Chambre Contentieuse de l’Autorité de protec­tion des données (Décision 97/​2024 du 16 juillet 2024)

L’autorité de protec­tion des données belge a dû se pronon­cer sur la conser­va­tion, respec­ti­ve­ment l’absence d’effacement, d’une adresse e‑mail profes­sion­nelle nomi­na­tive d’un employé (le plai­gnant) suite à son licenciement.

En octobre 2020, cette entre­prise (la défen­de­resse), active dans l’immobilier, met fin aux rapports de travail avec l’employé. Les derniers instants de la colla­bo­ra­tion sont quali­fiés de houleux. Le poste de ce gestion­naire d’immeubles, proche de l’âge de la retraite, n’a pas été remplacé ; ses dossiers étant repris progres­si­ve­ment par des collègues d’une société sœur.

Le 11 novembre 2020, le plai­gnant a adressé un cour­rier recom­mandé à la défen­de­resse lui deman­dant de mettre fin à l’usage de sa boite e‑mail en se basant sur la déci­sion quant au fond 64/​2020 du 29 septembre 2020 de la Chambre Contentieuse de l’APD. L’entreprise ne répond pas à cette demande.

À date du 3 décembre 2020, l’entreprise conti­nuait d’envoyer des e‑mails depuis son adresse sans infor­mer du départ de l’employé de la société. Le plai­gnant dénonce en sus que son nom était toujours présent sur le panneau infor­ma­tif de nombreuses rési­dences et docu­ments ce qui nuisait à sa répu­ta­tion. En effet, de par son licen­cie­ment deux mois plus tôt, le plai­gnant n’était plus à même d’exercer sa fonction.

Le rapport d’enquête du Service d’Inspection (SI) de la Chambre Contentieuse fait état qu’en « date du 23 mars 2021 soit plus de 5 mois après le licen­cie­ment du plai­gnant, l’adresse e‑mail [adresse e‑mail profes­sion­nelle de X] de ce dernier était toujours active /​ contac­table. Un message de réponse auto­ma­tique est asso­cié à cette adresse e‑mail qui mentionne que le plai­gnant a quitté l’entreprise, que l’adresse e‑mail sera prochai­ne­ment désac­ti­vée et que l’adresse e‑mail à utili­ser à l’avenir est l’adresse [adresse e‑mail géné­rique]. ».

L’entreprise conteste et met en avant qu’elle a pour­suivi l’utilisation de l’adresse e‑mail après son licen­cie­ment en raison de son brusque départ. Elle invoque à cet effet l’intérêt légi­time à conti­nuer le trai­te­ment de données prévu à l’art. 6 par. 1 let. f RGPD. Ainsi, la défen­de­resse a pu conti­nuer les rela­tions profes­sion­nelles avec les copro­prié­taires concer­nés. Le départ étant survenu en pleine pandé­mie de Covid-19, l’entreprise argue qu’elle n’a eu d’autre choix que de conser­ver cette adresse afin de garan­tir la bonne tenue des assem­blées géné­rales de copro­prié­taires, alors suspen­dues confor­mé­ment aux dispo­si­tions légales alors en vigueur (Loi du 20 décembre 2020 portant des dispo­si­tions divers tempo­raires et struc­tu­relles en matière de justice dans le cadre de la propa­ga­tion du coro­na­vi­rus Covid-19). La voie de commu­ni­ca­tion élec­tro­nique était alors plus essen­tielle encore que les autres modes de commu­ni­ca­tion non élec­tro­nique, ce qui justi­fie le main­tien de l’adresse e‑mail profes­sion­nelle du plaignant.

Quant au respect des prin­cipes de fina­lité, de mini­mi­sa­tion et de conser­va­tion limi­tée des données

L’argumentaire de la défen­de­resse repose ainsi sur deux éléments : le départ abrupt et houleux de l’employé, ce qui a empê­ché une passa­tion des dossiers et le contexte de pandé­mie qui a rendu la commu­ni­ca­tion élec­tro­nique encore plus indis­pen­sable, justi­fiant le main­tien de l’adresse e‑mail. La Chambre Contentieuse avait admis, par le passé, un délai de conser­va­tion ne devant « idéa­le­ment » pas dépas­ser 1 à 3 mois, n’excluant de ce fait pas la possi­bi­lité que ce délai soit plus long au regard des circons­tances du cas d’espèce. L’intensification de la corres­pon­dance élec­tro­nique en raison de la pandé­mie auto­ri­se­rait, selon l’entreprise, le trai­te­ment supé­rieur à 3 mois de l’adresse e‑mail professionnelle.

