Puis-je simplement reprendre le compte e-mail d'un employé qui part ?

Pas sans précaution. Une adresse professionnelle nominative comme prenom.nom@votreentreprise.eu contient des données personnelles de l'employé ; y accéder ou la reprendre constitue donc un traitement au sens du RGPD. Vous devez informer l'employé, lui donner la possibilité de supprimer son contenu personnel et disposer d'une base légale. Une entreprise norvégienne qui a changé le mot de passe et repris le compte pendant le préavis, sans en informer l'employé, a écopé d'une amende de 14 700 euros.

Puis-je garder l'e-mail d'un ancien employé actif pour capter les messages des clients ?

Non, pas indéfiniment. L'autorité norvégienne a jugé que maintenir la boîte mail active après le départ constituait une violation du RGPD. La bonne approche consiste à fermer le compte personnel et à orienter les clients vers une adresse générique comme info@ ou sales@, éventuellement avec une réponse automatique temporaire renvoyant vers le nouveau contact. L'autorité italienne (Garante) a précisé que l'alternative conforme est justement une réponse automatique qui oriente les expéditeurs vers d'autres adresses, sans lire le courrier entrant.

Désactiver la boîte mail suffit-il, ou dois-je la supprimer ?

Désactiver n'équivaut pas à supprimer. En 2026, l'APD belge a infligé à une entreprise une amende d'environ 176 000 euros, en partie parce que la boîte mail d'un ancien employé continuait d'exister sur ses serveurs. Tant que la boîte mail existe, vous traitez toujours les données personnelles de cette personne. Une courte période de transition d'environ un mois peut se justifier, après quoi vous devez supprimer la boîte mail.

Que dois-je prévoir avant le départ d'un employé ?

Mettez en place une politique de confidentialité du personnel couvrant l'usage de l'e-mail et des comptes, documentez votre processus d'offboarding et donnez à l'employé une réelle possibilité de supprimer son contenu personnel de sa boîte mail et des autres outils avant la fin de ses accès.

Pourquoi ne dois-je pas dépendre des adresses professionnelles nominatives ?

Si une fonction dépend de prenom.nom@votreentreprise.eu, vous serez tenté de garder ce compte actif après le départ de la personne, et c'est précisément ce qui vaut des amendes aux entreprises. Des adresses génériques comme sales@ ou info@ vous permettent de fermer proprement les comptes personnels sans perdre la continuité de l'activité.

Départ d'un Employé ? Que Faire de Son E-mail (RGPD)

Quand quelqu'un quitte votre entreprise, vous ne pouvez pas simplement reprendre ou supprimer son compte e-mail professionnel. Une entreprise norvégienne l'a appris avec une amende de 14 700 euros. Voici comment gérer les comptes des employés qui partent, conformément au RGPD.

Quand un employé quitte votre entreprise, que faites-vous de ses comptes ? Il dispose probablement d’un compte e-mail professionnel fourni par l’entreprise, ainsi que de comptes sur les outils que vous utilisez au quotidien : le CRM, l’outil RH, et ainsi de suite.

Pouvez-vous simplement supprimer ou reprendre ces comptes ? En tenant compte du RGPD et des bonnes pratiques en matière de vie privée, vous devez être plus prudent que vous ne le pensez.

Une leçon à 14 700 euros venue de Norvège

Une entreprise norvégienne a commis plusieurs erreurs en gérant le compte e-mail d’un ancien employé, ce qui lui a coûté 14 700 euros d’amende. Il vaut la peine de comprendre ce qui a mal tourné.

Un employé a mis fin à son contrat avec l’entreprise. Pendant le préavis, l’employeur a changé le mot de passe et repris le compte e-mail professionnel, sans en informer l’intéressé et donc sans lui donner la possibilité de supprimer son contenu personnel. De plus, le compte n’a pas été fermé après le départ.

L’ancien employeur a ignoré la demande de suppression du compte e-mail et s’est contenté de définir un message d’absence. Invitée à s’expliquer, l’entreprise a fait valoir qu’elle avait besoin de la boîte mail pour entretenir les relations clients et recevoir des informations opérationnelles jusqu’au remplacement de l’employé.

L’autorité norvégienne de protection des données a constaté plusieurs violations du RGPD :

L’accès au compte e-mail et aux messages de l’employé était illicite.
L’employeur n’a pas informé l’employé, en violation de l’article 13.
L’employeur n’a pas fermé le compte e-mail de l’employé.

Pour ces violations, l’entreprise a été condamnée à une amende de 14 700 euros.

Ce n’est pas un cas isolé

La Norvège n’est pas une exception. Les autorités de protection des données partout en Europe continuent de sanctionner les employeurs pour exactement cela, et les décisions se durcissent.

