Newsflash
Protection des données et de la vie privée

L'autorité de protection des données (APD) a récemment décidé d'imposer une amende administrative de 15 000,00 EUR à une entreprise parce qu’elle avait, seulement 2,5 ans après la cessation de la collaboration, clôturé les adresses e-mails de travailleurs (nom et prénom) ayant cessé leurs fonctions. Selon l’APD, la non-clôture de ces adresses e-mails constitue une violation des principes fondamentaux du RGPD, et plus particulièrement des principes de licéité, de finalité, de traitement minimal des données et de conservation raisonnable dans le temps des données à caractère personnel (limitation de la conservation).

Les faits

L’ancien administrateur délégué d’une PME, active dans le secteur médical et créée par son père, a introduit une demande de médiation auprès de l'APD. En effet, la PME n'avait pas répondu à la demande expresse de ce dernier de clôturer, dans les 7 jours suivant son départ, les adresses e-mails et les comptes e-mails associés, liés à sa personne, mais également à celle de son épouse, son frère et son père. Il s’agissait d’adresses e-mails comprenant le nom et le prénom, et d’adresses e-mails comprenant  uniquement le prénom des personnes susmentionnées.

Médiation par le Service de Première Ligne

Suite à l’introduction de cette demande, le Service de Première Ligne est intervenu. La médiation n'ayant pas abouti au résultat souhaité, la procédure a été poursuivie sous la forme d'une plainte.

Rapport du service d’inspection

Dans le cadre de l'enquête menée, deux rapports d'enquête ont été établis :

  • Il est indiqué dans un premier rapport que les trois adresses électroniques étaient toujours actives 2,5 ans après le départ des personnes, sans qu’aucune communication n’ait été faite aux destinataires des e-mails, laquelle aurait expliqué que les trois expéditeurs n'étaient plus les utilisateurs des adresses e-mails. Ce manque d’information pouvait entraîner la collecte et l'utilisation potentielle de données à caractère personnel à l'insu des destinataires.

    Le service d’inspection indique qu'il est indiqué pour l'employeur de désactiver le compte e-mail d’un ancien travailleur dans les plus brefs délais, après une période transitoire (a priori un mois) durant laquelle un message automatique indiquant que le travailleur n'est plus en service est envoyé. Idéalement, le compte e-mail devrait être fermé après cette période transitoire. En aucun cas, l'adresse e-mail professionnelle de l’ancien travailleur ne peut être utilisée.
     
  • Dans un second rapport, il est indiqué que les trois adresses e-mails ne pouvaient plus être atteintes. La PME indiquait que les comptes e-mails avaient déjà été désactivés à la date de départ des personnes concernées, et que les e-mails reçus étaient automatiquement transmis vers une autre adresse e-mail de l'entreprise. Etant donné que ces personnes exerçaient toutes des fonctions importantes au sein de la PME, celle-ci ne voulait pas perdre des e-mails importants.

Décision de la chambre contentieuse de l’APD

L'APD indique que la PME n'a pas respecté les principes de finalité, de licéité, de traitement minimal des données et de limitation de conservation en ne clôturant pas les adresses e-mails. Selon l'APD, le fait que la PME ait conservé les adresses e-mails afin de ne pas perdre des messages professionnels importants, compte tenu des fonctions des personnes et de l'absence de transfert des dossiers en cours, ne constitue pas une raison suffisante pour ne pas désactiver les adresses en question.

Dans sa décision, l'APD fournit un certain nombre de lignes directrices claires que les employeurs devraient suivre suite au départ de leurs collaborateurs :

  • le responsable du traitement doit bloquer les comptes e-mails des travailleurs ayant cessé leurs fonctions au plus tard au moment de leur départ effectif ;
  • le travailleur sortant doit en être informé et un message automatique, dans lequel il est indiqué au correspondant que la personne qu'il essayait de contacter a quitté l'organisation, doit être prévu;
  • après un délai raisonnable (a priori 1 mois), la boîte e-mail et le message automatique doivent être supprimés. L’APD souligne que - compte tenu du contexte et du degré de responsabilité de l'ancien  travailleur - une période plus longue pour le message automatique peut être prévue, mais idéalement, elle n’excédera pas 3 mois. Cette prolongation de la période doit être justifiée et se faire de préférence en accord avec l'ancien travailleur. Celui-ci doit, à tout le moins, être informé de la prolongation. Le fait de maintenir la boîte e-mail active pendant une période limitée peut être fondé sur l'intérêt légitime de l'entreprise, en particulier la garantie de la continuité des prestations et du bon fonctionnement ;
  • préalablement à la désactivation de l’adresse e-mail, le travailleur sortant et des éventuels tiers doivent en être informés, de manière à permettre au travailleur de trier et de transmettre ses e-mails sur son adresse e-mail privée avant son départ effectif ;
  • afin d'éviter que l'entreprise ait besoin d'accéder au compte e-mails d’un ancien travailleur, les e-mails provenant du compte e-mails du travailleur concerné, qui sont essentiels pour assurer le bon fonctionnement de l'entreprise, sont récupérés avant le départ du travailleur, et en sa présence.

Compte tenu du principe de responsabilité, (« accountability »), il appartient à l'employeur de pouvoir démontrer, lorsque les travailleurs quittent l'entreprise, que les mesures susmentionnées ont été correctement respectées.

Enfin, l'APD souligne l'importance d'une procédure bien conçue en cas de départ d'un travailleur, qui doit être reprise dans la politique en matière d’ICT.

Dans sa décision, l'APD part clairement du principe que la boîte e-mails des anciens travailleurs pouvait également être utilisée à des fins privées. Toutefois, il est possible d'interdire l'utilisation privée de la boîte e-mail professionnelle, à condition de donner aux travailleurs la possibilité de consulter une boîte e-mail (Gmail, Hotmail, ...) en ligne pendant la journée de travail. En effet, une recommandation sur la cyber surveillance du 2 mai 2012 de la Commission vie privée (devenue l’APD), confirme que les informations professionnelles et privées doivent être séparées autant que possible, et que des comptes séparés peuvent être utilisés. En cas d'utilisation de comptes e-mails distincts, une politique de départ moins stricte peut donc être défendable.

Dans la recommandation de 2012 sur la cyber surveillance mentionnée ci-dessus, la Commission vie privée avait déjà souligné l'importance des règles de fonctionnement en cas d'absence (par exemple, vacances, maladie, etc.) et de départ d’un travailleur de l'entreprise. Sur la base de cette recommandation, l'accès limité au compte e-mails d’un travailleur après son départ était toujours autorisé, mais la Commission vie privée avait recommandé qu'une « personne de confiance » soit désignée à cette fin. Toutefois, sur la base de cette récente décision de l’APD, l'accès au compte e-mails d’un travailleur après son départ ne semble plus être possible. 

Point d'action

Vérifiez si votre politique en matière de ICT décrit correctement la procédure à suivre en cas de départ d'un travailleur. Assurez-vous que cette procédure est strictement respectée par votre service informatique.