Mettre en place les procédures de départ des collaborateurs (offboarding) adaptées est d’autant plus important que les enjeux liés à la conservation du contenu de la boite de messagerie se retrouvent de plus en plus fréquemment au cœur des contentieux prud’homaux, en plus des risques que fait peser sur l’entreprise un défaut de conformité à la réglementation en matière de protection des données à caractère personnel (jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires de l’entreprise).
La messagerie électronique mise à disposition par l’employeur est présumée professionnelle.
Le contenu de la messagerie professionnelle d’un salarié est présumé professionnel et est accessible à l’employeur qui peut réaliser des contrôles, sauf pour les messages et documents expressément identifiés comme personnels par le salarié, dans les conditions définies par l’employeur (charte informatique ou règlement intérieur).
Avant d’aborder la question du sort de la messagerie électronique en cas d’absence ou de départ d’un salarié, il est essentiel de rappeler le cadre de protection des correspondances et documents produits par un salarié à partir des outils informatiques mis à sa disposition par son employeur, notamment au regard de la protection de la vie privée du salarié.
Le principe d’inviolabilité des correspondances s’applique à l’employeur. Ainsi, il est interdit à l’employeur de prendre connaissance des messages personnels émis et reçus par ses employés [1] a fortiori sans l’avoir informé préalablement de la possibilité de surveillance de ses communications sur son compte de messagerie professionnelle par l’employeur [2]. Le secret des correspondances ne peut être levé que par une décision de justice.
Néanmoins, au regard des risques importants de confusion entre correspondances privées et correspondances professionnelles dans le cadre de la mise à disposition d’une messagerie professionnelle, une présomption de professionnalité a été mise en place par la jurisprudence. Le contenu d’une boite mail professionnelle est ainsi présumé professionnel et donc accessible à l’employeur [3].
Seuls les messages expressément identifiés par le salarié comme « personnels » sont protégés par le droit à la vie privée du salarié. De surcroit, l’employeur a la possibilité de prévoir contractuellement les modalités de nommage des messages personnels [4]. L’employeur, pour éviter toute confusion, notamment lorsque le terme « personnel » peut être utilisé par les salariés dans le cadre de leurs fonctions (pour les RH par exemple), peut choisir d’imposer une autre mention « privé » ou « personnel et confidentiel ».
Ces règles de nommage des correspondances et des documents personnels doivent être rendues opposables au salarié, en étant prévues, par exemple, dans une charte informatique ou dans le règlement intérieur de l’entreprise.
Exemple de clause charte informatique :
« Par principe les documents et correspondances présents sur les ressources informatiques de l’entreprise sont réputés avoir un caractère professionnel et sont accessibles à l’entreprise. Seuls les documents expressément identifiés comme « privés » sont protégés par le secret des correspondances. Tous les autres documents sont librement accessibles à l’employeur afin d’assurer la sécurité des réseaux, défendre ses droits et prévenir les fraudes ».
Conditions d’accès par l’employeur à la messagerie professionnelle du salarié.
Aussi, afin d’assurer la sécurité des réseaux et de limiter les abus d’utilisation des outils informatiques, l’employeur a la possibilité de mettre en place un contrôle de la messagerie professionnelle. Dans le cadre de ce contrôle, la position de la CNIL est de considérer que l’accès temporaire à la boite email du salarié est possible. En revanche « l’employeur ne peut pas recevoir en copie automatique tous les messages écrits ou reçus par ses employés, c’est excessif » [5]. De même, le contrôle est limité par les règles applicables aux messages personnels, exposées précédemment.
Il appartient donc à l’employeur de définir les règles du contrôle et d’en informer les salariés [6] ainsi que les instances représentatives au personnel, qui doivent être informées et consultées [7].
Départ d’un salarié : que faire de sa boite email ?
Les règles applicables sur le sort de la boite de messagerie électronique d’un salarié à son départ ne sont pas clairement définies par la réglementation.
Ainsi, aucune règle n’impose strictement à l’employeur la suppression d’une adresse de messagerie professionnelle au départ du salarié. En revanche, l’article 5 e) du Règlement Général sur la Protection des Données 2016/679 (RGPD) impose de limiter la durée de conservation des données à caractère personnel (nécessairement contenue dans l’adresse de messagerie) à ce qui est strictement nécessaire.
Il convient donc de s’appuyer sur les recommandations des autorités de contrôle européennes pour comprendre les contours des obligations à respecter en tant qu’employeur.
Rappel important : les recommandations publiées par les autorités de contrôle sont des recommandations et n’ont pas de caractère contraignant. Il est donc possible pour l’employeur d’y déroger, notamment en justifiant de circonstances spécifiques [8].
La CNIL a publié une recommandation lapidaire dans sa FAQ :
- avertir l’employé de la date de fermeture ;
- supprimer l’adresse électronique nominative.
S’agissant des conditions de cette suppression, la CNIL laisse à l’employeur la charge de les définir [9].
Il est donc intéressant de se tourner vers les recommandations de deux autres autorités de contrôle pour connaitre de recommandations plus détaillées.
L’Autorité de Protection des Données Belge (APD) a rendu plusieurs décisions récentes [10] établissant des bonnes pratiques claires en matière de gestion de la messagerie d’un salarié après son départ.
De même, l’autorité maltaise de protection des données - Information and Data protection Commissioner (IDPC), a plus récemment, en avril 2025, publié des recommandations strictes, mais qui ont le mérite d’être claires.
Voici ce que l’on peut en retenir :
- La boite de messagerie doit être supprimée au moment du départ du salarié et dans un délai raisonnable (entre 1 mois et 3 mois selon l’APD). En cas de litige, il est possible de justifier de conserver les données jusqu’à l’expiration du délai de prescription ou des voies de recours.
- Le salarié doit avoir été informé des règles applicables à sa boite de messagerie professionnelle et de la date de suppression de sa boite de messagerie.
- Le salarié doit pouvoir accéder temporairement à sa boite de messagerie pour lui permettre de faire le tri dans ses courriels.
- Dans la mesure du possible les courriels nécessaires à l’activité de l’entreprise doivent être récupérés sur la boite de messagerie du salarié avant son départ, et en sa présence.
- Un message automatique doit être mis en place pour informer l’expéditeur du départ du salarié, lui indiquer la personne à contacter en cas de besoin et de délai de désactivation de la boite de messagerie.
- Ne pas faire de redirection automatique vers une autre boite de messagerie, sauf à en justifier explicitement et ne pas permettre à d’autres employés d’avoir des droits sur la boite de messagerie d’un autre employé.
- Limiter strictement l’accès à des cas exceptionnels, encadrés par des procédures internes.
En tout état de cause, il est indispensable pour tout organisme de prévoir les règles applicables à l’utilisation de la messagerie professionnelle, ayant fait l’objet d’une consultation des instances représentatives au personnel. Ces règles sont présentées dans un document rendu opposable aux salariés : charte informatique, charte d’utilisation de la messagerie, contrat de travail, règlement intérieur…
Par ailleurs, la politique d’information RGPD des salariés doit prendre en compte le traitement de données ainsi réalisé et préciser les modalités de traitement des données utilisées via la messagerie professionnelle.
