Les employeurs publics et privés qui utilisent des programmes également fournis en mode cloud pour la gestion des e-mails disposent désormais de nouvelles informations utiles pour empêcher le traitement des données en conflit avec la réglementation sur la protection des données et les règles qui protègent la liberté et la dignité des travailleurs. Le Garant de la protection des données personnelles a en effet adopté un document d’orientation sur la conservation des données relatives aux emails des entreprises intitulé « Programmes et services informatiques de gestion des emails dans le cadre du travail et traitement des métadonnées » destiné aux employeurs publics et privés.
Le document est né à la suite d’enquêtes menées par l’Autorité, dont il est ressorti que certains programmes et services informatiques de gestion de courrier électronique, commercialisés par des fournisseurs également en mode cloud, sont configurés de manière à collecter et stocker – par défaut, de manière préventive et généralisée – métadonnées relatives à l’utilisation des comptes de messagerie des employés (par exemple, jour, heure, expéditeur, destinataire, objet et taille de l’e-mail). Dans certains cas, il a également été constaté que les systèmes ne permettent pas aux employeurs de désactiver la collecte systématique de données et de raccourcir la période de conservation.
Avec le documentou illustré par la Newsletter du 6 février, le Garant demande donc aux employeurs de vérifier que les programmes et services informatiques de gestion du courrier électronique utilisés par les salariés (notamment dans le cas de produits marchands fournis dans le cloud ou en as-a-service) permettent de modifier les paramètres de base, empêchant la collecte des métadonnées ou limitant leur durée de conservation à un maximum de 7 jours, extensible, en présence de besoins avérés, de 48 heures supplémentaires. Délai jugé adéquat, d’un point de vue purement technique, pour assurer le fonctionnement régulier de la messagerie électronique utilisée par le travailleur.
Les employeurs qui, pour des besoins d’organisation et de production ou pour la protection des actifs informationnels du propriétaire (notamment, par exemple, pour des besoins spécifiques de sécurité du système) doivent traiter des métadonnées pendant une période plus longue, devront effectuer les procédures de garantie prévues prévu par le Statut des Travailleurs (accord syndical ou autorisation de l’inspection du travail). La prolongation de la durée de conservation au-delà du délai fixé par le Garant peut en effet conduire à un contrôle indirect à distance de l’activité du travailleur.