Garder la mailbox d'un employé licencié ouverte ? Vous risquez une lourde amende de RGPD !

Garder la mailbox d'un employé licencié ouverte ? Vous risquez une lourde amende de RGPD !

Le 29 septembre 2020, l'autorité de protection des données (APD) a infligé une amende de 15.000,00 euros à une entreprise qui n'avait toujours pas fermé les adresses électroniques d'un ancien employé près de 3 ans après son licenciement. De plus, l’entreprise n'avait pas mis en place de message d'alerte automatique et pouvait donc continuer à lire les messages entrants.

Les faits de l'affaire peuvent être résumés comme suit :

La société était à l'origine une entreprise familiale. L'ancien travailleur était le directeur de la société fondée par son père à l'époque. Le 16 novembre 2016, le travailleur est licencié avec effet immédiat.

Quelques années plus tard, le travailleur licencié constate que ses deux anciennes adresses électroniques ainsi que cinq adresses électroniques d'autres membres de sa famille ne travaillant plus dans l'entreprise étaient toujours utilisées. Après avoir envoyé quelques lettres recommandées dans les deux sens, il apparaît que la société, malgré des allégations contraires, avait encore trois des sept adresses électroniques actives.

En ce qui concerne le service d’inspection de l’APD, la société a déclaré qu'elle avait désactivé les trois adresses électroniques à partir de novembre 2019, mais qu'elle continuait à transférer automatiquement tous les courriels entrants afin d'éviter de perdre des courriels importants de fournisseurs ou de clients.

L'inspection elle-même conclut dans son rapport qu'il est recommandé de bloquer la boîte aux lettres électronique du travailleur dès que possible après que celui-ci a quitté son emploi, et après avoir affiché un message d'avertissement automatique indiquant que le travailleur n’est plus actif dans l’entreprise. En outre, la boîte aux lettres électronique doit être retirée après l'expiration d'un délai raisonnable (d'un mois). L'Inspection ajoute que si cette procédure n'était pas suivie, la société en question pourrait collecter et utiliser des données à caractère personnel à l'insu de l'expéditeur.

Finalement, l'affaire a été portée devant la chambre contentieuse de l'APD, qui examine en premier lieu si l'employeur responsable du traitement a respecté les principes traditionnels sur le traitement des données à caractère personnel énoncés dans le RGPD. 

De manière similaire à l'Inspection, la chambre contentieuse décide que les principes susmentionnés ne sont respectés que dans la mesure où l'employeur :

  • bloque l'adresse électronique professionnelle du travailleur, au plus tard le jour de sa sortie effective de service;
  • avant de bloquer le compte, met en place un message d'avertissement automatique pour l'adresse électronique du travailleur dans lequel les expéditeurs ;
    • sont informés et avertis du fait que le travailleur n'exerce plus sa fonction au sein de l'entreprise ;
    • sont informés des coordonnées de la personne ou de l'adresse électronique générale qu'il doit contacter à la place.

En principe, ce message d'avertissement peut être conservé pendant une période maximale d'un mois. Toutefois, en fonction du contexte spécifique et du degré de responsabilité du travailleur, cette période peut être prolongée jusqu'à un maximum de 3 mois "idéalement". En cas de prolongation, l'employeur doit de préférence obtenir le consentement du travailleur (par exemple à prévoir dans un accord de résiliation). Le travailleur devrait être, au minimum, informé de cette prolongation de manière motivée et une solution alternative devrait être recherchée au plus vite.

Une fois ce délai maximum écoulé (avec présence d’un message d'avertissement), la mailbox de la personne concernée doit être définitivement supprimée. La chambre contentieuse a également précisé que l'employeur doit suivre spontanément la procédure décrite ci-dessus. Une demande écrite de l’ancien travailleur n'est donc pas nécessaire.

En outre, la chambre contentieuse ajoute trois conditions supplémentaires pour l'évaluation de la connaissance des courriels eux-mêmes : 

  • Tout d'abord, l'employeur doit informer le travailleur qu'il bloquera l'adresse électronique afin que le travailleur ait la possibilité de trier les messages privés et, si nécessaire, de les transmettre à son (ses) adresse(s) électronique(s) privée(s).
  • En outre, si l'employeur souhaite conserver une partie du contenu de la boîte aux lettres pour le bon fonctionnement de l'entreprise, il doit le faire avant le départ et en présence du travailleur en question. La chambre contentieuse recommande l'intervention d'un conseiller confidentiel en cas de litige à ce sujet.
  • Enfin, et peut-être le plus important pour la pratique, la chambre contentieuse oblige (chaque) employeur à régler l'hypothèse de licenciement ou toute autre forme de sortie de service et ses conséquences dans une politique interne d'utilisation des outils informatiques.

Bien que cette approche stricte puisse encore donner lieu à des discussions dans la jurisprudence et la doctrine juridique, cette décision de l’APD illustre néanmoins l'importance d'une politique IT correctement élaborée (et de bons accords lors du départ d'un travailleur). En l'absence d'une telle politique, vous risquez, en tant qu'entreprise, de lourdes amendes. Sur la base du RGPD, ceux-ci peuvent théoriquement s'élever à un maximum de 20 millions d'euros ou jusqu'à 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent (le montant le plus élevé étant retenu). 

En outre, la politique IT doit tenir compte non seulement des obligations dans le domaine de la RGPD (comme l'illustre la décision susmentionnée de l'autorité de protection des données), mais aussi du droit à la vie privée du travailleur (tel que précisé par exemple dans l'article 8 de la CEDH, le CAO n° 81, la loi relative aux communications électroniques et même le code pénal).

Avez-vous d'autres questions à ce sujet ? Contactez Sara Cockx (chef de cellule Vie privée et protection des données) ou Kiandro Lebon (auteur).