Blogpost

Gestion des boîtes aux lettres après la résiliation : ce qu’il faut faire et ne pas faire dans  cadre du GDPR.

Managing Mailboxes
Gestion des boîtes aux lettres après la résiliation : ce qu’il faut faire et ne pas faire dans  cadre du GDPR.

Quand une relation de travail prend fin, plusieurs démarches doivent être menées à bien. Qu’il s’agisse de formalités administratives, de la protection des données personnelles ou de la continuité des activités, chaque étape compte. Pourtant, un aspect crucial est souvent oublié : la gestion de la boîte mail professionnelle de l’employé partant.

Peut-on encore utiliser cette boîte après son départ ? L’employé a-t-il le droit de récupérer ses informations personnelles ? Que dit le Règlement Général sur la Protection des Données (RGPD) à ce sujet ? Et surtout, quels sont les risques pour l’entreprise si elle ne respecte pas ces règles ?

Dans cet article, nous allons clarifier ces questions, explorer les implications légales et pratiques, et vous proposer des conseils concrets pour gérer cette transition de manière efficace et conforme à la réglementation.

1. Importance de gérer correctement la boîte aux lettres des employés qui quittent l’entreprise

L’employeur et l’employé ont chacun un intérêt dans le contenu de la boîte mail professionnelle, bien que leurs motivations diffèrent.

La boîte mail d’un salarié contient fréquemment des données personnelles, même si leur utilisation à des fins privées est strictement interdite. Cependant, après le départ d’un employé, il devient rarement pertinent, ni justifié, de conserver ces données. Certains salariés souhaitent d’ailleurs transférer des courriels importants vers leur boîte personnelle avant de quitter l’entreprise.

De son côté, l’entreprise peut avoir un intérêt légitime à maintenir temporairement l’accès à cette boîte. En effet, des courriers sensibles ou stratégiques pour ses activités peuvent encore y être stockés ou arriver après le départ de l’employé.

Cependant, le RGPD est clair : les données personnelles ne peuvent être conservées que le temps strictement nécessaire. Cette règle s’applique également à la gestion des boîtes mail électroniques des employés après leur départ.

2. Que dit le GDPR à propos des boîtes aux lettres après le départ d’un employé ?

Le RGPD place la responsabilité du traitement des données personnelles entre les mains du responsable de traitement, c’est-à-dire l’employeur. Cela signifie que ce dernier doit s’assurer de disposer d’une base légale avant de décider de ne pas supprimer une boîte mail professionnelle. En effet, le RGPD impose à l’employeur d’évaluer si le maintien de cette boîte est justifié, et de déterminer les modalités et la durée de conservation.

Principes fondamentaux du RGPD

  • Limitation de l’usage : Une boîte mail doit uniquement servir à l’usage prévu lors de sa création. Après le départ d’un salarié, cet usage n’est plus valable, et la boîte ne peut plus être utilisée activement.
  • Minimisation des données : Seules les données strictement nécessaires doivent être conservées. Une boîte mail d’un ancien employé ne peut donc rester active au-delà de ce qui est indispensable.
  • Base juridique : Une fois le contrat de travail terminé, la base juridique pour traiter les données liées à la boîte mail expire, sauf en cas de motif légitime, comme le besoin de finaliser un projet en cours. L’employeur peut alors :
    • Demander le consentement de l’ex-employé pour maintenir l’accès à sa boîte mail, dans une limite maximale d’un mois.
    • Procéder à une évaluation de son intérêt légitime, en équilibrant cet intérêt avec les droits et libertés de l’ex-employé.

Dans tous les cas, il est impératif de justifier et d’informer l’ex-employé des décisions prises, conformément à la législation en vigueur, comme la loi belge sur la protection des données.

Même si la boîte mail reste accessible pour des raisons exceptionnelles, l’employeur n’a en aucun cas le droit de l’utiliser pour envoyer de nouveaux courriers électroniques !

3. Que faire de la boîte aux lettres d’un employé qui s’en va ?

1. Bloquer l’accès au compte dès que possible

Dès qu’un salarié quitte l’entreprise, l’accès à sa boîte mail doit être immédiatement révoqué. Seul le service informatique doit pouvoir accéder au compte, et cet accès doit être consigné conformément aux bonnes pratiques.

2. Configurer un répondeur automatique hors bureau

Mettez en place un message automatique pour informer les expéditeurs que l’employé ne travaille plus dans l’entreprise. Ce message doit inclure les coordonnées d’un contact alternatif pour traiter les questions. Par défaut, ce répondeur peut rester actif jusqu’à un mois. Cependant, dans certains cas exceptionnels (par exemple, pour un employé ayant occupé un poste clé), ce délai peut être étendu.
Selon les directives de l’autorité de protection des données belge, une durée de trois mois est généralement suffisante, bien qu’un dépassement soit envisageable avec une justification appropriée et une notification à l’ex-employé. Par ailleurs, informez proactivement les clients et fournisseurs concernés pour éviter toute confusion.

