{"id":7134,"date":"2024-09-13T15:05:07","date_gmt":"2024-09-13T13:05:07","guid":{"rendered":"https:\/\/www.thales.be\/?p=7134"},"modified":"2024-09-16T13:12:10","modified_gmt":"2024-09-16T11:12:10","slug":"que-faire-dune-adresse-e-mail-apres-le-depart-dun-employe","status":"publish","type":"post","link":"https:\/\/www.thales.be\/en\/2024\/09\/13\/que-faire-dune-adresse-e-mail-apres-le-depart-dun-employe\/","title":{"rendered":"Que faire d&rsquo;une adresse e-mail apr\u00e8s le d\u00e9part d&rsquo;un employ\u00e9 ?"},"content":{"rendered":"<p><strong>R\u00e9sum\u00e9 des bonnes pratiques suivant l&rsquo;Autorit\u00e9 de Protection des Donn\u00e9es<\/strong><\/p>\n\n\n\n<p>Toute entreprise est un jour ou l&rsquo;autre confront\u00e9e au d\u00e9part d&rsquo;un collaborateur. Or les collaborateurs se voient habituellement attribuer une adresse e-mail personnalis\u00e9e.<\/p>\n\n\n\n<p>Qu&rsquo;en est-il de cette adresse e-mail apr\u00e8s le d\u00e9part du collaborateur ? L&#8217;employeur peut-il conserver cette adresse e-mail pour assurer la poursuite de son activit\u00e9? Dans l&rsquo;affirmative, pour quelle dur\u00e9e et suivant quelles modalit\u00e9s ?<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Plaintes des employ\u00e9s<\/strong><\/li>\n<\/ul>\n\n\n\n<p>L&rsquo;Autorit\u00e9 de Protection des Donn\u00e9es (APD) fut saisie de plusieurs plaintes d&#8217;employ\u00e9s qui se sont rendus compte que leurs adresses e-mails restaient actives apr\u00e8s leur d\u00e9part et ce, parfois durant de nombreux mois.<\/p>\n\n\n\n<p>Pour justifier cette situation, les entreprises concern\u00e9es \u00e9voquent g\u00e9n\u00e9ralement le caract\u00e8re professionnel des messageries, la n\u00e9cessit\u00e9 de pouvoir reconsulter les messages qui y sont stock\u00e9s et de pouvoir continuer \u00e0 recevoir des e-mails pour les besoins du service, dans le cadre des relations professionnelles avec les clients et partenaires commerciaux.<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Application du RGPD<\/strong><\/li>\n<\/ul>\n\n\n\n<p>Dans plusieurs d\u00e9cisions r\u00e9centes (29 septembre 2020 (64\/2020), 2 d\u00e9cembre 2021 (133\/2021), 30 avril 2024 (66\/2024),16 juillet 2024 (97\/2024)), l&rsquo;Autorit\u00e9 de Protection des Donn\u00e9es (APD) rappelle que le RGPD s&rsquo;applique bien aux outils professionnels s&rsquo;ils comprennent des donn\u00e9es \u00e0 caract\u00e8re personnel. Or, les adresses e-mails non g\u00e9n\u00e9riques &#8211; soit celles r\u00e9dig\u00e9es \u00e0 partir du pr\u00e9nom et\/ou du nom de l&#8217;employ\u00e9 &#8211; sont des donn\u00e9es \u00e0 caract\u00e8re personnel auxquelles s&rsquo;appliquent donc toutes les obligations du RGPD.<\/p>\n\n\n\n<p>Par cons\u00e9quent, l&rsquo;entreprise, responsable de traitement de ces adresses e-mails personnelles, doit veiller \u00e0 ce que le traitement des adresses e-mails repose sur une finalit\u00e9 licite (ici: contrat de travail ou int\u00e9r\u00eat l\u00e9gitime), minimisation (utilisation ad\u00e9quate, pertinente et non excessive de la donn\u00e9e), conservation limit\u00e9e des donn\u00e9es (suppression lorsque les donn\u00e9es ne sont plus utiles \u00e0 la finalit\u00e9).<\/p>\n\n\n\n<p>Sur cette base, l&rsquo;APD a d\u00e9velopp\u00e9 plusieurs \u00ab\u00a0bonnes pratiques\u00a0\u00bb qu&rsquo;elle entend faire respecter par les entreprises.<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Bonne pratique: suppression de l&rsquo;adresse e-mail \u00e0 la fin du contrat<\/strong><\/li>\n<\/ul>\n\n\n\n<p>L&rsquo;APD consid\u00e8re qu&rsquo;en application des principes de finalit\u00e9, minimisation et limitation du d\u00e9lai de conservation, l&rsquo;entreprise <strong>doit en principe bloquer la messagerie \u00e9lectronique au plus tard le jour du d\u00e9part effectif de la personne concern\u00e9e<\/strong>.