La plainte traitée par l’autorité belge de protection des données (Gegevensbeschermingsautoriteit, APD) concerne l’utilisation illégale du compte de messagerie email de l’ancien employé (personne concernée) par l’employeur (responsable de traitement). La personne concernée a été employée par le responsable du traitement jusqu’au 30 avril 2023.

Le 9 mai 2023, un courriel a été envoyé à l’insu de la personne concernée à partir de son adresse électronique auprès du responsable de traitement, informant la clientèle que la personne concernée n’était plus employée et donnant un nouveau point de contact.

Après le 9 mai 2023, le courriel professionnel de la personne concernée était toujours actif et son contenu était lu.

Dans une décision APD/GBA – 135/2023 (https://www.gegevensbeschermingsautoriteit.be/publications/waarschuwing-nr.-135-2023.pdf, présentée par noyb.eu aujourd’hui  https://gdprhub.eu/index.php?title=APD/GBA_(Belgium)_-_135/2023&mtc=today), l’APD a d’abord considéré qu’il y avait une violation des principes de minimisation des données (article 5, paragraphe 1, point c) RGPD) et de limitation des finalités (article 5, paragraphe 1, point b), du RGPD), car le compte de courrier électronique de la personne concernée est resté actif et utilisé après la cessation de la relation de travail le 30 avril 2023 et après l’envoi du courrier électronique du 9 mai 2023. Le responsable du traitement, après ces deux événements, a continué à accéder à l’adresse électronique de la personne concernée, à l’utiliser et à envoyer des courriels à des personnes externes à partir de cette adresse.

En second lieu, l’APD a aussi constaté une violation de l’article 6, paragraphe 1, du RGPD  et de l’article 13, paragraphe 1, point c), du RGPD. L’APD a estimé que le responsable du traitement ne pouvait pas invoquer l’article 6, paragraphe 1, point b), du RGPD (exécution du contrat) comme base juridique, car le traitement s’est poursuivi après la résiliation du contrat de travail. En outre, le responsable du traitement ne pouvait pas non plus invoquer l’article 6, paragraphe 1, point f), du RGPD (intérêts légitimes du responsable de traitement) comme base juridique. Le maintien en activité de la boîte aux lettres après la résiliation n’aurait été légitime aux fins de l’article 6, paragraphe 1, point f), du RGPD que si cela avait été fait pendant la période de transition suivant la fin du contrat de travail et dans la mesure où cela se limite à la transmission automatique de communications standard concernant le départ de l’employé, en vue d’assurer le bon fonctionnement de l’entreprise et la continuité de ses services. Toutefois, l’APD  a noté que cela n’aurait pu être fait dans le respect du RGPD que si la personne concernée avait été informée conformément aux exigences de l’article 13 du RGPD.

Dans le cas présent, la personne concernée n’a pas été informée de la poursuite de l’utilisation de son compte de messagerie ni du courriel du 9 mai 2023, et le responsable du traitement a continué à utiliser le compte de messagerie de la personne concernée au-delà de la période de transition.

L’APD a émis un avertissement.

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)