Dans sa décision rendue le 29 septembre 2020, la Chambre contentieuse de l’Autorité de Protection des Données (APD) a examiné la plainte d’un administrateur-délégué qui reprochait à la société qui l’employait l’absence de clôture de sa messagerie électronique après la cessation de ses fonctions.
En substance, l’APD a considéré que, pour satisfaire aux divers principes applicables du Règlement Général européen sur la Protection des Données (RGPD), la société concernée aurait dû (i) bloquer sa messagerie électronique au plus tard le jour du départ effectif, (ii) après en avoir averti au préalable la personne concernée, et (iii) après y avoir fait insérer un message automatique.
Ce message automatique aurait dû avertir tout correspondant ultérieur du fait que la personne concernée n’exerce plus ses fonctions au sein de l’entreprise et renseigner les coordonnées de la personne (ou l’adresse mail générique) qu’il convenait dorénavant de contacter et ce, pendant une période de temps « raisonnable », a priori 1 mois (!). Un délai plus long et n’excédant en principe pas 3 mois pourrait néanmoins se justifier en fonction du contexte et, en particulier, du degré de responsabilité exercé par la personne concernée, pourvu que celle-ci ait marqué son accord sur cette prolongation, ou, à tout le moins, qu’elle en ait été avertie. Au-delà de cette période, l’APD considère que la messagerie électronique de la personne concernée devra être supprimée.
Pour l’APD, cette façon de procéder est à « privilégier » (sic) par rapport à la pratique d’un transfert automatique des mails à une autre adresse de courrier électronique de l’entreprise car, dans ce cas, il n’y a en effet aucune maîtrise sur les courriers électroniques entrant puisque, par exemple, des informations d’ordre privé potentiellement sensibles pourraient être divulguées à l’insu non seulement de la personne concernée mais également du correspondant.
De surcroît, le blocage d’une messagerie électronique ne doit pas être conditionné à une demande écrite de la personne concernée.
Par ailleurs, l’obligation pour l’entreprise d’avertir la personne concernée du blocage de sa messagerie électronique a aussi vocation à lui permettre de faire le tri et de transférer ses éventuels messages privés vers sa messagerie personnelle car « au même titre qu’il doit être laissé à la personne concernée le soin de reprendre ses effets personnels, il convient de lui laisser le soin de reprendre ou d’effacer ses communications électroniques d’ordre privé avant son départ. ». De même, toujours selon l’APD, si une partie du contenu de sa messagerie doit être récupérée pour assurer la bonne marche de l’entreprise, cela doit se faire avant son départ et en sa présence. En cas de situation litigieuse, l’intervention d’une « personne de confiance » est recommandée.
En conclusion, l’APD insiste sur le fait que l’hypothèse de la démission ou du licenciement ou de toute autre forme de cessation d’activité et ses conséquences devraient être réglées dans une Charte interne relative à l’utilisation des outils informatiques.
En l’occurrence, puisqu’il était question de plusieurs adresses e-mail posant problème au plaignant et que celles-ci n’ont finalement été supprimées que deux ans et demi, voire trois ans, après la cessation de ses activités au sein de l’entreprise en question, l’APD a considéré que cette dernière avait commis plusieurs manquements au RGPD, lesquels justifient non seulement une réprimande mais également une amende administrative de 15.000,00 euros. S’agissant d’une entreprise d’une dizaine d’employés, c’est là un montant important mais que l’APD s’est longuement employée à motiver.
La décision n° 64/2020 (FR) de la Chambre contentieuse de l’APD est disponible sur son site Internet