Supprimer le compte email d'un salarié au départ : quelles règles RGPD ?
Réponse courte
La suppression du compte email le jour du départ est recommandée par le RGPD : maintenir un compte actif au-delà du départ crée un risque d'accès indu à des données personnelles et professionnelles. La désactivation immédiate doit toutefois s'accompagner de mesures de continuité pour ne pas perdre les courriels nécessaires à l'activité.
La pratique conforme consiste à clôturer le compte le dernier jour, à mettre en place un message d'absence redirigeant les expéditeurs vers un collègue, et à conserver la boîte pendant une durée limitée (généralement 1 à 3 mois) sous accès restreint. La CNPD a rappelé qu'un accès systématique à la boîte d'un ex-salarié sans cadre est illégal.
Définition
Le compte email professionnel contient à la fois des données nécessaires à l'activité de l'entreprise et des éléments potentiellement personnels. Sa gestion à la sortie du salarié doit concilier la continuité du service, le respect de la vie privée du sortant et le principe de minimisation posé par l'article 5 du RGPD.
La position de la CNPD est qu'un accès aux courriels d'un ancien salarié n'est licite que dans des conditions strictes : finalité précise, durée limitée et information préalable.
Conditions d’exercice
Le compte est désactivé dès le dernier jour, assorti d'un message d'absence redirigeant vers un collègue, et conservé sous accès restreint pendant 1 à 3 mois avant suppression définitive.
| Principe | Détail |
|---|---|
| Désactivation | Immédiate au dernier jour de présence |
| Message d'absence | Information aux expéditeurs avec contact alternatif |
| Redirection | Limitée dans le temps, vers un seul destinataire identifié |
| Conservation | 1 à 3 mois maximum sous accès restreint |
| Suppression | Effacement définitif après expiration de la durée |
| Information préalable | Salarié informé dès l'embauche de la procédure de sortie |
Modalités pratiques
Le salarié trie ses messages personnels avant le départ, le compte est bloqué le dernier jour, une auto-réponse redirige vers un destinataire unique, la boîte est archivée 1 à 3 mois sous accès restreint puis supprimée définitivement.
| Étape | Détail |
|---|---|
| Anticipation | Le salarié est invité à trier ses messages personnels avant son départ |
| Désactivation | Blocage des accès actifs au dernier jour |
| Auto-réponse | Message neutre indiquant le départ et le contact à privilégier |
| Archivage | Boîte conservée par l'IT, accès limité au manager habilité |
| Suppression | Effacement définitif après la période d'archivage |
| Documentation | Procédure écrite annexée au règlement informatique |
Pratiques et recommandations
Prévenir le salarié plusieurs jours avant son départ pour qu'il puisse extraire ses correspondances strictement personnelles.
Désigner un destinataire unique habilité à recevoir la redirection, plutôt que de laisser plusieurs personnes consulter la boîte.
Limiter dans le temps tout accès à la boîte de l'ex-salarié et tracer chaque consultation.
Inscrire la procédure de sortie informatique dans le règlement intérieur ou la charte IT, avec consultation préalable de la délégation du personnel (art. L.261-1 Code du travail).
Supprimer définitivement la boîte à l'expiration du délai et conserver un journal de la suppression.
Cadre juridique
Plusieurs textes encadrent la fermeture du compte email.
| Référence | Objet |
|---|---|
| Art. 5 RGPD | Principes de minimisation et limitation de la conservation |
| Art. 17 RGPD | Droit à l'effacement |
| Art. L.261-1 Code du travail | Surveillance des salariés et protection des données |
| Art. L.414-9 Code du travail | Information de la délégation du personnel |
| Loi du 1er août 2018 | Régime général au Luxembourg |
| Délibérations CNPD | Recommandations sur l'usage de la messagerie professionnelle |
Note
Un accès non encadré à la boîte d'un ex-salarié peut constituer une violation du secret des correspondances et exposer l'employeur à une plainte devant la CNPD. La procédure doit être documentée et proportionnée.