Quand l'employeur maintient l'adresse email d'un de ses anciens employés...

Lors du départ d’un collaborateur, qu’elle que soit la raison de celui-ci, il convient de clôturer rapidement sa boite mail selon des conditions précises sous peine de s’exposer à de lourdes sanctions comme le rappelle la Chambre Contentieuses de l’Autorité belge de Protection des Données..

Dans une décision du 29 septembre 2020, la Chambre contentieuse de l’Autorité belge de la protection des données a condamné une société qui avait conservé les adresses mails de l’un de ses anciens dirigeant pendant plus de deux ans.

L’ancien dirigeant, révoqué sur le champ, avait demandé à ce que ses adresses emails soient fermées car cela créait une confusion et faisait craindre une utilisation illicite des mails trouvés sur ce compte ou arrivés après son départ.

De fait, son adresse mail reprenant son nom ainsi qu’une autre adresse reprenant ses initiales étaient redirigées d’office vers un membre du personnel qui avait pour le surplus accès à tous les messages anciens et ce sans aucun avis à l’attention des personnes ayant envoyés des messages.

La chambre contentieuse examine le dossier et notamment les éléments évoqués par la société pour justifier d’avoir maintenu ouvertes les adresses mails aussi longtemps.

La société défend en effet que vu le départ « abrupte » du dirigeant aucune transition n’avait pu être organisée que le maintien des adresses permettait d’assurer la reprise de la direction de la société.

Elle évoquait aussi le risque de voir des informations importantes perdues et le fait qu’elle avait besoin d’une certification et qu’un changement d’adresse mail aurait pu induire une interruption dans son activité.

Par ailleurs, elle reconnaissait concernant l’adresse mail constituée des initiales du dirigeant qu’elle pensait que le RGDP ne s’y appliquait pas.

Dans une décision bien motivée, la Chambre contentieuse rappelle les principes applicables à savoir :

1. une adresse mail est une donnée personnelle que ce soit si elle reprend le nom ou les initiales ;

2. le traitement de cette donnée doit avoir une finalité (5.1 b) RGDP) qui s’achève en tout état de cause lors de la fin de la relation ;

3. ce traitement doit en outre être licite (6 RGDP) ce qui n’est plus le cas au-delà d’un bref délai après la fin des relations ;

4. ce traitement doit être minimisé (5.1 c)) et proportionnel à la finalité poursuivie ;

5. par conséquent, l’adresse mail d’un collaborateur devrait être clôturée immédiatement même si on peut tolérer son maintien au titre de l’ « intérêt légitime » pendant une courte période de temps d’un mois pouvant aller jusqu’à trois mois pour une personne ayant des responsabilités importantes et encore avec idéalement son accord sur un maintien au-delà d’un mois ; et

6. à condition que les tiers soient informés et via un message automatique communiquant notamment le départ mais aussi les nouvelles coordonnées du collaborateur ayant quitté.

A noter aussi que la Cour rappelle que le collaborateur devrait avoir la possibilité de récupérer tous ses emails privés.

Dans le cas d’espèce, en considérant la (petite) taille de l’entreprise, et ses réponses mais aussi la durée très longue de maintien ou encore l’absence de dommage établi par le dirigeant, la Chambre contentieuse adresse une réprimande à la société assortie d’une obligation de régularisation et d’une amende de 15.000 euros.

Nul doute que de nombreuses sociétés même réputées feraient bien de tenir compte de cette décision car maintenir ouverte une adresse mail en violation des dispositions du RGDP peut être punie au maximum d’une amende de 20 millions d’euros ou 4% du chiffre d’affaire.

A bon entendeur…

Christophe Delmarcelle

Associé fondateur
Cabinet DEL-Law
Juge suppléant au tribunal du travail