C’est à l’aune du prin­cipe de fina­lité que ceux de mini­mi­sa­tion, de limi­ta­tion et de conser­va­tion des données peuvent s’analyser. Les données ne doivent être collec­tées que pour des fina­li­tés déter­mi­nées, expli­cites et légi­times et ne doivent pas être trai­tées ulté­rieu­re­ment de manière incom­pa­tible avec cette finalité.

L’adresse e‑mail est une donnée à carac­tère person­nel. Sa fina­lité est de permettre au plai­gnant d’envoyer et rece­voir des cour­riers élec­tro­niques dans le cadre de ses acti­vi­tés au sein de l’entreprise. Ainsi, le prin­cipe de fina­lité exige du respon­sable de trai­te­ment de bloquer la messa­ge­rie élec­tro­nique au plus tard le jour de leur départ effec­tif. Ce blocage doit être l’ultime étape, en ayant pris soin, au préa­lable, d’avoir averti la personne concer­née de cette suppres­sion et mis en place un message auto­ma­tique aver­tis­sant tout corres­pon­dant ulté­rieur que la personne n’exerce plus ses fonc­tions dans l’entreprise. Le délai de tolé­rance de 1 à 3 mois dépend de la fonc­tion et des respon­sa­bi­li­tés exer­cées par la personne concer­née. Si celle-ci occupe une fonc­tion d’administrateur ou autre fonc­tion-clé qu’elle est la seule à exer­cer (comme en l’espèce), alors un délai plus long peut être admis. Cette prolon­ga­tion dans le trai­te­ment de la donnée doit être moti­vée et se faire avec l’accord de l’employé ou, à minima, après l’en avoir aver­tie. De plus, une solu­tion de rempla­ce­ment doit être recher­chée sans attendre et bien avant l’échéance ultime de la prolongation.

La Chambre conten­tieuse souligne le fait que le message auto­ma­tique mention­nant de renvoyer l’e‑mail à une adresse géné­rique doit être privi­lé­gié par rapport au trans­fert auto­ma­tique à l’adresse élec­tro­nique d’un autre employé de l’entreprise. Ceci pour deux raisons : avec un trans­fert auto­ma­tique, il n’y a aucune maitrise du cour­rier entrant mais surtout, le risque que des infor­ma­tions privées poten­tiel­le­ment sensibles puissent être divul­guées à l’insu de la personne concer­née (qui a quitté l’entreprise) mais aussi de l’émetteur du message n’est pas admissible.

Les requêtes de l’employé auprès de l’entreprise s’étant retrou­vées lettres mortes ainsi que l’absence géné­rale de moti­va­tion de l’entreprise aux diffé­rentes inter­pel­la­tions ont mené la Chambre Contentieuse à esti­mer que le prin­cipe de fina­lité de l’art. 5 par. 1 let. b RGPD n’a pas été respecté en raison de la durée exces­sive du main­tien de l’adresse élec­tro­nique du plai­gnant. Le contexte de pandé­mie invo­qué par la défen­de­resse ne peut justi­fier une conser­va­tion au-delà de trois mois qui doit être admise unique­ment en raison de la qualité de la fonc­tion exer­cée par la personne concer­née. Le climat orageux de la fin des rapports de travail n’empêchait en rien l’entreprise d’établir immé­dia­te­ment un message auto­ma­tique renvoyant à une adresse géné­rique le jour du départ de l’employé.

Quid alors de l’intérêt légi­time invo­qué par l’entreprise à pour­suivre le trai­te­ment prévu en vertu de l’article 6 par. 1 let. f RGPD ? Il convient d’opérer trois tests : test de fina­lité, test de néces­sité et test de pondération.

Pour le test de fina­lité, l’intérêt pour­suivi par l’entreprise doit être licite, déter­miné de façon suffi­sam­ment claire, être né et actuel pour que le trai­te­ment soit quali­fié de légi­time. La Chambre estime que l’utilisation de l’adresse e‑mail pendant un bref laps de temps après son départ pour assu­rer la conti­nuité de ses dossiers et les contacts impor­tants consti­tue un inté­rêt légitime.

