30-10-2020
L’employeur peut-il maintenir la messagerie électronique de ses travailleurs une fois que le contrat de travail a pris fin ?
C’est à cette question, dont l’incidence pratique ne peut être négligée, que répond la décision de la Chambre Contentieuse de l’Autorité de Protection des Données rendue le 29 septembre 2020.
Le plaignant était administrateur délégué d’une société, poste dont il fut révoqué en novembre 2016. A ce titre il jouait un rôle clé dans la société créée par son père quant à son fonctionnement général, quant aux aspects commerciaux, règlementaires et de gestion. La cessation des activités du plaignant dans cette société s’est faite de manière abrupte et conflictuelle, sans préparation de dossiers ni passage de témoins à l’attention de ses successeurs.
Par courrier recommandé du 26 mars 2019, le plaignant a demandé à la défenderesse de cesser l’utilisation de l’adresse e-mail nominative qu’il utilisait dans le cadre de sa fonction.
Il a ensuite déposé une requête auprès de l’APD. Il y indique n’avoir reçu aucune réaction à sa lettre recommandée du 26 mars 2019. Il y dénonce également, courriel produit à l’appui, le fait que l’employée administrative de la défenderesse a consulté sa boite mail, ce qui lui a été rapporté par l’émetteur d’un message à son attention. Aux termes de sa requête, le plaignant indique que du fait de sa fonction d’administrateur délégué de la défenderesse jusqu’au 30 novembre 2016, sa boite mail contenait des informations confidentielles, privées et professionnelles, ainsi que des échanges relevant du secret médical, par exemple des photographies.
La Chambre Contentieuse de l’ADP rappelle tout d’abord qu’en sa qualité de responsable de traitement, la société est tenue de respecter les principes de protection des données et doit être en mesure de démontrer que ceux-ci sont respectés. L’article 5.1 b) du RGPD consacre le principe de finalité, soit l’exigence que les données soient collectées pour des finalités déterminées, explicites et légitimes et ne soient pas traitées ultérieurement d’une manière incompatible avec ces finalités.
Ces principes et les obligations, qui en découlent pour le responsable de traitement, trouvent un écho en termes de droits pour la personne concernée dès lors que notamment, en application de l’article 17.1 a) du RGPD, la personne concernée a le droit d’obtenir du responsable de traitement l’effacement des données le concernant lorsque ces données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées.
La Chambre Contentieuse relève que les adresses e-mails litigieuses sont, qu’elles soient composées du nom et du prénom des personnes à qui elles ont été attribuées ou uniquement du prénom de celles-ci, des données à caractère personnel au sens de l’article 4 .1. du RGPD. Il s’agit en effet de données se rapportant à une personne physique identifiée ou identifiable.
La Chambre Contentieuse est d’avis qu’afin de se conformer au principe de finalité (article 5.1b) du RGPD), combiné aux principes de minimisation (article 5.1 c) du RGPD) et de limitation du délai de conservation (article 5.1 e) du RGPD), il incombe au responsable de traitement de bloquer la messagerie électronique des titulaires de celles-ci ayant cessé leurs fonctions au plus tard le jour de leur départ effectif. Ce blocage devra intervenir après les en avoir avertis au préalable et après y avoir fait insérer un message automatique. Ce message automatique avertira tout correspondant ultérieur du fait que la personne concernée n’exerce plus ses fonctions au sein de l’entreprise et renseignera les coordonnées de la personne (ou l’adresse mail générique) à contacter en ses lieu et place et ce, pendant une période de temps raisonnable (à priori 1 mois). En fonction du contexte et, en particulier, du degré de responsabilité exercé par la personne concernée, un délai plus long peut être admis ne pouvant idéalement dépasser 3 mois. Cette prolongation doit être motivée et se faire avec l’accord de la personne concernée ou, au minimum, après l’en avoir avertie. Une solution alternative doit en outre être recherchée et mise en place le plus rapidement possible sans nécessairement attendre l’échéance ultime de cette prolongation.
La Chambre contentieuse estime que cette façon de procéder est à privilégier par rapport au transfert automatique des mails à une autre adresse de courrier électronique de l’entreprise comme cela avait été mis en place par la défenderesse. Dans le cas d’un transfert automatique, a fortiori sans information à l’émetteur du message, il n’y a en effet aucune maîtrise sur les courriers électroniques entrant ou « in ». Par ailleurs, dans ce cas, des informations d’ordre privé potentiellement sensibles pourraient être divulguées à l’insu non seulement de la personne concernée mais également du correspondant.
Au-delà de cette période, la messagerie électronique de la personne concernée doit être supprimée.
Le plaignant ayant été révoqué par la société en novembre 2016, la Chambre Contentieuse estime que le traitement de cette donnée aurait dû cesser à cette date ou, tout au plus, compte tenu de la fonction à haute responsabilité qu’exerçait le plaignant, dans un délai raisonnable à dater de celle-ci. La Chambre Contentieuse est d’avis que ce délai aurait pu varier de 1 à 3 mois moyennant notification aux émetteurs de messages de ce que cette adresse de messagerie n’était plus active, sans transfert automatique des e-mails envoyés.
La Chambre Contentieuse conclut que l’article 5.1 b), combiné à l’article 5.1 c) et e) du RGPD n’a pas été respecté par la défenderesse.
Elle ajoute par ailleurs que, au même titre qu’il doit être laissé à la personne concernée le soin de reprendre ses effets personnels, il convient de lui laisser le soin de reprendre ou d’effacer ses communications électroniques d’ordre privé avant son départ. De même, si une partie du contenu de sa messagerie doit être récupérée pour assurer la bonne marche de l’entreprise, cela doit se faire avant son départ et en sa présence. En cas de situation litigieuse, l’intervention d’une personne de confiance est recommandée. L’hypothèse de la démission ou du licenciement ou toute autre forme de cessation d’activité et ses conséquences devrait être réglée dans une Charte interne relative à l’utilisation des outils informatiques.
Sur base des considérations qui précèdent, la Chambre Contentieuse prononce à l’encontre de la société une réprimande sur la base de l’article 100.1, 5° LCA ainsi qu’un ordre de mise en conformité par l’adoption d’une politique réglant la question de la clôture des messageries électroniques au sein de la défenderesse en cas de départ de l’un de ses administrateurs, employés et autres fonctions éventuelles et ce, sur la base de l’article 100.1, 9° LCA, et lui inflige en outre une amende administrative d’un montant de 15.000 euros en application des articles 100.1, 13° et 101 LCA.
Qu’en penser ?
Lorsqu’un travailleur quitte l’entreprise, l’employeur est tenu de clôturer immédiatement, ou en tous les cas dans un délai raisonnable, la messagerie électronique qu’il utilisait. Cette clôture doit se faire sur base des règles mentionnées dans une Charte interne relative à l’utilisation des outils informatiques.
Réf. : Chambre Contentieuse de l’APD, 29 sept. 2020, décision 64/2020