« Le salarié peut accéder aux messages de son compte e-mail professionnel ainsi qu’aux documents présents sur son ordinateur après la fin du contrat de travail. Toute limitation doit être justifiée par des raisons spécifiques et avérées, telles que la protection de secrets d’entreprise ». Tel est ce qu’a établi l’Autorité garante pour la protection des données personnelles dans une décision du 12 mars 2026, rendue publique le 15 avril 2026.
À la suite de la cessation de son contrat de travail, l’ancien salarié demandait à la société d’accéder à ses documents et dossiers personnels présents sur l’ordinateur ainsi que dans sa boîte e-mail professionnelle nominative. Dans un premier temps, la société avait autorisé un accès partiel, permettant la récupération de fichiers depuis le bureau (desktop), mais pas depuis la messagerie électronique, pour des raisons techniques alléguées.
Lors d’un entretien ultérieur, la société avait remis uniquement la correspondance considérée comme « strictement personnelle » (échanges avec des membres de la famille, certificats fiscaux, remboursements de frais), en excluant l’ensemble des communications liées à l’activité professionnelle.
Face à cette limitation, l’intéressé a formalisé une demande d’accès au titre de l’article 15 du règlement (UE) 2016/679 (RGPD), sollicitant la copie de l’ensemble des courriels présents sur son compte professionnel à partir d’une certaine date. L’entreprise a répondu en soutenant que la demande excédait le droit d’accès, au motif que les informations contenues dans la messagerie relevaient de sa propriété, et que l’accès devait se limiter aux seules données personnelles de l’intéressé.
L’Autorité a jugé ce comportement non conforme à la réglementation, rappelant que le droit d’accès de la personne concernée s’étend à toutes les données personnelles la concernant, indépendamment de leur qualification comme personnelles ou professionnelles :
« Le contenu des messages électroniques — de même que les données externes des communications et les pièces jointes — concerne des formes de correspondance bénéficiant de garanties de secret protégées également au niveau constitutionnel, dont la finalité est de protéger le noyau essentiel de la dignité humaine et le plein développement de la personnalité dans les formations sociales. »
Par conséquent, les communications transitant sur un compte nominatif, même de nature professionnelle, constituent des données personnelles de l’utilisateur du compte. La position de la société, selon laquelle ces communications relèveraient de sa « disponibilité pleine et exclusive », a été qualifiée de « conviction erronée ».
L’activité de masquage et d’anonymisation réalisée par la société a également été jugée illicite. Bien que le RGPD prévoie des limitations au droit d’accès afin de protéger les droits et libertés d’autrui (y compris les secrets d’affaires), le responsable du traitement doit démontrer l’existence d’un préjudice effectif et concret. En l’espèce, la société n’a pas apporté d’éléments attestant d’un tel risque, et l’occultation des données de tiers est apparue non nécessaire, ces informations étant déjà connues de la personne concernée.
La décision met également en évidence d’autres criticités au regard de la conformité réglementaire. Le Garante a relevé des lacunes en matière de transparence des informations fournies et a estimé disproportionnées les durées de conservation adoptées par la société (cinq ans pour les e-mails et douze mois pour les données de navigation), au regard des finalités déclarées.
Au vu des violations constatées, l’Autorité a infligé une sanction administrative de 50 000 euros et a ordonné à la société de permettre l’accès intégral aux données demandées ainsi que d’adapter ses informations et politiques internes.