Pour la néces­sité, la CJUE rappelle, dans son arrêt « TK », que cette notion doit être inter­pré­tée de façon stricte pour l’entier de l’article 6 par. 1 RGPD (alors ancien­ne­ment articles 6 et 7 Directive 95/​46/​CE). Cette néces­sité du trai­te­ment est étroi­te­ment liée à la mini­mi­sa­tion des données, en ce sens que les données person­nelles doivent être adéquates, perti­nentes et non exces­sives au regard des fina­li­tés pour lesquelles elles sont collec­tées et trai­tées. Sitôt qu’il existe des alter­na­tives plus réalistes et moins intru­sives, alors le trai­te­ment envi­sagé n’est pas « néces­saire ». La Chambre Contentieuse estime que la pour­suite du trai­te­ment de l’adresse e‑mail du plai­gnant est néces­saire pour permettre la récep­tion de messages encore adres­sés à cette adresse afin de trai­ter les tout derniers déve­lop­pe­ments d’un dossier, pour infor­mer les émet­teurs des e‑mails reçus du départ de l’employé et des moda­li­tés de commu­ni­ca­tion consé­cu­tives à son départ.

Enfin, la pesée des inté­rêts inter­vient. Lors de cette analyse, il convient d’évaluer toutes les consé­quences que la conti­nua­tion du trai­te­ment a sur le degré d’intrusion dans la sphère privée de la personne concer­née. En d’autres termes, il convient d’étudier si le trai­te­ment a pour objet des données sensibles ou du profi­lage, si le trai­te­ment restreint ou non les liber­tés fonda­men­tales mais aussi les impacts concrets sur la situa­tion de la personne concer­née notam­ment si le trai­te­ment opère un suivi ou une surveillance des acti­vi­tés ou des dépla­ce­ments. Dans cette pondé­ra­tion, il faut tenir compte des « attentes raison­nables » de la personne concer­née, en parti­cu­lier lorsque le trai­te­ment conti­nue sans son consen­te­ment préa­lable par un acte posi­tif et expli­cite de sa part. Il s’agit de « ne pas surprendre les personnes dans les moda­li­tés de mise en œuvre comme dans les consé­quences du trai­te­ment ».

La Chambre Contentieuse précise que le délai de prolon­ga­tion du trai­te­ment d’une adresse e‑mail dépend essen­tiel­le­ment du degré de respon­sa­bi­lité exercé par la personne concer­née et non du contexte social envi­ron­nant comme une pandé­mie. Le scéna­rio normal devant être de suppri­mer les données le jour du départ de l’employé. Le délai d’un mois est déjà une prolon­ga­tion et appa­rait être une balance adéquate entre les diffé­rents inté­rêts. Ainsi, un délai plus long peut être admis mais ne devant dans tous les cas pas dépas­ser trois mois.

Dans le cas d’espèce, le plai­gnant ayant été licen­cié, il importe de clari­fier la situa­tion au plus vite. La prolon­ga­tion ayant eu lieu pendant 5 mois, sans infor­ma­tion au plai­gnant, ni commu­ni­ca­tion du motif alors même qu’il s’y oppo­sait amène la Chambre à rete­nir un manque­ment à l’article 6 par. 1 RGPD.

Ce mutisme de l’entreprise immo­bi­lière sur la demande d’effacement de données du plai­gnant amène égale­ment la Chambre à consta­ter un non-respect de l’art. 12 par. 4 RGPD qui oblige le respon­sable de trai­te­ment à répondre en prin­cipe sous 30 jours (art. 12 par. 3 RGPD) à une demande formu­lée en appli­ca­tion des articles 15 à 22 RGPD. La personne concer­née ne doit jamais être lais­sée sans réponse à sa demande, que le respon­sable de trai­te­ment four­nisse les infor­ma­tions ou qu’elle refuse – auquel cas elle s’oblige à lui indi­quer la possi­bi­lité d’une récla­ma­tion auprès de l’APD et de former un recours juri­dic­tion­nel. Les circons­tances invo­quées, à répé­ti­tion, par la défen­de­resse ne sauraient qu’influer sur la déter­mi­na­tion de la sanc­tion au manque­ment de l’art. 12 par. 4 RGPD mais en aucun cas le suppri­mer. La Chambre Contentieuse retient contre l’entreprise qu’elle a satis­fait tardi­ve­ment à la demande d’effacement de données de l’employé (art. 17 par. 1 RGPD), d’avoir opéré un trai­te­ment illi­cite de données (art. 6 par. 1 RPGD) en utili­sant l’adresse e‑mail pendant cinq mois et de ce fait d’avoir contre­venu aux prin­cipes de fina­lité (art. 5 par. 1 let. b RGPD), de mini­mi­sa­tion (art. 5 §1 let. c RGPD) et de propor­tion­na­lité (art. 5 par. 1 let. e RGPD) dans le trai­te­ment des données.

