Selon la chambre contentieuse de l’APD, l’absence de clôture de ces adresses e-mails constitue une violation des principes fondamentaux du RGPD, et plus particulièrement des principes de licéité, de finalité, de traitement minimal et de conservation raisonnable dans le temps des données à caractère personnel.
L’APD indique que le fait que la société ait conservé les adresses e-mails afin de ne pas perdre des messages professionnels importants, compte tenu des fonctions importantes exercées par les personnes concernées, et de l’absence de transfert des dossiers en cours au moment du départ, ne constitue pas une raison suffisante pour ne pas désactiver les adresses e-mails en question.
Dans sa décision, l’APD estime que le responsable du traitement doit bloquer les boites e-mails professionnelles des travailleurs sortis de service au plus tard le jour de leur départ effectif.
Elle ajoute que le travailleur sortant doit en être informé et qu’un message automatique, dans lequel il est indiqué au correspondant que la personne qu’il essayait de contacter n’exerce plus ses fonctions dans l’entreprise ainsi que les coordonnées de la nouvelle personne de contact, doit être prévu.
L’APD précise, à cet égard, que ce message automatique ne peut être mis en place que pendant une période de temps raisonnable, qu’elle fixe à a priori 1 mois. Toutefois, l’APD mentionne que ce délai peut être prolongé, sans idéalement dépasser 3 mois, en fonction du contexte et, en particulier, du degré de responsabilité exercé par la personne concernée. Cette prolongation doit être justifiée et de préférence se faire en accord avec l’ancien travailleur ou, à tout le moins, après l’avoir informé.
Passée cette période, l’APD considère donc que la boîte e-mails professionnelle et le message automatique doivent être supprimés.
L’APD indique également que, de manière préalable à la désactivation de leurs adresses e-mails professionnelles, les travailleurs sortants (ainsi que d’éventuels tiers) doivent en être informés, et ce afin de leur permettre de trier et de transmettre leurs e-mails privés sur leur adresse e-mails personnelle avant leur départ effectif.
En outre, afin d’éviter que l’entreprise ait besoin d’accéder au compte e-mails d’un ancien travailleur, l’APD préconise que les e-mails professionnels provenant du compte e-mails du travailleur concerné, et qui sont essentiels pour assurer le bon fonctionnement de l’entreprise, soient récupérés avant le départ du travailleur, et en sa présence.
En vertu du principe de responsabilité, (« accountability »), il appartient à l’employeur de pouvoir démontrer, lorsque les travailleurs quittent l’entreprise, que les mesures susmentionnées ont été correctement respectées.
Enfin, l’APD souligne l’importance pour un employeur de disposer d’une politique claire et transparente relative à la gestion des boites de messagerie en cas de sortie de service.
Conclusion
Les lignes directrices établies par l’APD, et reprises ci-dessus, peuvent, et doivent même, être prises en considération par chaque employeur en cas de sortie de service d’un travailleur.
Il est donc important de pouvoir disposer d’une police interne qui précise les règles applicables en matière de gestion de la boîte e-mail professionnelle après le départ du travailleur.
Sarah Cluydts
Claeys & Engels
Autorité de protection des données, décision n° 64/2020 du 29 septembre 2020
