En tant qu'employeur, comment gérez-vous les boîtes aux lettres de vos ex-employés?

Lorsqu'un employé quitte l'organisation de l'employeur, ce dernier souhaite naturellement assurer la continuité du service en ne laissant pas sans conséquence les courriels envoyés par des tiers sur le compte de l'ex-employé. En tant que responsable du traitement des données, l'employeur doit être en mesure de prouver a posteriori que le règlement général sur la protection des données (RGPD) a été respecté dans le cadre de ce processus.

L'autorité de protection des données (APD) a défini les règles relatives à la conservation, à l'accès et à l'utilisation des comptes email des ex-employés dans quelques décisions (64/2020 du 29 septembre 2020, 126/2021 du 19 novembre 2021, 133/2021 du 2 décembre 2021, APD 135/2023 du 21 septembre 2023).

Les employeurs qui souhaitent se conformer à ce conseil devraient procéder comme suit lorsqu'ils ferment la boîte aux lettres:

1. Fournir une politique claire en matière de courrier électronique et une déclaration de confidentialité à tous les employés afin que la méthode de travail soit connue à l'avance par tous les employés.

2. Si possible, anticiper le départ en imposant (si cela est souhaitable) à l'employé de mentionner dans la signature, quelque temps avant la cessation d'emploi, qu'il quittera bientôt l'employeur, avec pour instruction d'envoyer des courriers électroniques sur un autre compte à partir d'une certaine date. Cela permet de réduire le nombre de messages susceptibles de faire l'objet d'une discussion ultérieure.

3. Bloquer l'adresse et le compte de courrier électronique au plus tard le dernier jour d'emploi et demander à l'employé qui quitte le service d'envoyer un message hors du bureau avec le contenu prescrit, en demandant à l'expéditeur d'envoyer le message électronique à une autre adresse électronique (active).

   Si l'employé ne prend pas ou ne peut pas prendre lui-même cette mesure (par exemple, en cas de départ pour une raison urgente ou de force majeure médicale), l'employeur prend lui-même cette mesure et en informe l'employé.

4. La période de conservation de l'adresse électronique fermée, liée à l'envoi du message d'absence du bureau, est en principe d'un mois. Cette période peut être plus longue selon l'APD, à condition qu'elle puisse être justifiée (par exemple, fonction commerciale, membre du conseil d'administration). Jusqu'à présent, l'APD acceptait des prolongations jusqu'à un maximum de 3 mois.

5. Les courriels arrivant à l'adresse électronique verrouillée après le départ de l'employé ne doivent pas être lus. En effet, si l'expéditeur du message souhaitait y donner suite, il aurait renvoyé le message à une autre adresse électronique, active, conformément aux instructions du message de départ. En outre, il va de soi qu'aucun autre courriel ne doit être envoyé à partir de cette adresse électronique fermée pendant cette période.

Les employeurs qui souhaitent se conformer à ce conseil devraient procéder comme suit lorsqu'ils consultent le compte de courrier électronique fermé après le départ de l'employé (cette procédure suppose que l'employeur dispose d'une politique valable en matière de courrier électronique):

1. Le compte de courrier électronique fermé et les messages qui y sont stockés sont verrouillés et conservés en toute sécurité. Seul un cercle restreint de personnes désignées est habilité à consulter et à traiter les messages stockés en cas de besoin.

2. Les personnes désignées ne consulteront le compte de messagerie sauvegardé que s'il existe un motif légitime de le faire, par exemple pour le suivi de dossiers spécifiques.

3. Lors de la recherche du compte de courrier électronique conservé, une action proportionnelle est entreprise, par exemple en utilisant des termes de recherche pertinents.

4. Le compte de courrier électronique fermé et les messages qui y sont stockés ne seront pas conservés plus longtemps que nécessaire à la lumière de l'objectif poursuivi. Par exemple, si une entreprise offre une garantie de trois ans sur ses produits, la durée de conservation du compte de courrier électronique d'un ancien vendeur pour cette période peut être justifiée.

Quand une adresse électronique professionnelle et/ou un compte sont-ils des données personnelles?

La distinction entre une adresse de courrier électronique et un compte de courrier électronique peut être importante. En bref, la distinction:

• Une adresse électronique est l'adresse liée à un compte de messagerie particulier. Les courriers envoyés à une adresse électronique aboutissent dans le compte de messagerie qui lui est associé.

• Un compte de courrier électronique peut être comparé à une boîte aux lettres physique. Il s'agit de la boîte aux lettres dans laquelle les courriels envoyés à une adresse électronique spécifique liée à ce compte entrent et sont conservés pendant un certain temps. Plusieurs adresses électroniques peuvent être liées au même compte de messagerie. Les courriels adressés aux adresses électroniques concernées arrivent alors dans le même compte de messagerie/boîte aux lettres.

