STUDIO GDPR Archives - STUDIO LEGALE
Catégorie : STUDIO GDPR
ADRESSES E-MAIL D’ANCIENS COLLABORATEURS: QUE DIT LE GBA ?

Adresses e-mail d’anciens collaborateurs: que dit le GBA ? Discussion et recommandations suite à la première décision de la GBA (l’autorité de protection des données) de 2026: 01/2026 (6 janvier 2026) (https://www.gegevensbeschermingsautoriteit.be/publications/beslissing-ten-gronde-nr.-1-2026.pdf )

Les faits en bref

Après une acquisition, deux adresses e-mail professionnelles (prénom.nom@…) d’un ancien employé sont restées actives pendant plus de deux ans. Les e-mails entrants étaient techniquement redirigés vers une corbeille virtuelle (suppression automatique). Selon l’acquéreur, il n’y avait donc plus de traitement de données à caractère personnel.

L’Autorité de protection des données (APD) n’a pas suivi ce raisonnement.

Pourquoi s’agit-il d’une violation du RGPD ?

La GBA rappelle quelques principes fondamentaux:

  • Une adresse e-mail personnalisée est en soi une donnée à caractère personnel.
  • Le fait de la conserver constitue un traitement, même si les e-mails ne sont pas lus.
  • Les métadonnées et les journaux de messagerie (tels que les expéditeurs) sont également des données à caractère personnel.
  • Une mesure technique telle que la suppression automatique ne supprime pas le traitement.

Les employeurs doivent bloquer la boîte mail de l’employé qui quitte l’entreprise au plus tard le jour de son départ effectif et ne peuvent conserver les adresses e-mail après le départ que de manière très temporaire, généralement pendant un mois maximum, exceptionnellement jusqu’à trois mois, et uniquement pour un message d’absence automatique.

Conséquences de l’infraction

L’entreprise a reçu un avertissement et s’est vu ordonner :

  • de cesser le traitement,
  • de donner accès aux données encore disponibles,
  • et de supprimer définitivement toutes les données à caractère personnel.

Recommandation

Pour les entrepreneurs et les conseillers, le message est clair : la gestion des e-mails après une sortie n’est pas un détail informatique, mais une obligation au titre du RGPD. Lors de rachats et de sorties, il convient de préciser explicitement quand et comment les adresses e-mail seront fermées. Les solutions techniques ne constituent pas une garantie juridique.

Comment procéder correctement ? (cadre pratique)

La GBA accepte que les adresses e-mail des collaborateurs qui quittent l’entreprise restent actives pendant une période très limitée, sous réserve de conditions strictes:

  • Blocage de l’adresse e-mail à la fin du contrat de travail, au plus tard le jour de son départ effectif.
  • Durée limitée: en principe 1 mois maximum, exceptionnellement jusqu’à 3 mois.
  • Réponse automatique uniquement: une réponse automatique indiquant de manière neutre que la personne n’est plus en service et renvoyant vers un point de contact général.
  • Pas d’accès aux e-mails: pas de transfert, pas d’accès pour les collègues, pas de surveillance du contenu.
  • Date de fin claire: à l’expiration, l’adresse e-mail, la boîte mail et les éventuels journaux sont définitivement supprimés.
  • Documentation: cette procédure doit être définie à l’avance (politique informatique, procédure de départ des RH) et, de préférence, être soutenue par un contrat. Cela s’inscrit dans le principe de responsabilité (la GBA estime qu’il est très important que vous puissiez démontrer pourquoi vous faites ou ne faites pas quelque chose). Si vous documentez bien cela et montrez que vous y avez réfléchi, la GBA l’appréciera.

Les solutions techniques sont autorisées, mais uniquement si elles empêchent réellement le traitement des données à caractère personnel. Une mesure qui limite uniquement la visibilité ne suffit pas.

Alerte M&A: un risque post-clôture souvent oublié

Lors des acquisitions et des restructurations, la gestion des e-mails des actionnaires, administrateurs et personnalités clés sortants passe souvent inaperçue. Traitez cette question immédiatement et documentez-la afin d’être en règle!

Si vous avez des questions, contactez [email protected] .

Joost PEETERS est avocat et DPD (délégué à la protection des données).

Sources :

CONFLITS D’INTÉRÊTS AU SEIN DU CONSEIL D’ADMINISTRATION D’UNE SOCIÉTÉ

Le juge civil n’échappe pas non plus à l’application du RGPD

Dans son arrêt du 2 mars 2023, la Cour de justice a clarifié que le Règlement général sur la protection des données (RGPD) s’applique également aux procédures civiles. Cela signifie que les juges nationaux doivent tenir compte des dispositions du RGPD lorsqu’ils examinent des demandes visant à produire des preuves contenant des données personnelles. Dans quelle mesure le RGPD peut-il être invoqué comme argument pour exclure certains éléments de preuve défavorables de la procédure ?

