De nombreuses entreprises pèchent par un manque de clarté concernant le maintien et l'accès des comptes e-mail de leurs ex-collaborateurs. Une bonne procédure d'offboarding (autrement dit, de départ) est néanmoins très importante pour éviter les futurs problèmes – et même d'éventuelles amendes. Le maintien des adresses et comptes e-mail de collaborateurs qui ne sont plus actifs au sein de votre entreprise constitue en effet une violation du RGPD ou Règlement général sur la protection des données.
Cet article examine plus en détail l'importance d'une procédure d'offboarding adéquate au niveau de l'IT. Pour ce faire, nous nous fondons sur un cas où l'Autorité de protection des données (APD) a récemment tranché.
Contestation en matière d'offboarding
L'APD s'est récemment chargée d'une affaire relative à la non-clôture des adresses et comptes e-mail professionnels d'un collaborateur après son départ. Il s'agissait d'un ex-administrateur délégué d'une PME dans le secteur médical, qui avait introduit une demande de médiation auprès de l'APD. La raison de cette requête était que l'entreprise n'avait pas réagi à sa demande de clôturer tous les comptes et adresses e-mail liés à lui-même, à son épouse, à son frère et à son père dans les 7 jours suivant son départ.
La médiation a débouché sur une plainte officielle où l'APD a décidé, après une inspection approfondie, d'imposer une amende administrative de 15 000 € à la PME. L'Autorité de protection des données avait motivé l'amende en précisant que les principes du RGPD avaient clairement été enfreints. Les adresses e-mail étaient en effet encore actives 2,5 ans après le départ, sans que les destinataires des e-mails aient été au courant que les expéditeurs ne travaillaient plus au sein de l'entreprise. Cette situation pouvait donner lieu à la collecte ainsi qu'à l'utilisation potentielle de données à caractère personnel à l'insu des destinataires.
Offboarding et e-mail : quels sont les éléments à prendre en considération ?
Dans le cadre de l'affaire ci-dessus, l'APD a formulé quelques lignes directrices à l'intention des employeurs. En s'y conformant, les entreprises respecteront d'importants principes et règles en matière de légitimité, de traitement minimal des données, de limitation du stockage, etc. En voici un résumé :
- Le responsable du service informatique doit bloquer les adresses et comptes e-mail des travailleurs ayant cessé leurs fonctions au plus tard au moment de leur départ effectif .
- Le travailleur sortant concerné doit en être informé.
- Un message automatique doit être programmé et envoyé afin d'informer le correspondant du départ du collaborateur en question.
- Après environ 1 mois, la boîte e-mail et le message automatique de l'ex-collaborateur doivent être supprimés Une période plus longue peut être prévue, mais idéalement, elle ne dépassera pas 3 mois. Une telle prolongation, visant par exemple à garantir la continuité du bon fonctionnement de l'entreprise, doit être motivée et communiquée à l'ex-collaborateur.
- Pour éviter que l'entreprise ne puisse encore accéder au compte e-mail de l'ex-collaborateur après son départ, les e-mails revêtant une importance cruciale pour le bon fonctionnement de l'entreprise doivent être récupérés avant le départ de la personne en question et en sa présence.
Pourquoi une procédure d'offboarding adéquate est importante
Le cas ci-dessus est un bel exemple de ce qu'il ne faut pas faire. Une procédure d'offboarding correcte est en effet non seulement importante pour une conformité stricte envers le RGPD (collecte et utilisation potentielle de données à caractère personnel à l'insu des destinataires), mais protège aussi vos données d'entreprise sensibles. Lorsqu'un collaborateur quitte l'entreprise, il est crucial de supprimer son accès à tous les systèmes, des comptes d'e-mail au VPN en passant par les solutions dans le cloud. Vous éviterez ainsi que cette personne n'emporte avec elle des informations d'entreprise ou des données clients importantes et sensibles. Autrement dit, une bonne politique d'offboarding vous préserve d'une « data breach » provoquée par un ex-collaborateur.
Il est, par ailleurs, essentiel de clôturer correctement l'adresse e-mail et les comptes e-mail correspondants d'un travailleur sortant. Le recours à une réponse automatique précisant que la personne en question ne travaille plus au sein de votre entreprise est recommandé. Combinez cette solution, de préférence, avec une réponse automatique de l'e-mail à destination du responsable qui peut assurer un suivi des dossiers. Ainsi, vous ne perdrez pas de vue d'importantes échéances ou affaires en cours, et vous favoriserez la continuité au sein de votre entreprise.
Une procédure d'offboarding correcte est importante pour assurer le respect adéquat des réglementations officielles mais peut aussi vous éviter bien des problèmes. Envie d'en apprendre davantage sur la façon d'établir une procédure d'offboarding adéquate ? Ou à la recherche d'un partenaire IT susceptible de vous aider à mettre sur pied la politique informatique idéale ? Contactez-nous sans plus tarder ! Nos IT Managers se feront un plaisir de vous conseiller.