← Tous les articles

consultant

Boîte mail ex-salarié: 176 000 € et un intérêt légitime bref

APD (décision 101/2026): garder active la messagerie d’un ex-salarié plus d’un an est illicite. L’intérêt légitime ne couvre qu’une redirection très courte (≈ 1 mois), avec transparence, LIA et procédures d’offboarding.

Par Expertise Luxgap 23/06/2026

Extrait — Le 12 mai 2026, l’APD belge a infligé 176 000 € (décision 101/2026) pour avoir maintenu active plus d’un an la messagerie d’une ex‑collaboratrice. Enseignement: l’intérêt légitime peut justifier une redirection très courte, pas une conservation prolongée. Voir le communiqué “La Chambre Contentieuse inflige 3 amendes” et la décision complète: décision 101/2026 (PDF) et communiqué officiel.

L’affaire

La Chambre Contentieuse de l’Autorité de protection des données (APD/GBA) a sanctionné une grande entreprise technologique belge pour non‑fermeture conforme de la boîte mail d’une ex‑collaboratrice. L’autorité relève: traitement illicite au‑delà d’un bref délai post‑départ, défaut de transparence, absence de mesures organisationnelles garantissant l’effacement à temps et non‑respect du droit d’accès. Montant: un peu plus de 160 000 € pour l’illicéité + ~16 000 € pour le défaut de transparence, assorti d’injonctions (décision 101/2026, APD). Synthèse officielle et texte intégral.

Point clé: l’intérêt légitime (article 6(1)(f) RGPD) peut justifier la redirection des messages pendant « environ un mois » pour la continuité des opérations, mais pas le maintien actif plus d’un an: la finalité et la nécessité s’évanouissent avec le temps. Source: APD.

Le raisonnement juridique

  • Base légale RGPD. Le maintien temporaire d’une boîte nominative peut, à court terme, reposer sur l’article 6(1)(f) RGPD (intérêt légitime) sous réserve du triple test: intérêt réel et actuel, nécessité, mise en balance favorable. Passé un court délai, la nécessité fait défaut et la base légale tombe; poursuivre le traitement devient illicite (articles 5(1)(a) et 6(1) RGPD). Décision 101/2026.
  • Limitation des finalités, minimisation et durée. Le maintien prolongé viole aussi les principes de limitation de la conservation (art. 5(1)(e)) et de minimisation (art. 5(1)(c)). La CNPD rappelle qu’on ne peut « conserver au cas où »; il faut définir une durée nécessaire et documentée, fondée sur une base valide (souvent 6(1)(f), après test de mise en balance). CNPD — limitation de conservation.
  • Transparence et droits. L’APD sanctionne aussi le défaut d’information (art. 12–13) et le non‑respect du droit d’accès (art. 15). La CNIL recommande: prévenir le salarié, mettre un message d’absence, désactiver l’accès nominatif et organiser une redirection limitée dans le temps. CNIL — précautions de fermeture et droit d’accès aux courriels.
  • Cadre européen sur l’intérêt légitime. Le CEPD a publié un “One‑Stop‑Shop case digest” (26/03/2026) sur l’article 6(1)(f), confirmant le triple test et l’exigence de documentation (LIA), avec de nombreux cas où la durée/nécessité fait défaut. Le consentement, en contexte d’emploi, est rarement « libre » (Lignes directrices 05/2020). EDPB — Case digest 6(1)(f) et EDPB — Consentement 05/2020.

Ce que ça change concrètement (Luxembourg, BE/FR/DE)

  • Comptes nominatifs départs/entrées. Message d’absence + redirection vers une adresse générique ou le remplaçant pendant une très courte période (ex. ≤ 1 mois) fondée sur l’intérêt légitime. Passé ce délai, fermer/supprimer la boîte; sinon, traitement illicite. Position APD (12 mai 2026).
  • Documentation attendue. Base légale et durées documentées au regard du RGPD (art. 30), LIA à jour pour 6(1)(f), information claire (art. 13) décrivant le sort de l’adresse au départ. Les lignes CNPD proscrivent le « au cas où ». Réf. CNPD. Pour structurer et tenir ces obligations, un mandat DPO certifié peut piloter registre, LIA et procédures.
  • Droits des personnes. Prévoir un canal pour l’accès (art. 15), avec tri/masquage pour protéger secrets d’affaires et données de tiers. Méthode CNIL.
  • RH/IT — offboarding. Intégrer: (1) message d’absence standardisé; (2) redirection limitée; (3) tri/archivage sélectif des pièces dans les systèmes métiers; (4) fermeture technique; (5) purge selon la politique d’archivage.

Un « decision tree » opérationnel (article 6 RGPD)

  1. Finalité post‑départ
    — Continuité de service immédiate: intérêt légitime possible si nécessaire et transitoire; LIA écrite; message d’absence; pas d’accès au contenu hors strict nécessaire. EDPB.
    — Autres objectifs (prospection, veille, preuves futures génériques): non, finalité nouvelle → base spécifique requise; l’intérêt légitime échoue au test de nécessité/proportionnalité. APD 101/2026.
  2. Durée strictement nécessaire
    — Oui, court laps de temps (précisé et consigné) → ok si LIA + info.
    — Non, au‑delà d’un mois environ, fermer/supprimer; si besoin probatoire précis, extraire la pièce pertinente vers un système d’archives avec base et durée dédiées. CNPD proscrit le « au cas où ». CNPD.
  3. Consentement en alternative ?
    En emploi, consentement rarement « libre »; évitez de fonder la redirection/accès sur le consentement; préférez 6(1)(f) borné et documenté. EDPB 05/2020.
  4. Transparence et droits
    Informer ex ante (note RH/charte IT) du sort de l’adresse; gérer les demandes d’accès avec tri/masquage. CNIL.

Pièges fréquents observés en audit

  • Redirection sans fin: pas de date butoir → violation art. 5(1)(e) et 6(1). L’affaire APD 101/2026 sanctionne ce glissement. Décision.
  • Confondre « archives dossier » et messagerie personnelle: extraire les pièces pertinentes vers les systèmes métiers/archives avec durées définies; la boîte nominative n’est pas un coffre d’archives. CNPD.
  • Consentement RH illusoire: en emploi, présumé non libre; ne « sauve » pas un maintien disproportionné. CEPD 05/2020.
  • Oublier information et droit d’accès: message d’absence, notice interne RH/IT, modalités d’exercice des droits avec tri/masquage. CNIL.
  • Absence de LIA: le digest OSS 2026 du CEPD souligne que l’absence de test documenté de mise en balance fait chuter 6(1)(f). EDPB.

Sources officielles

Besoin de cadrer vos procédures d’offboarding et votre LIA messagerie au Luxembourg ? Échangeons: contactez‑nous.

Article d'expertise Luxgap. Pour un cadrage personnalise sur ce sujet, contactez-nous ou configurez votre devis en ligne.

expertise reglementaire rgpd apd-gba interet-legitime messagerie-professionnelle
NEWSLETTER LUXGAP

Recevez nos analyses des qu'elles sortent.

Articles d'expertise RGPD, NIS 2, IA, et invitations aux webinaires + formations gratuites Luxgap. 1 a 2 emails par semaine maximum, desabonnement en un clic.

Vos données ne sont jamais partagées. Conformité RGPD garantie (logique : on est DPO).

Une question sur ce sujet ?

Notre équipe répond généralement sous 24 h ouvrées. Configurez votre devis ou écrivez-nous.

Configurer mon devis →