<\/p>\n\n\n\n<p>Ce blocage interviendra (i) <strong>apr\u00e8s avoir averti le titulaire<\/strong> de la messagerie et (ii) <strong>apr\u00e8s avoir fait ins\u00e9rer un message automatique<\/strong> indiquant que le titulaire n&rsquo;exerce plus ses fonctions au sein de l&rsquo;entreprise, renseignant les coordonn\u00e9es de la personne (ou l&rsquo;adresse g\u00e9n\u00e9rique) \u00e0 contacter.<\/p>\n\n\n\n<p>Cette <strong>p\u00e9riode transitoire<\/strong> (message automatique) devrait \u00eatre limit\u00e9e dans le temps \u00e0 une p\u00e9riode raisonnable, \u00e9valu\u00e9e par l&rsquo;APD \u00e0 <strong>1 mois, avec un maximum 3 mois.<\/strong><\/p>\n\n\n\n<p>L&rsquo;APD <strong>d\u00e9conseille le transfert automatique d&rsquo;e-mails <\/strong>entrant vers une autre adresse e-mail en raison de l&rsquo;absence de ma\u00eetrise sur les courriers entrant et le fait que des e-mails d&rsquo;ordre priv\u00e9 pourraient ainsi \u00eatre adress\u00e9s sur l&rsquo;adresse de renvoi, \u00e0 l&rsquo;insu de la personne concern\u00e9e et de l&rsquo;\u00e9metteur du message.<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Bonne pratique: trier et transf\u00e9rer les e-mails priv\u00e9s et professionnels<\/strong><\/li>\n<\/ul>\n\n\n\n<p>D\u00e8s lors que la messagerie est supprim\u00e9e, l&rsquo;APD recommande d&rsquo;inviter la personne concern\u00e9e \u00e0 <strong>faire le tri<\/strong> dans ses e-mails et \u00e0 transf\u00e9rer, avant son d\u00e9part, les e-mails priv\u00e9s re\u00e7us sur sa messagerie professionnelle vers une messagerie priv\u00e9e et\/ou de le supprimer.<\/p>\n\n\n\n<p>De m\u00eame, l&rsquo;entreprise qui aurait besoin d&rsquo;acc\u00e9der \u00e0 la messagerie pour assurer la bonne marche de l&rsquo;entreprise devrait <strong>r\u00e9cup\u00e9rer ce dont elle a besoin sur la messagerie<\/strong> avant le d\u00e9part de la personne concern\u00e9e et en sa pr\u00e9sence. En cas de situation litigieuse, l&rsquo;APD recommande l\u2019intervention d\u2019une personne de confiance.<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Bonne pratique: dans des cas particuliers, prolongation de la messagerie jusqu&rsquo;\u00e0 3 mois<\/strong><\/li>\n<\/ul>\n\n\n\n<p>L&rsquo;APD estime que le maintien de la messagerie apr\u00e8s le d\u00e9part de la personne concern\u00e9e de l&rsquo;entreprise peut se justifier dans certains cas, en particulier en fonction du degr\u00e9 de responsabilit\u00e9 exerc\u00e9 par la personne concern\u00e9e (telle une fonction d\u2019administrateur d\u00e9l\u00e9gu\u00e9 ou une fonction cl\u00e9 que la personne concern\u00e9e \u00e9tait seule \u00e0 exercer). Dans ce cas, la messagerie pourrait rester active dans un d\u00e9lai \u00ab\u00a0raisonnable\u00a0\u00bb, que l&rsquo;APD estime comme allant <strong>d&rsquo;un \u00e0 maximum 3 mois apr\u00e8s le d\u00e9part du collaborateur<\/strong>. L&rsquo;APD souligne que cette prolongation est donc exceptionnelle et doit <strong>se justifier<\/strong> et que cette prolongation se fait <strong>avec l\u2019accord<\/strong> de la personne concern\u00e9e ou, au minimum, apr\u00e8s l\u2019en avoir <strong>avertie<\/strong>. L&rsquo;entreprise doit aussi rechercher des solutions alternatives \u00e0 mettre en place le plus rapidement possible sans n\u00e9cessairement attendre l\u2019\u00e9ch\u00e9ance ultime de cette prolongation.<\/p>\n\n\n\n<p>D\u00e8s lors que le contrat a disparu (base de lic\u00e9it\u00e9 initiale), le maintien de la messagerie jusqu&rsquo;\u00e0 3 mois reposerait sur la base de lic\u00e9it\u00e9 de <strong>l&rsquo;int\u00e9r\u00eat l\u00e9gitime de l&rsquo;entreprise \u00e0 assurer le bon fonctionnement de l&rsquo;entreprise et la continuit\u00e9 des prestations<\/strong>. Pass\u00e9 ce d\u00e9lai de 3 mois, l&rsquo;APD estime que l&rsquo;entreprise ne pourrait <strong>plus justifier d&rsquo;un int\u00e9r\u00eat l\u00e9gitime<\/strong> et qu&rsquo;en cons\u00e9quence, le traitement ne repose plus sur aucune base de lic\u00e9it\u00e9 &#8211; ce qui est une infraction au RPGD.