Une cadre (personne concernée) est licenciée au mois d’août 2022 avec un préavis de six semaines. Durant celui-ci, un différend éclata quant à savoir si elle était toujours autorisée à accéder à sa boîte mail professionnelle. L’accès à sa boîte aux lettres a été finalement coupé le 12 septembre 2022. Un accès à ladite boîte aux lettres aurait été donné à son supérieur.

Le 15 septembre 2022, la personne concernée a formulé une demande d’accès et a demandé à l’employeur (responsable de traitement) de confirmer que personne n’avait accédé à sa boîte mail sur la base des journaux informatiques.

Le 25 janvier 2023, le responsable de traitement a répondu en fournissant une synthèse des logs relatifs à la boîte mail litigieuse. Ces journaux ont montré qu’il n’y avait aucun accès à la boîte aux lettres électronique. Cependant, la personne concernée a affirmé que ce document était inexact ou incomplet. Elle a également souligné que son compte de messagerie professionnelle existait toujours en janvier 2023, bien après son départ de son lieu de travail.

La personne concernée a déposé une plainte auprès de l’autorité de protection des données belge (APD ; Gegevensbeschermingsautoriteit).

L’APD, dans une décision 71/2024 du 6 mai 2024 (présentée, commenté et annexée en original sur gdprhub : https://gdprhub.eu/index.php?title=APD/GBA_(Belgium)_-_71/2024&mtc=today), retient notamment ce qui suit :

L’APD considère que la boîte mail peut rester active pendant un certain temps après le licenciement de la personne concernée, à condition qu’elle se limite à l’envoi automatique de communications standards concernant le départ de la personne concernée, afin d’assurer le bon fonctionnement de l’entreprise.

Le responsable de traitement dispose d’un délai d’un mois au terme duquel il doit supprimer l’adresse e-mail et la boîte aux lettres de la personne concernée, à moins que d’autres accords n’aient été conclus à cet égard entre le responsable du traitement et l’ancien employé. Un délai plus long peut être accordé en fonction du contexte et du degré de responsabilité de la personne concernée mais cette prolongation doit se faire avec le consentement de la personne concernée.

Dans le cas présent, l’APD a constaté que les modalités de la suppression de la boîte mail  n’étaient pas définies et mises en œuvre de manière transparente. Par exemple, il n’était pas clair combien de temps l’e-mail continuait d’exister après le départ de la personne concernée et qui y avait accès. De plus, la personne concernée n’a pas été informée de la période de transition prolongée mise en œuvre par le responsable de traitement.

Dans le cas présent, la personne concernée occupait une position importante dans l’entreprise. L’APD a donc estimé qu’une période de transition de plus d’un mois semblait justifiée. Cependant, le moment exact de la fermeture de la boîte aux lettres n’était pas clair et semblait être plus long que les délais recommandés, étant donné que le compte de messagerie existait toujours en janvier 2023. En outre, des doutes ont été soulevés quant à l’accès possible de tiers à la boîte aux lettres de la personne concernée.

Ainsi, l’APD a considéré que le responsable de traitement n’avait pas pris de mesures techniques et organisationnelles pour assurer le respect du RGPD. Elle a estimé que cela mettait en évidence un manque de dispositions transparentes concernant la politique de  fermeture des boîtes aux lettres des anciens salariés, ce qui peut violer l’article 5, paragraphe 1, point a) du RGPD et l’article 25 du RGPD . Il y a également eu une violation présumée des articles 6, paragraphe 1, et 5, paragraphe 1, point a) du RGPD, car la boîte aux lettres était restée ouverte sans base légale.

Me Philippe Ehrenström, avocat, LLM