelques « bonnes pratiques » en cas de départ d’un collaborateur 

Sur base de la décision de l’ADP, nous pouvons dégager un ensemble de ‘bonnes pratiques’ :

  • supprimez la messagerie électronique de l’ancien travailleur immédiatement au moment du départ effectif du collaborateur :
    • en cas d’absolue nécessité :
      • clôturez l’adresse dans les  plus brefs  délais :  1 mois et grand maximum 3 mois s’il s’agit d’une fonction à responsabilité et, avec accord de l’intéressé ;
      • insérez  un  message  automatique  avertissant tout correspondant ultérieur du fait que le travailleur a quitté ses fonctions en renseignant les coordonnées des personnes à contacter en lieu et place d’un transfert automatique des messages vers une autre personne;
  • n’utilisez en aucun cas l’adresse mail  professionnelle  au  nom  d’un  ancien travailleur (même s’il ne s’agit que d’initiales) ;
  • dans certains cas, privilégiez l’utilisation d’une adresse générique fonctionnelle ;
  • prévoyez une procédure en cas de départ d’un collaborateur :
    • clôturez l’adresse mail professionnelle de l’ancien collaborateur (ou maintien en cas d’absolue nécessité dans les conditions strictes reprises ci-avant) ;
    • vu le contexte du départ, si c’est possible :
      • laissez le temps au collaborateur de supprimer ces mails privé avant de quitter l’entreprise ;
      • si une partie du contenu de sa messagerie doit  être  récupérée pour  assurer  la  bonne  marche  de  l’entreprise, faîtes cela en concertation avec le travailleur avant son départ et en sa présence.
  • prévoyez une charte interne (ex: clause du règlement de travail) pour définir les contours du droit à la vie privée.

Variation sur le même thème

Le problème de l’accès à la boîte mail professionnelle se pose également dans le cadre de l’absence d’un travailleur.

Nous vous renvoyons sur le sujet vers notre précédent article : « Pouvez-vous consulter les mails de votre travailleur absent ? »

 

Source : décision quant au fond 64/2020 du 29 septembre 2020 de l'APD.