L’Autorité de Protection des Données (APD) s’est déjà prononcée à ce sujet à plusieurs reprises (voy. notre résumé du 27 décembre 2021 des décisions pertinentes « Don’t forget to switch off the email adresses when employees or contractors leave your orgnization ! »
On soulignera plus particulièrement la nécessité de disposer d’une « Charte interne relative à l’utilisation des outils informatiques », ou tout autre intitulé équivalent (par exemple une « IT policy »).
Certes, mais encore ?
- Combien de temps ?
Dans sa décision du 1er avril 2022, la Chambre contentieuse de l’APD a, en substance, considéré que la conservation par un employeur des emails professionnels d’un ancien collaborateur/administrateur ne se justifiait pas au-delà d’une durée de cinq ans, laquelle correspond au délai légal de prescription de la responsabilité des dirigeants d’entreprises (§93).
2. Faut-il disposer du consentement des personnes concernées ?
Pas forcément.
L’APD a en effet reconnu la base juridique de « l’intérêt légitime » avancé par l’employeur pour justifier le traitement des données à caractère personnel correspondantes (article 6, 1, f du RGPD).
3. De quel(s) intérêt(s) légitime(s) peut-il être question ?
Dans le cas d’espèce, l’APD a, plus particulièrement, admis l’intérêt de la défense en justice vis-à-vis du collaborateur concerné, pourvu que cet intérêt soit réel et présent (mais non hypothétique) et uniquement pour les données nécessaires à cet effet (§§41-57).
L’APD a également consacré la potentielle mise en cause de la responsabilité de l’ancien administrateur comme un intérêt légitime pouvant justifier la conservation de ces données (§§58- 61). Il était en effet reproché à cet administrateur la communication de fausses informations dans le cadre d’une cession d’actions. Il est également question d’un intérêt légitime par rapport au potentiel dépôt de plainte au pénal avec constitution de partie civile à l’encontre de cet administrateur pour des manquements qualifiés de graves (§§ 62-65). Ces deux intérêts légitimes ressortent plus généralement de la finalité légitime de prévention des abus et de la fraude.
Enfin, la continuité des services est également reconnue comme un intérêt légitime pouvant justifier le traitement de ces données (§§66-68).
4. L’employeur peut-il dès lors refuser l’exercice des droits RGPD ?
Oui, l’exception de défense en justice lui permet de s’opposer à l’exercice du droit d’effacement (article 17), du droit de limitation (article 18), ainsi que du droit d’opposition (article 21) pour les données plus récentes que cinq ans (§§91-97).
En revanche, il ne pouvait pas s’opposer à l’exercice du droit d’accès (§§81-90). C’est notamment la raison pour laquelle il s’est vu infliger une amende de 7.500 euros (§117).
La décision n° 46/2022 est disponible en français sur :