Dans deux décisions récentes (Décision 126/2021 du 19 novembre 2021 et Décision 133/2021 du 2 décembre 2021), la Chambre Contentieuse de l’Autorité de protection des données (APD) réitère ses directives strictes concernant la fermeture de la boîte mail et du compte e-mail associé après la cessation d’occupation  (voir à ce sujet notre précédente Newsflash via ce lien). Ces lignes directrices doivent également être respectées lorsque la collaboration avec un indépendant prend fin.

Les faits

Dans l’affaire la plus récente, un ancien prestataire de services indépendant d’une association de fait avait déposé une plainte auprès de l'APD après avoir constaté que son adresse e-mail était toujours active au sein de l'organisation les 1er et 11 janvier 2020. Alors que la collaboration était arrivée à son terme fin 2019 La plainte se fonde sur une réponse du secrétaire national de l’association de fait à un e-mail privé destiné au prestataire de services, dans laquelle il était signalé que l'adresse e-mail professionnelle au nom du prestataire de services cesserait d'exister. En effet, la boîte mail du prestataire de services indépendant avait été ajoutée à la boîte mail du secrétaire national par le service informatique.

Dans la décision 126/2021, une plainte avait été déposée par un homme qui a continué à recevoir des bulletins d'information d'une organisation après s'être désabonné. L'enquête a montré que cela était dû au fait que la boîte mail de son prédécesseur avait été ajoutée à la sienne. 

Décision de la Chambre Contentieuse de l’APD

Dans les deux affaires, l'APD rappelle que le principe de limitation des finalités et le principe du traitement minimal des données ne sont pas été respectés lorsqu’après le départ d’un collaborateur, l'organisation a encore accès à sa boîte et que, l'adresse mail professionnel de l’ex-collaborateur continue d'exister et est activement utilisée. Un tel traitement ne repose sur aucun fondement juridique.

Directives

L'APD avait déjà indiqué dans la Décision 64/2020 du 29 septembre 2020 que l'entreprise devait, au plus tard le jour du départ effectif, désactiver la boîte mail de l'ex-collaborateur et prévoir un message automatique informant le destinataire que la personne qu'il a tenté de contacter a quitté l'organisation. L'ex-collaborateur doit être informé de la désactivation susmentionnée. Ces directives s'appliquent tant aux salariés qu'aux indépendants.

Après un délai raisonnable (a priori un mois), la boîte mail - et le message automatique - doivent être supprimés. La période d'un mois peut être étendue à un maximum de trois mois, compte tenu du contexte et du degré de responsabilité. Cette prolongation doit être motivée et doit se faire de préférence de commun accord avec l'ex-collaborateur, ou au moins en l’ayant informé.

Le maintien en activité limité de la boîte mail doit également être fondé sur un nouveau fondement juridique. En effet, le fondement juridique pour la gestion et l'utilisation efficaces de la boîte mail, à savoir l'exécution du contrat, a cessé d'exister après la fin de la coopération. L'APD accepte ainsi que l'entreprise puisse se fonder sur son intérêt légitime à assurer la continuité des prestations et son bon fonctionnement. Dans cette décision, l'APD ajoute également que la personne concernée peut toujours avoir un accès limité à la boîte mail, sous réserve d’un l'accord entre le responsable du traitement et la personne concernée, par exemple pour clôturer des dossiers en cours. Cela semble impossible dans le cas du licenciement d'un travailleur dont on ne peut attendre qu'il exerce une quelconque activité après la fin de son emploi. En revanche, il semble concevable que l'entreprise ou la personne concernée ait encore besoin des informations contenues dans la boîte mail et puisse donc y accéder temporairement, pendant une courte période après le licenciement. Nous pensons notamment à la situation dans laquelle le travailleur n'est pas présent dans l'entreprise au moment de la fin de la collaboration.

L'APD souligne que la « mail box » d'un ancien salarié ou d'un ancien travailleur indépendant ne peut être mise à disposition d'un collègue qui continuerait à prendre connaissance des e-mails adressés à l'ancien salarié / indépendant. Selon l’APD, cela est également contraire à la loi relative aux communications électroniques

Sanctions

Contrairement à la précédente décision de l'APD dans laquelle l'entreprise en question avait été sanctionnée par une amende administrative (lire plus à ce sujet via ce lien), la sanction dans le présent cas s'est limitée à une réprimande car le compte mail du prestataire de service avait entre-temps été fermé et l'organisation disposait désormais d'un document collectant des accords formels concernant la boîte mail professionnelle.

Point d'action

Veillez à mettre en place une politique interne dans laquelle, sur la base des directives de l'APD, des accords formels sont conclus au sujet du compte e-mail pendant et après la cessation de la collaboration.

La Data Protection team de Claeys & Engels est prête à répondre à toute autre question que vous pourriez avoir relativement à votre politique interne