Fonctionnalités Logiciel RGPD Registre Exercice des droits Logiciel DPO Conformité PME
Direction Générale Dirigeant PME DPO Interne DPO Externe RSSI / Responsable IT Expert-Comptable TPE / PME Collectivités Associations DPO externe
Qu'est-ce que le RGPD ? Obligations Sanctions Droits des personnes Guide du registre Rôle du DPO AIPD Consentement Mise en conformité Sous-traitance RGPD & Excel®
FAQ Comparatif Guide de choix Alternatives
Blog Tarifs Contact Se connecter Activer mon compte Essayer gratuitement
Retour au blog

Boîtes mail professionnelles : les obligations après rupture de contrat

Dativo

Quand la gestion des comptes salariés devient un enjeu RGPD majeur

Un ancien employé découvre que sa boîte de messagerie professionnelle reste active des mois après son départ de l'entreprise. Ce scénario, loin d'être isolé, soulève une question centrale : comment gérer correctement les données personnelles stockées dans les comptes numériques lors d'une séparation professionnelle ? L'Autorité de protection des données belge (APD) a récemment tranché cette question en condamnant une entreprise pour cette négligence.

À retenir :
  • Une entreprise belge a été sanctionnée de 8 500 € pour avoir maintenu un compte de messagerie actif après le départ d'un salarié
  • Cette pratique constitue un manquement au RGPD concernant la conservation et la gestion des données personnelles
  • Les entreprises doivent mettre en place un processus de suppression ou d'archivage des comptes dans un délai défini
  • Cette décision s'applique à tous les pays européens soumis au RGPD, dont la France

Cette sanction illustre un problème organisationnel fréquent dans les entreprises : l'absence de procédures claires pour traiter les données numériques des anciens collaborateurs. Au-delà de l'amende, cette affaire révèle les risques réglementaires et sécuritaires liés à une gestion défaillante du cycle de vie des comptes utilisateurs.

Les fondamentaux du RGPD appliqués aux données d'emploi

Le Règlement général sur la protection des données (RGPD) impose aux entreprises des obligations précises concernant les données personnelles. L'article 5 du RGPD établit que les données doivent être « conservées de façon à permettre l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des objectifs pour lesquels elles sont traitées ».

Dans le contexte d'une relation de travail, cela signifie que dès la fin du contrat, l'entreprise doit évaluer quelles données sont encore nécessaires et procéder à la suppression de celles qui ne le sont plus. Les e-mails, fichiers personnels et autres contenus stockés dans les comptes professionnels relèvent de cette obligation.

Selon la jurisprudence émise par les autorités de protection de données, notamment la CNIL française, une boîte de messagerie reste un traitement de données personnelles, même après le départ du salarié. Elle ne peut être conservée que si une base légale justifiée existe (obligations légales de conservation, intérêts légitimes documentés, etc.).

La décision de l'APD : analyse d'un manquement caractérisé

Dans cette affaire belge, l'entreprise Y.NV n'avait pas supprimé ou désactivé le compte de messagerie d'un ancien salarié après la résiliation de son contrat en juin 2021. Des mois plus tard, le compte demeurait pleinement opérationnel, ce qui constitue une violation du principe de minimisation des données.

L'APD a estimé que cette inaction représentait :

  • Un manquement au principe de limitation de la conservation : les données étaient conservées sans justification valide au-delà de la période nécessaire
  • Une exposition du droit à l'oubli : l'ancien employé ne pouvait exercer son droit à l'effacement en pratique
  • Un risque de sécurité : un compte actif et inutilisé présente des vulnérabilités (accès non autorisé, usurpation d'identité)

L'amende de 8 500 € peut sembler modérée au regard des sanctions RGPD possibles (jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires), mais elle reflète la gravité du manquement et la taille de l'entreprise. Surtout, cette décision crée un précédent important dans la jurisprudence RGPD européenne.

Les obligations pratiques des employeurs en matière de données numériques

Cette condamnation impose aux entreprises de réviser leurs processus de départ de salarié. Voici les pratiques conformes au RGPD :

1. Établir un calendrier de suppression clair

Chaque entreprise doit définir, en collaboration avec ses services RH et IT, les délais exacts de suppression ou d'archivage des comptes. Ces délais doivent être justifiés par des obligations légales, comptables ou contractuelles, et documentés dans un registre du traitement des données.

2. Distinguer archivage et suppression

L'archivage peut être approprié pour les données devant être conservées (bulletins de paie, dossiers disciplinaires selon le droit du travail). La suppression complète doit s'appliquer aux données personnelles sans finalité persistante, comme les e-mails ou fichiers personnels.