<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Sanction en cas de non-respect<\/strong><\/li>\n<\/ul>\n\n\n\n<p>En cas de non-respect des prescriptions du RGPD, des sanctions peuvent \u00eatre prises par l&rsquo;APD. Ces sanctions vont de la suspension du prononc\u00e9 jusqu&rsquo;\u00e0 des amendes administratives, en passant par une obligation de mise en conformit\u00e9, un avertissement ou une r\u00e9primande.<\/p>\n\n\n\n<p>Dans le cas d&rsquo;une entreprise qui avait maintenu active une messagerie \u00e9lectronique durant cinq mois nonobstant des demandes d&rsquo;effacement, une r\u00e9primande avec ordonnance de mise en conformit\u00e9 a \u00e9t\u00e9 prise.<\/p>\n\n\n\n<p>Dans un dossier similaire o\u00f9 les messageries ont subsist\u00e9 durant plusieurs ann\u00e9es sans aucune notification signalant aux \u00e9metteurs que d&rsquo;autres utilisateurs que les destinataires ont acc\u00e8s \u00e0 ces adresses mail, l&rsquo;APD a sanctionn\u00e9 l&rsquo;entreprise d&rsquo;une r\u00e9primande, un ordre de mise en conformit\u00e9 d\u00e9taill\u00e9 et une amende administrative de 15.000 euros.<\/p>\n\n\n\n<p>Les sanctions sont donc r\u00e9elles et d\u00e9pendront fortement du contexte.<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Des bonnes pratiques\u2026 qui ne constituent pas des obligations<\/strong><\/li>\n<\/ul>\n\n\n\n<p>L&rsquo;APD a ainsi d\u00e9fini des bonnes pratiques sur la base d&rsquo;une jurisprudence qu&rsquo;elle entend imposer \u00e0 toutes les entreprises. Ces bonnes pratiques de l&rsquo;APD ne sont toutefois pas des obligations l\u00e9gales, mais restent fond\u00e9es sur une certaine lecture du RGPD.<\/p>\n\n\n\n<p>La suppression d&rsquo;une messagerie professionnelle peut apparaitre impraticable dans les faits. Il apparait difficile de ne pas conserver les e-mails professionnels d&rsquo;un \u00ab\u00a0key account manager\u00a0\u00bb apr\u00e8s son d\u00e9part d\u00e8s lors que son successeur doit pouvoir poursuivre son activit\u00e9.<\/p>\n\n\n\n<p>Les entreprises pourraient donc d\u00e9cider de ne pas appliquer ces bonnes pratiques et d&rsquo;appliquer une autre politique de gestion des e-mails. Le cas \u00e9ch\u00e9ant, il est fortement recommand\u00e9 de justifier et de documenter les choix qui ont \u00e9t\u00e9 faits.<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Politique de gestion des e-mails transparente \u2026 et stricte ?<\/strong><\/li>\n<\/ul>\n\n\n\n<p>Toute entreprise se doit de se doter d&rsquo;une politique claire et transparente relative \u00e0 la gestion des boites de messagerie et de la proc\u00e9dure \u00e0 appliquer au moment du d\u00e9part d&rsquo;un collaborateur de l&rsquo;entreprise: proc\u00e9dure en cas de d\u00e9part, information de la personne, maintien de la messagerie durant une p\u00e9riode d\u00e9termin\u00e9e, transfert des e-mails, etc.<\/p>\n\n\n\n<p>Pour \u00e9viter l&rsquo;utilisation de la messagerie professionnelle \u00e0 des fins priv\u00e9es, une politique stricte pourrait \u00e9galement \u00eatre mise en place : l&rsquo;utilisation de la messagerie professionnelle est tout simplement interdite \u00e0 des fins priv\u00e9es. Cette r\u00e8gle doit \u00eatre clairement \u00e9tablie en d\u00e9but de contrat, avoir une finalit\u00e9 l\u00e9gitime (cybers\u00e9curit\u00e9, continuit\u00e9 du service, etc.) et proportionnelle \u00e0 la finalit\u00e9 (impossible de faire autrement). Cela permettra d&rsquo;appliquer une pr\u00e9somption de professionnalit\u00e9 des outils professionnels, \u00e0 l&rsquo;instar des principes retenus en France depuis plusieurs ann\u00e9es (Cass.fr., 15 d\u00e9cembre 2010, 08-42.486).