Anciennes adresses e-mail et RGPD : position du GBA

ADRESSES E-MAIL D’ANCIENS COLLABORATEURS: QUE DIT LE GBA ?

20 janvier 2026

#RGDP

Adresses e-mail d'anciens collaborateurs: que dit le GBA ? Discussion et recommandations suite à la première décision de la GBA (l'autorité de protection des données) de 2026: 01/2026 (6 janvier 2026) (https://www.gegevensbeschermingsautoriteit.be/publications/beslissing-ten-gronde-nr.-1-2026.pdf )

Les faits en bref

Après une acquisition, deux adresses e-mail professionnelles (prénom.nom@…) d'un ancien employé sont restées actives pendant plus de deux ans. Les e-mails entrants étaient techniquement redirigés vers une corbeille virtuelle (suppression automatique). Selon l'acquéreur, il n'y avait donc plus de traitement de données à caractère personnel.

L'Autorité de protection des données (APD) n'a pas suivi ce raisonnement.

Pourquoi s'agit-il d'une violation du RGPD ?

La GBA rappelle quelques principes fondamentaux:

Une adresse e-mail personnalisée est en soi une donnée à caractère personnel.
Le fait de la conserver constitue un traitement, même si les e-mails ne sont pas lus.
Les métadonnées et les journaux de messagerie (tels que les expéditeurs) sont également des données à caractère personnel.
Une mesure technique telle que la suppression automatique ne supprime pas le traitement.

Les employeurs doivent bloquer la boîte mail de l'employé qui quitte l'entreprise au plus tard le jour de son départ effectif et ne peuvent conserver les adresses e-mail après le départ que de manière très temporaire, généralement pendant un mois maximum, exceptionnellement jusqu'à trois mois, et uniquement pour un message d'absence automatique.

Conséquences de l'infraction

L'entreprise a reçu un avertissement et s'est vu ordonner :

de cesser le traitement,
de donner accès aux données encore disponibles,
et de supprimer définitivement toutes les données à caractère personnel.

Recommandation

Pour les entrepreneurs et les conseillers, le message est clair : la gestion des e-mails après une sortie n'est pas un détail informatique, mais une obligation au titre du RGPD. Lors de rachats et de sorties, il convient de préciser explicitement quand et comment les adresses e-mail seront fermées. Les solutions techniques ne constituent pas une garantie juridique.

Comment procéder correctement ? (cadre pratique)

La GBA accepte que les adresses e-mail des collaborateurs qui quittent l'entreprise restent actives pendant une période très limitée, sous réserve de conditions strictes:

Blocage de l'adresse e-mail à la fin du contrat de travail, au plus tard le jour de son départ effectif.
Durée limitée: en principe 1 mois maximum, exceptionnellement jusqu'à 3 mois.
Réponse automatique uniquement: une réponse automatique indiquant de manière neutre que la personne n'est plus en service et renvoyant vers un point de contact général.
Pas d'accès aux e-mails: pas de transfert, pas d'accès pour les collègues, pas de surveillance du contenu.
Date de fin claire: à l'expiration, l'adresse e-mail, la boîte mail et les éventuels journaux sont définitivement supprimés.
Documentation: cette procédure doit être définie à l'avance (politique informatique, procédure de départ des RH) et, de préférence, être soutenue par un contrat. Cela s'inscrit dans le principe de responsabilité (la GBA estime qu'il est très important que vous puissiez démontrer pourquoi vous faites ou ne faites pas quelque chose). Si vous documentez bien cela et montrez que vous y avez réfléchi, la GBA l'appréciera.

Les solutions techniques sont autorisées, mais uniquement si elles empêchent réellement le traitement des données à caractère personnel. Une mesure qui limite uniquement la visibilité ne suffit pas.

Alerte M&A: un risque post-clôture souvent oublié

Lors des acquisitions et des restructurations, la gestion des e-mails des actionnaires, administrateurs et personnalités clés sortants passe souvent inaperçue. Traitez cette question immédiatement et documentez-la afin d'être en règle!

Si vous avez des questions, contactez [email protected] .

Joost PEETERS est avocat et DPD (délégué à la protection des données).

Sources :

Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ;
GBA 01/2026 du 6 janvier 2026, https://www.gegevensbeschermingsautoriteit.be/publications/beslissing-ten-gronde-nr.-1-2026.pdf ;
GBA 64/2020 du 29 septembre 2020, https://www.gegevensbeschermingsautoriteit.be/publications/beslissing-ten-gronde-nr.-64-2020.pdf ;
GBA 133/2021 du 2 décembre 2021, https://www.gegevensbeschermingsautoriteit.be/publications/beslissing-ten-gronde-nr.-133-2021.pdf ;
GBA 138/2024 du 19 novembre 2024, https://dataprotectionauthority.be/publications/waarschuwing-nr.-138-2024.pdf ;
GBA 97/2024 du 16 juillet 2024, https://gegevensbeschermingsautoriteit.be/publications/beslissing-ten-gronde-nr.-97-2024.pdf ;
GBA 71/2024 du 6 mai 2024, https://www.autoriteprotectiondonnees.be/publications/avertissement-n-71-2024.pdf ;
GBA 01/2024 du 5 janvier 2024, https://www.gegevensbeschermingsautoriteit.be/publications/bevel-nr.-01-2024.pdf .