GPDP (Italie) 21 juillet 2022
L’autorité de contrôle italienne a sanctionné un employeur qui n’avait pas supprimé le compte de messagerie d’un ancien salarié.
Après son départ de l’entreprise, un salarié s’est rendu compte que son ancien employeur avait maintenu son adresse et le compte de messagerie professionnel actifs en redirigeant les communications entrantes vers des adresses électroniques attribuées à d’autres employés de la société.
L’autorité de contrôle italienne, saisie d’une plainte du salarié, a considéré, à l’issue de son enquête, que le fait de maintenir actif l’adresse de messagerie après le départ du salarié est contraire :
- Au principe de licéité, de loyauté et de transparence du traitement car cela permet à l’employeur « de reconstituer l’activité de son employé et d’effectuer un contrôle sur lui qui va au-delà des finalités pour lesquelles les données ont été traitées » ;
- Aux principes de minimisation et de limitation du stockage dès lors que :
- le traitement des données à des fins de « continuité de l’activité de la société » supposait de « préparer le système de gestion de documents » afin d’identifier ceux qui doivent être archivés, ce que, par nature, les systèmes de courrier électronique ne permettent pas de faire ;
- la société a activé le système de redirection automatique pendant une période considérable (près de 6 mois) sans indiquer les besoins concrets sous-jacents à cette décision ;
- A l’obligation de faire reposer un traitement sur une base légale, puisque, selon l’autorité : « après la fin de la relation de travail, [l’employeur] doit désactiver et supprimer le compte et adopter simultanément des systèmes automatiques visant à informer les tiers et à leur fournir des adresses alternatives ».
Compte tenu de tous ces manquements, l’autorité de contrôle a infligé à l’employeur une amende de 10 000 euros.