Les faits

Un maître d’ouvrage suédois d’un immeuble de bureaux contestait les heures facturées par l’entrepreneur pour son personnel, affirmant que les heures réellement travaillées étaient bien inférieures à celles facturées. Pour étayer cette affirmation, le maître d’ouvrage a demandé au juge, dans le cadre de la procédure, de transmettre le registre du personnel de l’entrepreneur. Ce que l’entrepreneur a refusé, invoquant les dispositions du RGPD. La Cour suprême de Suède a alors soumis deux questions préjudicielles à la Cour de justice.

Évaluation de la Cour 

La Cour a constaté que le traitement des données personnelles par le pouvoir judiciaire relève du champ d’application matériel du RGPD. L’obligation de produire des preuves contenant des données personnelles peut donc être considérée comme un traitement au sens du RGPD.

Conformément à l’article 6 du RGPD, tout traitement de données personnelles doit reposer sur une base légale, qui peut, selon la Cour, être une disposition du droit procédural national. L’une de ces bases légales est que le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou à l’exercice de l’autorité publique confiée au responsable du traitement. Selon la Cour, le pouvoir judiciaire peut donc être qualifié à juste titre de « mission d’intérêt public » et est habilité, dans certaines circonstances, à traiter des données personnelles sans le consentement préalable des personnes concernées.

Le juge national devra, au cas par cas, déterminer s’il est opportun que certains documents contenant des données personnelles soient communiqués. Il devra effectuer une mise en balance des intérêts entre, d’une part, la protection des données personnelles et, d’autre part, le droit d’une partie à accéder aux preuves pour étayer ses prétentions.

Le principe de proportionnalité et celui de minimisation des données doivent guider le juge dans cette mise en balance. Si d’autres preuves moins intrusives pour la vie privée peuvent être fournies ou si certains noms peuvent être anonymisés tout en atteignant l’objectif visé, cette option doit être privilégiée. Le juge est tenu, dans la mesure du possible, d’utiliser des moyens moins intrusifs, tels que :

  • La présentation de preuves alternatives contenant moins de données personnelles ;
  • L’anonymisation des personnes concernées ;
  • La limitation de l’accès à certaines données personnelles au public.

Conclusion

Depuis l’entrée en vigueur du nouveau droit de la preuve en Belgique le 1er novembre 2020, les parties sont légalement tenues de collaborer à l’administration de la preuve. Cela peut engendrer des complications dans des situations où des données personnelles sont demandées. Toutefois, le RGPD oblige les juges à faire preuve de retenue, ce qui soulève la question de savoir si la recherche de la vérité est limitée par le RGPD. Le juge doit gérer ce conflit avec soin et rechercher en permanence une solution équilibrée.

Avec cet arrêt, la Cour de justice souligne que le RGPD ne peut pas être ignoré, même dans les procédures civiles. Bien que le droit à la protection des données personnelles doive être garanti, cela ne doit pas automatiquement conduire à l’exclusion de preuves contenant des données personnelles. Cela pourrait inutilement entraver la recherche de la vérité. Le juge doit toujours examiner si des mesures moins intrusives sont possibles, telles que des témoignages, l’anonymisation des données personnelles ou la restriction de l’accès public à certaines informations.

En tant qu’avocats, nous sommes critiques à l’égard de l’utilisation du RGPD comme argument ou excuse pour dissimuler des preuves accablantes. La transparence et une procédure équitable exigent que tous les faits pertinents soient pris en considération. Le refus de fournir des preuves ne devrait donc être acceptable que dans des situations exceptionnelles. Notre préférence va à la transparence et à la recherche de la vérité, tout en respectant, dans la mesure du possible, la protection de la vie privée.

Si vous avez des questions après avoir lu cet article, n’hésitez pas à nous contacter via [email protected] ou au 03 216 70 70.

Sources juridiques :

  • Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ;
  • CJUE, 2 mars 2023, C-268/21,
  • B. ALLEMEERSCH, « Les juges qui ordonnent la production de documents doivent respecter le RGPD », RW 2022-23, n° 36, 6 mai 2023.
Hoofdwebsite Contact
rendez-vous upload






      GDPR proof area
      Téléchargez vos documents





      glissez vos documents jusqu’ici ou choisissez un fichier


      glissez vos documents jusqu’ici ou choisissez un fichier











        Benelux (€... )EU (€... )International (prix sur demande)

        En soumettant la demande, vous acceptez expressément nos conditions générales et confirmez que vous avez lu attentivement notre déclaration de confidentialité. L’envoi de cette demande fera office de confirmation de commande.
        error: Helaas, deze content is beschermd!