Italie, 2023. L’autorité italienne (Garante) a infligé une amende de 5 000 euros à une entreprise qui avait maintenu active la boîte mail d’un collaborateur parti, lisait le courrier entrant et avait mis en place un transfert automatique vers un autre employé. L’employeur soutenait avoir besoin du compte pour se défendre en justice. Le Garante a rejeté cet argument sans détour : l’intérêt à défendre une prétention juridique ne peut pas l’emporter sur le droit d’une personne à la protection de ses données. L’autorité a aussi décrit l’alternative correcte, à savoir une réponse automatique qui oriente les expéditeurs vers d’autres adresses, sans lire le courrier entrant.

Belgique, 2026. L’Autorité de protection des données (APD) belge a infligé une amende d’environ 176 000 euros à une entreprise qui avait gardé active la boîte mail d’un ancien employé pendant environ six mois après son départ. La leçon clé : désactiver une boîte mail n’est pas la même chose que la supprimer. Tant que la boîte mail continue d’exister sur vos serveurs, vous traitez toujours les données personnelles de cette personne. Une courte période de transition (généralement un mois environ) peut se justifier, mais ensuite la boîte mail doit disparaître.

Pourquoi une adresse professionnelle est une donnée personnelle

Une adresse professionnelle nominative comme prenom.nom@votreentreprise.eu identifie une personne précise. Elle constitue donc une donnée personnelle de cet employé. Maintenir le compte actif après son départ, lire le courrier qui arrive ou le reprendre sans préavis sont autant de formes de traitement, et chacune nécessite une base légale et une transparence appropriée.

C’est le point que beaucoup d’entreprises négligent. Fermer un compte ressemble à une tâche d’intendance informatique, mais sous le RGPD, c’est une décision de traitement portant sur les données personnelles de quelqu’un.

Bonnes pratiques pour les comptes des employés qui partent

Sur la base de la décision norvégienne et d’affaires similaires, nous recommandons ce qui suit :

1. Mettez en place une politique de confidentialité du personnel

Assurez-vous d’avoir une politique de confidentialité du personnel qui couvre l’usage et l’accès aux comptes e-mail et autres comptes, afin que le personnel sache à l’avance comment ses comptes sont gérés.

2. Documentez votre processus interne

Mettez par écrit la façon dont votre entreprise gère les comptes et leur reprise lorsqu’un contrat prend fin. Un processus d’offboarding clair et reproductible est votre meilleure protection.

3. Ne reprenez jamais un compte e-mail professionnel sans préavis

Ne changez pas le mot de passe et ne reprenez pas un compte e-mail professionnel comme prenom.nom@votreentreprise.eu sans informer d’abord l’employé. Donnez-lui la possibilité de supprimer son contenu personnel.

4. Fermez le compte, et supprimez-le réellement

Fermez toujours un compte e-mail professionnel comme prenom.nom@votreentreprise.eu dès que l’employé est parti. Ne le gardez pas actif indéfiniment pour capter le courrier entrant. Souvenez-vous de la leçon belge : désactiver n’est pas supprimer. Après une courte période de transition (environ un mois), supprimez définitivement la boîte mail.

5. Utilisez une réponse automatique plutôt que de lire la boîte mail

Si vous avez besoin d’un délai pour rediriger les contacts, configurez une réponse automatique qui oriente les expéditeurs vers une adresse générique, sans ouvrir ni transférer le courrier entrant. C’est exactement l’approche que l’autorité italienne a décrite comme l’alternative conforme.

6. Ne faites pas dépendre vos fonctions des adresses professionnelles nominatives

Ne vous reposez pas uniquement sur des comptes e-mail professionnels nominatifs pour une quelconque fonction de l’entreprise. Mettez en place des adresses génériques comme sales@votreentreprise.eu ou info@votreentreprise.eu, et demandez aux clients de les utiliser. Vous pourrez ainsi fermer proprement un compte personnel au départ de quelqu’un, sans perdre la continuité.

Sources

Décision de l’autorité norvégienne (2021, 14 700 euros) : Virksomhet får gebyr for innsyn i tidligere ansatts e-postkasse
Décision du Garante italien (2023, 5 000 euros) : Company email: the employer’s right of defence in court cannot limit the worker’s right to data protection
Amende de l’APD belge (2026, env. 176 000 euros) : Belgium: unlawful mailbox retention leads to EUR 176,000 fine

auto_awesome Documentez votre processus d'offboarding

GDPRWise vous aide à mettre en place une politique de confidentialité du personnel et des processus internes clairs, pour gérer correctement les comptes des employés qui partent.

Lancez votre scan gratuit

Départ d'un employé : que faire de son compte e-mail ?