Absence de clôture de messageries électroniques après cessation de fonction d’un travailleur : attention aux sanctions !

Droit de l'entreprise

Maître Diane Allard, avocate au barreau de Liège-Huy

 

L’Autorité de protection des données (APD) a rendu une décision importante le 29 septembre 2020 concernant l’absence de clôture de messageries électroniques après le départ d’un travailleur.

 

Pourquoi cette décision de l’ADP ?

Le plaignant était administrateur d’une PME et a été révoqué en 2016. Il a constaté en 2019 que la société continuait de consulter ses adresses email professionnelles alors qu’il croyait qu’elles étaient clôturées et qu’il n’avait lui-même plus accès à ces boîtes. Il a demandé à la société de fermer immédiatement ses anciennes boîtes email qui étaient nominatives mais sans résultat. Il a ensuite porté plainte auprès de l’Autorité de protection des données.

L’inspecteur général de l’APD a constaté que les adresses mail de l’ancien administrateur existaient toujours sur le serveur de la société en 2019 sans aucune notification signalant aux émetteurs de messages que le destinataire n’était plus l’administrateur révoqué. Au terme d’un second rapport d’enquête, l’inspecteur général a constaté que les adresses emails litigieuses avaient finalement été clôturées par la société.

La Chambre contentieuse de l’APD a décidé que l’absence de fermeture des adresses de messagerie électronique ne respectait pas les principes de finalité, de minimisation et de limitation du délai de conservation des données personnelles.

 

Les principes de la protection des données

La PME est tenue de respecter les principes de la protection des données. Les adresses emails litigieuses composées du nom et du prénom de la personne constituent des données à caractère personnel. L’APD estime que le transfert automatique des emails à une autre adresse de courrier électronique de l’entreprise sans information à l’émetteur du message ne respecte pas le règlement général sur la protection des données (RGPD).

  • Le responsable de traitement des données de la PME devait bloquer la messagerie électronique de l’administrateur au plus tard le jour de son départ effectif.
  • L’administrateur révoqué devait en être averti au préalable.
  • De la même manière qu’il doit être laissé à la personne le soin de reprendre ses effets personnels, il convient de lui laisser le soin de reprendre ou d’effacer ses communications électroniques d’ordre privé avant son départ.
  • De même, si une partie du contenu de la messagerie électronique doit être récupérée par la société pour assurer la bonne marche de ses affaires, cela doit se faire avant le départ du travailleur et en sa présence.
  • La société devait insérer un message automatique pour avertir les correspondants ultérieurs que la personne n’exerçait plus de fonction au sein de l’entreprise et renseigner les coordonnées de la personne ou du service à contacter en ses lieu et place pendant une période de temps raisonnable a priori d’un mois. Un délai plus long peut être admis suivant les circonstances mais ne peut idéalement dépasser trois mois. Cette prolongation doit être motivée et se faire avec l’accord de la personne concernée ou au minimum après l’avoir avertie.
  • Au-delà de cette période, la messagerie électronique de la personne concernée doit être supprimée.
  • En cas de démission ou de licenciement, une procédure doit être prévue dans la charte interne relative à l’utilisation des outils informatiques.

 

Les trois manquements au RGPD commis dans le litige

Dans ce litige, la PME n’a supprimé les adresses emails litigieuses de l’administrateur que 2,5 ans voire 3 ans après la cessation de ses activités au sein de la société. C’est le 1er manquement au RGPD.

L’APD retient également que la société en tant que responsable de traitement de données n’avait plus de base légale pour poursuivre le traitement des données après le départ de l’administrateur de la société (2ème manquement).

La Chambre contentieuse relève aussi que les demandes du plaignant de supprimer les boîtes emails litigieuses n’ont pas été satisfaites par la PME et que le droit à l’effacement des données pour le plaignant n’a pas été respecté (3ème manquement).

 

En conclusion, la Chambre contentieuse prononce une réprimande à l’égard de la PME, un ordre de mise en conformité par l’adoption d’une politique réglant la question de la clôture des messageries électroniques au sein de la société en cas de départ d’un travailleur et condamne la PME à payer une amende administrative d’un montant de 15.000,00 € !

La protection des données personnelles est une valeur fondamentale dans notre société.

N’hésitez pas à consulter un avocat pour vous aider à mettre en place les bonnes pratiques au sein de votre entreprise en matière de traitement et de protection des données personnelles.