Amende 176k€ : boîte mail salariée conservée illégalement

Une grande entreprise technologique belge a reçu une amende totale de 176 000 euros de la part de l'Autorité de protection des données belge (APD) pour ne pas avoir supprimé en temps voulu la boîte mail d'une ancienne salariée. L'APD a annoncé la décision le 12 mai 2026, selon Security.NL. Le nom de l'entreprise n'a pas été rendu public.

Que s'est-il passé ?

Selon Security.NL, l'ancienne salariée a découvert que son ancienne boîte mail professionnelle était toujours active après son départ de l'entreprise. Elle a demandé à l'entreprise de lui donner accès à cette boîte et de la supprimer. Malgré sa demande, l'entreprise n'aurait apparemment pas agi de manière appropriée.

L'APD a constaté que l'entreprise avait maintenu la boîte mail active pendant au moins un an après le départ de la salariée, ce que l'autorité a considéré comme illicite. L'entreprise aurait fait valoir que la conservation de la boîte mail était justifiée par le rôle de l'ancienne salariée, mais l'APD n'a pas accepté cet argument comme fondement suffisant pour maintenir la boîte active pendant une aussi longue période.

Selon Security.NL, l'APD a identifié plusieurs violations :

• L'entreprise a traité de manière illicite les données personnelles de l'ancienne salariée en maintenant sa boîte mail active
• La salariée et ses contacts n'ont pas été informés que leurs données étaient toujours en cours de traitement, ce qui a enfreint l'obligation de transparence de l'entreprise
• L'entreprise n'a pas mis en place les mesures techniques et organisationnelles nécessaires pour garantir la suppression de la boîte mail
• L'entreprise n'a pas respecté le droit d'accès de l'ancienne salariée à ses propres données

L'amende se décompose en deux parties : 160 000 euros pour le traitement illicite des données et 16 000 euros pour le non-respect de l'obligation de transparence, pour un total de 176 000 euros.

Pourquoi est-ce important ?

Cette affaire rappelle que les règles de protection des données ne s'appliquent pas uniquement aux données des clients. Elles couvrent également les données personnelles de vos propres salariés et anciens salariés. Lorsqu'une personne quitte votre entreprise, ses données ne vous appartiennent pas automatiquement pour une durée indéfinie.

Bien que cette décision émane de l'autorité belge, les mêmes principes s'appliquent en France sous le RGPD et la Loi Informatique et Libertés. La CNIL, autorité française de protection des données, veille à l'application de ces règles et dispose de pouvoirs de sanction similaires.

Si vous n'êtes pas certain que votre entreprise gère correctement les données de ses salariés, notre liste de contrôle de conformité au RGPD est un bon point de départ. Vous pouvez également en savoir plus sur la manière dont les amendes sont appliquées aux petites entreprises dans notre guide sur les amendes RGPD.

Qu'est-ce que cela signifie pour votre site web ?

Bien que cette affaire concerne un système de messagerie interne plutôt qu'un site web, les règles sous-jacentes s'appliquent à toutes les données personnelles que votre entreprise détient. Si votre site web collecte des coordonnées, des informations de réservation ou des données relatives au personnel, vous devez définir une politique claire sur la durée de conservation de ces données et sur la manière de les supprimer lorsqu'elles ne sont plus nécessaires. Votre politique de confidentialité doit refléter cela honnêtement, afin que les personnes concernées sachent ce qu'il advient de leurs informations.