3. Informer le salarié

Selon le RGPD, les salariés doivent être informés de la conservation de leurs données dans les conditions mentionnées ci-dessus. Une clause de la politique de confidentialité de l'entreprise doit expliciter ces pratiques.

4. Documenter les traitements

Le RGPD impose la tenue d'un registre des traitements de données. Les procédures de suppression de comptes après départ doivent y figurer, avec les justifications de conservation pour les données archivées.

Les risques pour les entreprises non conformes

Au-delà des amendes administratives, les entreprises qui negligent la gestion des données post-départ s'exposent à plusieurs risques :

  • Risques réglementaires : sanctions des autorités de protection (CNIL en France, APD en Belgique, etc.)
  • Risques sécuritaires : les comptes dormants sont des cibles privilégiées pour les pirates informatiques et les ransomwares
  • Risques juridiques : les anciens salariés peuvent exercer leur droit à l'effacement et poursuivre l'entreprise en cas de refus ou retard
  • Risques réputationnels : les affaires de mauvaise gestion de données endommagent la confiance et l'image de marque

La CNIL française rappelle régulièrement dans ses guides que les entreprises doivent pouvoir démontrer leur conformité (accountability). Une décision de l'APD comme celle-ci renforce cette exigence de preuve.

Les bonnes pratiques à mettre en place immédiatement

Pour éviter une situation similaire, les entreprises doivent :

Étape 1 : Auditer les pratiques actuelles

Vérifier combien de comptes inactifs existent actuellement et depuis quand. Identifier les blocages organisationnels empêchant leur suppression.

Étape 2 : Formaliser une procédure

Créer un processus documenté impliquant les RH (qui notifient les départs), l'IT (qui gère les suppressions) et les archives (qui conservent certaines données légalement requises).

Étape 3 : Automatiser si possible

Utiliser des outils de gestion des identités et des accès (IAM) permettant de désactiver ou supprimer les comptes automatiquement après un délai défini.

Étape 4 : Former les équipes

Les collaborateurs en contact avec les données personnelles doivent comprendre les enjeux RGPD et leur responsabilité.

Questions fréquentes

Peut-on conserver les e-mails d'un ancien salarié à titre de preuve en cas de litige ?

Oui, mais sous conditions strictes. Si une procédure judiciaire ou administrative est en cours ou prévisible, la conservation peut se justifier par une obligation légale. Cependant, cette conservation doit être proportionnée à l'objectif (conservation des éléments pertinents uniquement, pas l'intégralité de la boîte) et temporaire (limitée à la durée du litige plus un délai raisonnable). Cette justification doit être documentée.

Quel est le délai légal pour supprimer un compte après un départ ?

Le RGPD ne fixe pas de délai universel. Il appartient à chaque entreprise de définir un délai justifié et proportionné. La jurisprudence suggère que quelques semaines à quelques mois sont généralement acceptables, mais l'important est d'avoir une politique claire et documentée. Garder un compte actif plusieurs mois sans justification, comme dans le cas de l'APD, est considéré comme excessif.

Qui est responsable de la suppression des comptes : RH ou IT ?

Légalement, c'est l'entreprise (responsable de traitement) qui est responsable. En pratique, une collaboration étroite entre RH et IT est essentielle : les RH doivent notifier les départs et les obligations légales de conservation, tandis que l'IT exécute les suppressions. Un tiers de confiance peut également être impliqué pour l'archivage sécurisé. La responsabilité légale demeure collective.

Conclusion : une conformité RGPD qui commence avant le départ

La décision de l'APD rappelle que la conformité RGPD n'est pas un objectif lointain, mais une réalité quotidienne affectant chaque processus métier. La gestion des données après rupture de contrat de travail est un domaine où les entreprises accumulent souvent les manquements, faute de procédures adaptées.

Cette affaire illustre aussi une tendance accrue des autorités de protection : sanctionner les problèmes organisationnels, pas seulement les violations technologiques. Pour les entreprises françaises, la CNIL applique des principes similaires. Il est donc urgent de mettre en place une gouvernance des données claire, documentée et automatisée dès aujourd'hui. L'enjeu n'est pas juste réglementaire : c'est aussi une question de sécurité informatique, de respect des droits individuels et de confiance.

Source : Portail RGPD

Besoin d'aide pour votre conformité RGPD ?

Dativo accompagne les PME, DPO et collectivités dans leur mise en conformité RGPD avec un logiciel simple et complet.

À lire aussi

Sécuriser Windows Server : bloquer les attaques et protéger les données Concurrence et données : nouvelles lignes directrices du CEPD Caméras connectées : risques RGPD et failles de sécurité
Tous les articles