Emails professionnels et accès par l’employeur aux emails après la cessation de la relation de travail : guide de l’Autorité italienne de protection des données personnelles dans un « Provvedimento » rendu à l’encontre d’un employeur

Dans une décision rendue le 4 décembre 2019, le Garante Privacy, Autorité de contrôle italienne, a eu l’occasion de préciser les étapes à mettre en œuvre par l’employeur concernant la messagerie électronique d’un employé après la cessation de la relation de travail avec ce dernier et précise les modalités d’accès aux emails après le départ de l’employé (Provvedimento n° 216 du 4 décembre 2019).

Dans cette affaire, un salarié avait introduit une plainte auprès du Garante Privacy à l’encontre de son ex-employeur en arguant un accès à ses emails, reçus sur sa messagerie électronique professionnelle, après son départ de l’entreprise. L’employeur avait eu accès auxdits emails par le biais de la mise en œuvre d’un transfert automatique des emails reçus sur cette adresse email. L’ex-salarié en avait pris connaissance car l’un des emails avait été produit dans le cadre d’un contentieux judiciaire l’opposant à l’entreprise.

Il affirmait également que son droit d’information avait été violé par son ex-employeur, n’ayant pas été informé que son compte de messagerie professionnelle serait maintenu actif jusqu’à ce que l’ensemble de la clientèle de l’entreprise soit informée du départ du salarié et de la désactivation de son adresse email.

Le compte de messagerie électronique professionnelle avait été maintenu actif par l’employeur pendant une période de 1 an et 7 mois après la fin de la cessation de travail.

L’Autorité italienne devait donc vérifier si le maintien du compte de messagerie professionnelle d’un employé après la cessation de la relation de travail était conforme à la réglementation relative à la protection des données personnelles et, le cas échéant, si l’employeur pouvait accéder auxdits emails.

En réponse, l’Autorité italienne a affirmé que l’employeur devait supprimer le compte de messagerie électronique d’un employé après la cessation de la relation de travail dans un laps de temps raisonnable, en fonction du temps requis pour réaliser cette opération technique. En amont, l’employeur devait prendre les mesures automatiques adéquates pour garantir l’information des tiers sur l’existence d’adresses emails alternatives (clients, émetteurs des emails, etc…), sans qu’un accès aux emails ne soit permis à l’ex-employeur pendant ce laps de temps.

En clair, pour permettre de mettre en balance l’intérêt de l’employeur à accéder aux informations nécessaires à la gestion efficace de son activité et celui de l’ex-employé au respect du secret des correspondances, l’Autorité italienne prévoit la feuille de route suivante :

Dès le début de la relation de travail, l’employeur doit informer son employé des traitements relatifs, notamment, aux outils de télécommunication mis à sa disposition ;

Au moment de la cessation de la relation de travail, l’employeur doit désactiver le compte de l’ex-employé et mettre en place, de manière concomitante, un message automatique sur la messagerie de l’ex-employé afin que toute personne qui lui adresse un email soit informée de l’existence des adresses mails alternatives auxquelles elle peut adresser son email. Aucun transfert automatique des emails ne peut être mis en place ;

L’employeur doit supprimer définitivement le compte de messagerie électronique de l’ex-salarié dans un laps de temps « raisonnable », c’est-à-dire, en fonction du temps nécessaire à la mise en œuvre technique de cette suppression. En l’espèce, la durée de 1 an et 7 mois a été jugée comme excessive par l’Autorité italienne.

Cette décision a le mérite de donner une feuille de route pour les employeurs qui mettent en place des mesures techniques relatives aux comptes emails de leurs employés au moment de la cessation de la relation de travail et rappelle l’importance de l’information à fournir aux employés quant à l’utilisation des outils de communication mis à leur disposition par l’employeur, notamment, dans une « Charte IT ».

Pour en savoir plus : https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9215890

Cookie	Durée	Description
cookielawinfo-checkbox-advertisement	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour enregistrer le consentement de l'utilisateur pour les cookies de la catégorie "Publicité".
cookielawinfo-checkbox-analytics	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour enregistrer le consentement de l'utilisateur pour les cookies de la catégorie "Analytics".
cookielawinfo-checkbox-necessary	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour enregistrer le consentement de l'utilisateur pour les cookies de la catégorie "Nécessaire".
cookielawinfo-checkbox-others	1 an	Ce cookie est défini par le plugin GDPR Cookie Consent. Le cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies dans la catégorie "Autres".
cookielawinfo-checkbox-performance	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies dans la catégorie "Performance".
viewed_cookie_policy	1 an	Le cookie est défini par le plugin GDPR Cookie Consent pour stocker si l'utilisateur a consenti ou non à l'utilisation de cookies. Il ne stocke aucune donnée personnelle.
_GRECAPTCHA	5 mois 27 jours	Ce cookie est défini par le service Google recaptcha pour identifier les robots afin de protéger le site Web contre les attaques de spam malveillantes.

Cookie	Durée	Description
CONSENT	16 ans	Ces cookies sont définis via des vidéos youtube intégrées. Ils enregistrent des données statistiques anonymes sur par exemple combien de fois la vidéo est affichée et quels paramètres sont utilisés pour la lecture. Aucune donnée sensible n'est collectée sauf si vous vous connectez à votre compte google, dans ce cas vos choix sont liés à votre compte, par exemple si vous cliquez sur « j'aime » sur une vidéo.
_ga	2 ans	Le cookie _ga, installé par Google Analytics, calcule les données des visiteurs, des sessions et des campagnes et assure également le suivi de l'utilisation du site pour le rapport d'analyse du site. Le cookie stocke des informations de manière anonyme et attribue un numéro généré de manière aléatoire pour reconnaître les visiteurs uniques.
_gid	1 jour	Installé par Google Analytics, le cookie _gid stocke des informations sur la façon dont les visiteurs utilisent un site Web, tout en créant également un rapport d'analyse des performances du site Web. Certaines des données collectées incluent le nombre de visiteurs, leur source et les pages qu'ils visitent de manière anonyme.

Cookie	Durée	Description
IDE	1 an 24 jours	Le cookie est défini par le consentement des cookies GDPR pour enregistrer le consentement de l'utilisateur pour les cookies dans la catégorie « Fonctionnel ».
test_cookie	15 minutes	Le test_cookie est défini par doubleclick.net et est utilisé pour déterminer si le navigateur de l'utilisateur prend en charge les cookies.
VISITOR_INFO1_LIVE	5 mois 27 jours	Cookie défini par YouTube pour mesurer la bande passante qui détermine si l'utilisateur obtient la nouvelle ou l'ancienne interface du lecteur.
YSC	session	Le cookie YSC est défini par Youtube et est utilisé pour suivre les vues des vidéos intégrées sur les pages Youtube.
yt-remote-connected-devices	jamais	YouTube définit ce cookie pour stocker les préférences vidéo de l'utilisateur utilisant la vidéo YouTube intégrée.
yt-remote-device-id	jamais	YouTube définit ce cookie pour stocker les préférences vidéo de l'utilisateur utilisant la vidéo YouTube intégrée.

Cookie	Durée	Description
45342b9b1e	session	Pas de description
cookielawinfo-checkbox-functional	1 an	Le cookie est défini par le consentement des cookies GDPR pour enregistrer le consentement de l'utilisateur pour les cookies dans la catégorie « Fonctionnel ».