On distingue deux types d'adresses électroniques professionnelles:

• Tout d'abord, il existe des comptes de courrier électronique professionnels auxquels est attachée une adresse de courrier électronique contenant le nom et/ou le prénom d'un employé, par exemple JanJanssens@entreprise.be. Il s'agit d'un compte email dit "nominatif". Tant le compte email que l'adresse email sont alors des données à caractère personnel couvertes par le RGPD.

• Deuxièmement, il existe des comptes de courrier électronique professionnels "fonctionnels" auxquels est attachée une adresse électronique qui contient le nom du département ou du service de l'employeur, mais pas le nom d'un employé, par exemple serviceclientèle@entreprise.be.

Dans un arrêt récent, la Chambre des litiges de l'APD (40/2023 du 3 avril 2023) a précisé dans quel cas un tel compte de courrier électronique fonctionnel constitue néanmoins une donnée à caractère personnel. Deux situations peuvent être distinguées:

• Si le compte email est utilisé par un seul employé, qui signe également les emails de son propre nom, des tiers peuvent (indirectement) identifier l'employé derrière le compte email. Dans ce cas, le compte email constitue une "donnée à caractère personnel" au sens du RGPD.

• Cette situation se distingue du compte de courrier électronique fonctionnel utilisé par plusieurs employés. Dans ce cas, les employés ne sont pas identifiables individuellement et il ne s'agit pas de données à caractère personnel.

Les adresses et comptes email professionnels sont donc généralement des données à caractère personnel et l'employeur devra donc tenir compte des différentes obligations imposées par le RGPD. Nous reprenons ci-dessous les grands principes en la matière.

Principes clés du RGPD

Le fait de ne pas fermer l'adresse électronique et le compte de messagerie d'un ex-employé peut créer des problèmes au regard de plusieurs principes RGPD. Les principaux principes à cet égard sont les suivants:

• La licéité et la limitation de la finalité (art. 6 et 5.1.b RGPD) signifient que les données ne peuvent être traitées et collectées que pour une finalité bien définie, explicite et légitime. L'organisation ne peut pas soudainement utiliser les données à d'autres fins.

• Le traitement minimal des données (5.1.c RGPD) signifie que l'on ne peut traiter que des données suffisantes, pertinentes et limitées à ce qui est strictement nécessaire au regard de la finalité poursuivie. Le principe est toujours celui du "besoin de savoir" et non du "bon à savoir".

• Ainsi, les données ne doivent pas être conservées plus longtemps que nécessaire au regard des finalités pour lesquelles elles sont traitées (5.1.e RGPD).

Concrétisation de ces principes: fermeture d'une adresse email et d'un compte email

Si une adresse ou un compte de courrier électronique entre dans la catégorie des "données à caractère personnel" (voir ci-dessus), l'employeur ne doit en principe pas laisser l'adresse et le compte de courrier électronique actifs dès que l'employé concerné a quitté l'organisation.

Lorsque le contrat de travail avec un employé prend fin, l'employeur ne peut plus s'appuyer sur la base juridique selon laquelle il est "nécessaire à l'exécution du contrat de travail" pour maintenir actif le compte de courrier électronique de cet ex-employé. En effet, du fait de la fin de la coopération, il n'y a plus de contrat. L'employeur peut toutefois invoquer l'"intérêt légitime", en particulier le bon fonctionnement de l'organisation et la continuité de la communication avec des tiers, pour maintenir actif le compte de courrier électronique d'un employé pendant une période limitée après son départ.

Sur cette base juridique, l’APD permet de maintenir le compte email (y compris l'envoi du message automatique) actif sur une base limitée pendant une période raisonnable d'un mois en principe. Au plus tard à l'expiration de cette période, le compte de courrier électronique, y compris le message automatique, doit être supprimé.

Toutefois, cette période d'un mois peut être nuancée. En fonction du contexte et du degré de responsabilité exercé par l'ex-employé au sein de l'entreprise, une période plus longue peut être admise. A ce jour, l’APD a déjà accepté le maintien actif limité d'un compte email jusqu'à 3 mois (notamment dans le cas d'un ancien administrateur délégué au sein d'une entreprise familiale).

Il est donc recommandé de maintenir le compte email actif pour une durée limitée à 1 mois. Si l'ex-employé occupait une position élevée au sein de l'organisation, une prolongation de la durée est possible, avec un maximum de 3 mois.

Si l'organisation décide de maintenir le compte de courrier électronique actif plus longtemps que prévu, l'ancien employé doit être informé à l'avance de cette prolongation.

