🚨Le casse-tête pour la gestion des boîtes mail des ex-salariés 🚨
🚨 Alerte : Un nouveau casse-tête pour la gestion des boîtes mail des ex-salariés 🚨
La Cour de Cassation vient de frapper fort avec son arrêt du 18 juin 2025 : les e-mails professionnels sont désormais considérés comme des données personnelles au sens du RGPD. 🤯
Fini le temps où on pouvait simplement supprimer son compte M365 !?
Droit d'accès pour l'ex-salarié : Un ancien employé peut désormais demander l'accès à ses e-mails professionnels pour récupérer ses données personnelles (et on a 1 mois pour répondre !).
L'entreprise ne respectant pas ce droit d'accès peut être sanctionnée par la CNIL et subir des dommages et intérêts. La conformité n'est plus une option, c'est une obligation critique !
Alors, comment on s'organise pour gérer ça proprement dans notre environnement Microsoft 365 ?
1. Dès le départ, on bloque l'accès de l'utilisateur à M365. Le compte utilisateur reste actif, mais sécurisé.
2. STOP à la redirection automatique ! C'est une violation de la vie privée et c'est formellement déconseillé.
3. On met en place une réponse automatique (auto-reply) claire sur la boîte, indiquant le départ de la personne et un contact alternatif pour les demandes urgentes. Cela évite aussi les désagréables NDR "Utilisateur inconnu" pour vos clients. Ça, c'est conforme et pro.
4. Appliquer une règle de rétention via Microsoft Purview
5. Une fois la politique de rétention appliquée via Microsoft Purview, on peut supprimer le compte : la boîte devient alors une boîte aux lettres inactive, libérant la licence tout en restant consultable via eDiscovery, sans coût supplémentaire de licence pour le stockage. C'est idéal pour la conformité et le budget.
Conversion en Boîte aux lettres partagée ? C'est souvent la solution par défaut, mais elle conserve l'identité de l'ex-salarié, et peut permettre l’envoi en son nom si mal configurée. Ce n’est donc ni souhaitable ni conforme
Export PST ? Devrait être réservé au collaborateur AVANT son départ, ce qui évitera ses demandes de consultations futures. (mais pas toujours simple pour l'utilisateur)
En résumé :
La gestion des boîtes post-départ est désormais un enjeu clé qui combine sécurité juridique et optimisation IT. En tant qu'admins M365, notre rôle est crucial pour mettre en place les bonnes pratiques et les bons outils.
L'off-boarding concernant les data du collaborateur est aussi à planifier AVANT son départ !
Arrêt du 18 juin 2025 Pourvoi n° 23-19.022 -->Cour de Cassation