3. Supprimer le compte de messagerie dans un délai raisonnable

Une fois le répondeur automatique configuré, il est essentiel de supprimer la boîte mail dans les meilleurs délais pour respecter les principes de protection des données.

4. Éviter le transfert automatique des courriels

Transférer automatiquement les courriels de l’ancien employé vers un autre compte est interdit. Cela pourrait compromettre la confidentialité et la vie privée, surtout si la boîte contient des informations personnelles ou sensibles.

5. Permettre la récupération des données personnelles

Avant le départ, donnez la possibilité au salarié de récupérer ses courriels personnels sous supervision. Par la suite, l’entreprise peut récupérer les contenus critiques liés à son activité via son service informatique.

En résumé

Anticipez et planifiez à l’avance la gestion des boîtes mails des employés partants. Déterminez les courriels à conserver, mettez en place des répondeurs automatiques, et supprimez les comptes dès qu’ils ne sont plus nécessaires. Une gestion rigoureuse protège à la fois les données de l’entreprise et les droits des salariés.

4. Quels sont les risques d’une mauvaise gestion de la boîte aux lettres ?

Ne pas gérer correctement la boîte mail d’un employé quittant l’entreprise peut engendrer plusieurs conséquences négatives :

  • Violation de données : Si le contenu de la boîte mail n’est pas supprimé, des données personnelles pourraient être accessibles à d’autres employés ou tiers non autorisés, entraînant une violation des règles de confidentialité et de protection des données.
  • Menace à la sécurité : Une boîte mail active peut devenir une porte d’entrée pour des cyberattaques. Des acteurs malveillants pourraient exploiter cette faille pour accéder à des systèmes critiques de l’entreprise.
  • Sanctions réglementaires : Les autorités peuvent imposer des amendes sévères en cas de non-conformité au RGPD. Cela inclut la conservation prolongée et injustifiée des boîtes mails ou un manque de transparence dans leur gestion.
  • Perte de confiance : Clients et employés attendent de votre organisation qu’elle traite les données personnelles avec soin et professionnalisme. Des négligences dans ce domaine peuvent entamer sérieusement leur confiance. À l’inverse, une gestion transparente et rigoureuse renforce l’image d’une organisation fiable et respectueuse des règles.

5. Conseils pratiques pour une bonne politique de gestion des boîtes aux lettres

Élaborer une politique interne structurée

Assurez-vous de définir une politique claire pour la gestion des boîtes mail professionnelles des employés qui quittent l’entreprise. Cette politique doit inclure des procédures précises pour informer les employés concernés et établir la durée pendant laquelle leur boîte mail restera active après leur départ.

Favoriser la transparence

Informez les employés, dès leur départ, de ce qu’il adviendra de leur boîte mail. Cette démarche, en plus d’être conforme aux exigences du RGPD, respecte les droits des personnes concernées tout en renforçant la confiance envers l’entreprise.

Équilibrer les intérêts de manière réfléchie

Si le maintien temporaire d’une boîte mail est nécessaire pour des raisons de continuité ou de sécurité, cette décision doit être justifiée de manière claire et documentée. Vous pouvez demander le consentement de l’ex-employé. En cas de refus, l’entreprise peut invoquer son intérêt légitime, à condition de fournir une justification solide et de notifier l’ex-employé de cette décision..

6. Conclusion

La gestion des boîtes mail des employés quittant l’entreprise ne se limite pas à une simple formalité administrative. C’est une étape clé pour garantir la conformité au RGPD et protéger les intérêts de votre organisation.

Adopter les bonnes pratiques, comme la désactivation rapide des comptes, la mise en place de répondeurs automatiques et la suppression des données personnelles dans des délais raisonnables, vous permet de :

  • Protéger la vie privée des anciens employés,
  • Préserver la continuité de vos activités,
  • Renforcer la sécurité stratégique de l’entreprise.

Une approche transparente et proactive limite les perturbations et renforce la confiance avec vos partenaires externes ainsi que vos anciens collaborateurs.

Partager ceci :

Écrit par

Hanne Vermeiren

Hanne Vermeire

Enzo Marquet

Enzo Marquet

Hi ! Comment pouvons-nous vous aider ?

Vous avez besoin d’un responsable interne de la protection de la vie privée ou d’un DPD externe ? Prenez contact avec nous et nous chercherons ensemble la meilleure solution.