<\/p>\n\n\n\n<p>Pour toute question relativement \u00e0 l&rsquo;application du RGPD dans le cadre du contr\u00f4le des outils professionnels, n&rsquo;h\u00e9sitez pas \u00e0 prendre contact avec Me Thibault Caeymaex, avocat au barreau de Bruxelles.<\/p>\n\n\n\n<div style=\"height:100px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<figure class=\"wp-block-image alignleft size-large is-resized\"><img fetchpriority=\"high\" decoding=\"async\" width=\"1024\" height=\"1024\" src=\"https:\/\/www.thales.be\/wp-content\/uploads\/2024\/05\/tca-scaled-e1715689586941-1024x1024.jpg\" alt=\"thibault-caeymaex\" class=\"wp-image-6973\" style=\"width:180px\" srcset=\"https:\/\/www.thales.be\/wp-content\/uploads\/2024\/05\/tca-scaled-e1715689586941-1024x1024.jpg 1024w, https:\/\/www.thales.be\/wp-content\/uploads\/2024\/05\/tca-scaled-e1715689586941-300x300.jpg 300w, https:\/\/www.thales.be\/wp-content\/uploads\/2024\/05\/tca-scaled-e1715689586941-150x150.jpg 150w, https:\/\/www.thales.be\/wp-content\/uploads\/2024\/05\/tca-scaled-e1715689586941-768x768.jpg 768w, https:\/\/www.thales.be\/wp-content\/uploads\/2024\/05\/tca-scaled-e1715689586941-1536x1536.jpg 1536w, https:\/\/www.thales.be\/wp-content\/uploads\/2024\/05\/tca-scaled-e1715689586941-2048x2048.jpg 2048w, https:\/\/www.thales.be\/wp-content\/uploads\/2024\/05\/tca-scaled-e1715689586941-12x12.jpg 12w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<p><a href=\"https:\/\/www.thales.be\/en\/avocat\/thibault-caeymaex\/\">Thibault Caeymaex<\/a><\/p>\n\n\n\n<p>Associate Partner THALES Lawyers <\/p>\n\n\n\n<p><a href=\"mailto:thibault.caeymaex@thales.be\">thibault.caeymaex@thales.be<\/a><\/p>\n\n\n\n<p><\/p>","protected":false},"excerpt":{"rendered":"<p>R\u00e9sum\u00e9 des bonnes pratiques suivant l&rsquo;Autorit\u00e9 de Protection des Donn\u00e9es Toute entreprise est un jour ou l&rsquo;autre confront\u00e9e au d\u00e9part d&rsquo;un collaborateur. Or les collaborateurs se voient habituellement attribuer une adresse e-mail personnalis\u00e9e. Qu&rsquo;en est-il de cette adresse e-mail apr\u00e8s le d\u00e9part du collaborateur ? L&#8217;employeur peut-il conserver cette adresse e-mail pour assurer la poursuite [&hellip;]<\/p>\n","protected":false},"author":87,"featured_media":5492,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[70,267,16,251,249,37,308,245,17,74],"tags":[315,316,19,313,314,312,399,395,311,400,317],"class_list":["post-7134","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-actualites","category-advocaten","category-avocats","category-brussel","category-brussels","category-bruxelles","category-data-protection-it","category-lawyers","category-news","category-nieuws","tag-apd","tag-avocat","tag-bruxelles","tag-caeymaex","tag-data-protection","tag-gdpr","tag-informatique","tag-it","tag-rgpd","tag-technologie","tag-thales"],"acf":[],"_links":{"self":[{"href":"https:\/\/www.thales.be\/en\/wp-json\/wp\/v2\/posts\/7134","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.thales.be\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.thales.be\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.thales.be\/en\/wp-json\/wp\/v2\/users\/87"}],"replies":[{"embeddable":true,"href":"https:\/\/www.thales.be\/en\/wp-json\/wp\/v2\/comments?post=7134"}],"version-history":[{"count":5,"href":"https:\/\/www.thales.be\/en\/wp-json\/wp\/v2\/posts\/7134\/revisions"}],"predecessor-version":[{"id":7142,"href":"https:\/\/www.thales.be\/en\/wp-json\/wp\/v2\/posts\/7134\/revisions\/7142"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.thales.be\/en\/wp-json\/wp\/v2\/media\/5492"}],"wp:attachment":[{"href":"https:\/\/www.thales.be\/en\/wp-json\/wp\/v2\/media?parent=7134"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.thales.be\/en\/wp-json\/wp\/v2\/categories?post=7134"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.thales.be\/en\/wp-json\/wp\/v2\/tags?post=7134"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}