L’entreprise a néan­moins entre­pris de corri­ger ces manque­ments avant la compa­ru­tion devant la Chambre en reti­rant progres­si­ve­ment le nom du plai­gnant des plaques d’information dans les immeubles, en mettant en place une réponse auto­ma­tique renvoyant à l’e‑mail géné­rique de l’entreprise avant de suppri­mer (tardi­ve­ment) l’adresse élec­tro­nique de l’employé et en enga­geant un juriste chargé d’assurer la confor­mité des actions de l’entreprise avec le RGPD au moyen, notam­ment, de nouvelles poli­tiques de confi­den­tia­lité et d’utilisation des outils informatiques.

Pour ces raisons, la Chambre Contentieuse décide d’adresser une répri­mande assor­tie d’un ordre de mise en confor­mité sous 30 jours.

Enseignements

Bien que cette déci­sion ne soit guère surpre­nante tant au vu du cas d’espèce que des prin­cipes cités, il est impor­tant de souli­gner plusieurs ensei­gne­ments utiles pour la pratique des ressources humaines.

La première chose à rete­nir concerne le message auto­ma­tique qui doit être mis en place au départ de l’employé si sa posi­tion ne permet pas une suppres­sion immé­diate de son adresse élec­tro­nique. Ce message doit abso­lu­ment mention­ner de contac­ter l’adresse géné­rique de l’entreprise et non opérer un trans­fert direct à un collègue précis sous peine de risquer révé­ler des infor­ma­tions poten­tiel­le­ment sensibles tant de l’expéditeur du message que de l’employé sur le départ. Il peut être inté­res­sant d’avoir égale­ment ce réflexe en dehors d’une situa­tion de licen­cie­ment ou de démis­sion mais aussi dans des cas ordi­naires d’absence de l’employé pour des vacances ou autres.

De plus, cette déci­sion nous permet de mieux comprendre les délais de tolé­rance à conti­nuer le trai­te­ment d’une adresse e‑mail après le départ d’un employé en vertu de l’art. 6 par. 1 let. f RGPD. Il faut comprendre le délai d’un mois comme étant déjà une prolon­ga­tion à la licéité du trai­te­ment comme étant la juste balance des inté­rêts entre ceux du respon­sable de trai­te­ment et ceux de la personne concer­née. Cette prolon­ga­tion d’un mois peut être prolon­gée jusqu’à 3 mois si la posi­tion hiérar­chique de la personne concer­née l’exige. Il est donc fait abstrac­tion des circons­tances exté­rieures et du mode de départ de la personne concer­née. Que les rapports soient houleux ou non, qu’il s’agisse d’une démis­sion ou d’un licen­cie­ment, c’est la posi­tion hiérar­chique de l’employé qui va être déter­mi­nante dans la pesée des inté­rêts de l’art. 6 par. 1 let. f RGPD à la conti­nua­tion du trai­te­ment. L’entreprise doit égale­ment agir sans attendre pour mini­mi­ser la durée de main­tien de cette adresse e‑mail.

Enfin, l’on peut remar­quer l’importance toujours plus grande, même essen­tielle, pour chaque entre­prise de se doter de poli­tiques de confi­den­tia­lité, de gestion des données, d’utilisation du maté­riel infor­ma­tique mais surtout de déter­mi­ner les durées de conser­va­tion des données dans un registre. Plus les mesures internes prises à ce niveau seront solides, plus les proces­sus RH et IT entre­ront en syner­gie, plus il sera probable d’obtenir une clémence du juge en cas de litige portant sur les données person­nelles d’un employé.