Concrètement, l'employeur peut encore maintenir le compte email partiellement actif à condition que l'expéditeur de messages vers ce compte email reçoive un message automatique. Ce faisant, le correspondant apprend que la personne n'occupe plus son poste au sein de l'organisation et que le message envoyé ne sera donc pas lu. Le message de fin de mandat précise à quelle adresse électronique l'expéditeur doit renvoyer son message s'il souhaite qu'il soit lu et qu'il y soit donné suite.

Ce faisant, l'employeur ne peut pas agir clandestinement. En principe, l'employeur doit informer à l'avance l'employé qui quitte l'organisation que son compte de courrier électronique restera partiellement actif. Une politique bien conçue en matière de courrier électronique contient déjà cette information, de sorte qu'aucune discussion ne peut avoir lieu à ce sujet. En l'absence d'une telle politique, l'employé doit être informé individuellement.

Enfin, nous mentionnons que la fermeture partielle du compte de courrier électronique, avec l'établissement d'un message de fin de service, doit être effectuée au plus tard le dernier jour de travail de l'employé.

Connaissance du contenu du compte email fermé

Indépendamment des affaires relatives à la conservation limitée du compte de courrier électronique d'un employé après son départ de l'employeur, le contenu du compte de courrier électronique est bien entendu également important. L’APD adopte une position stricte à cet égard.

Dans une décision remarquable de la Chambre des litiges de l’APD (décision n° 64/2020 du 29 septembre 2020), l’APD prend la position saillante que, tout comme un employé devrait pouvoir reprendre ses effets personnels lors de la cessation de la relation de travail, l'individu devrait également être en mesure de reprendre ou d'effacer ses communications électroniques privées personnelles avant son départ. Ainsi, dans cet avis, l’APD recommande aux employeurs de parcourir ensemble le compte email de l'employé avant son départ, en récupérant les emails pertinents pour le bon fonctionnement de l'employeur avant le départ de l'employé et en sa présence. C'est un peu le monde à l'envers.

Toutefois, dans le même avis, l’APD fait également référence à un avis antérieur de l’APD, datant de 2012, sur la possibilité pour les employeurs de donner des instructions aux employés concernant l'utilisation de l'infrastructure TIC et du compte de messagerie électronique de l'employeur. Dans cet avis, l’APD a déjà confirmé qu'un employeur est libre de restreindre l'utilisation de l'internet et du courrier électronique par ses employés, en introduisant une politique relative à l'internet et au courrier électronique conformément aux dispositions de la convention collective nationale n° 81.

Par conséquent, si un employeur dispose d'une bonne politique en matière de courrier électronique, il maîtrise la situation. Une bonne politique en matière de courrier électronique stipule que le compte de courrier électronique professionnel est réservé à des fins professionnelles. Les courriels professionnels doivent être conservés de manière à ce que seules les personnes autorisées puissent y accéder et de manière techniquement sécurisée. La consultation d'un courrier électronique professionnel présuppose toujours un but légitime. Enfin, des périodes de conservation doivent également être prévues. La proportionnalité et la transparence sont ici des concepts clés.

Ainsi, une organisation qui dispose d'une telle politique en matière de courrier électronique peut supposer que le compte de courrier électronique professionnel ne contient que des courriers électroniques professionnels.

Il est évident qu'il faut alors continuer à appliquer le principe du raisonnable: si des messages stockés sur le compte email n'ont manifestement aucune connotation professionnelle (par exemple, parce que leur expéditeur est manifestement un partenaire ou un membre de la famille), l'employeur doit quand même s'abstenir d'en prendre connaissance.

Lorsqu'un compte de messagerie contenant des courriels professionnels est fermé en raison du départ d'un employé, l'organisation peut continuer à traiter les courriels stockés, mais même dans ce cas, les principes de base de la loi sur la protection des données doivent continuer à être respectés, car les courriels professionnels contiennent également des données à caractère personnel de l'ex-employé. Pour se conformer à la loi sur la protection des données, l'employeur doit agir comme suit:

1. Le compte de courrier électronique fermé et les messages qui y sont stockés sont verrouillés et conservés en toute sécurité. Seul un cercle restreint de personnes désignées est habilité à consulter et à traiter les messages stockés en cas de besoin.

2. Les personnes désignées ne peuvent consulter le compte de messagerie sauvegardé que s'il existe un motif légitime de le faire, par exemple pour le suivi de dossiers spécifiques.

3. Lors de la recherche du compte de courrier électronique conservé, des mesures proportionnées sont prises, par exemple en utilisant des termes de recherche pertinents.

4. Le compte de messagerie fermé et les messages qui y sont stockés ne seront pas conservés plus longtemps que nécessaire au regard de la finalité poursuivie. Par exemple, si une entreprise offre une garantie de trois ans sur ses produits, la durée de conservation du compte de courrier électronique d'un ancien vendeur pour cette période peut être justifiée.

 Contactez Hanne Gielens pour plus d’info.