Dans de nombreuses collectivités, des agents transmettent les identifiants et mots de passe de session à leurs collègues en cas d’absence pour qu’ils puissent accéder à leur boite mail professionnelle. Cette habitude est une faille de sécurité puisque la confidentialité du mot de passe n’est plus préservée. De plus, d’un point de vue de l’historique des connexions, c’est le propriétaire de l’identifiant d’origine qui est enregistré comme ayant accès à sa session et non son ou sa collègue.
⚖️ Les tribunaux considèrent que tout message reçu ou envoyé depuis le poste de travail mis à disposition par l’employeur à par principe un caractère professionnel. Dans ce cas, l’employeur peut le consulter. Toutefois, si le message est clairement identifié comme étant personnel, par exemple, si l’objet du message précise clairement qu’il s’agit d’un message privé ou personnel, l’employeur ne doit pas en prendre connaissance. Il doit respecter le secret des correspondances.
Quelles sont les pistes pour mettre fin à cette pratique ?
➡️ Pendant l’absence de la personne
- Mettre en place un message d’absence qui permettra à votre expéditeur de savoir que vous n’êtes pas disponible et qu’il peut par conséquent contacter une autre adresse mail pour sa demande.
- Mettre en place une redirection automatique vers une autre adresse mail. Ainsi tous les messages seront transmis de manière automatique à une tierce personne.
- Déléguer la gestion de sa boite mail à un tiers avec des niveaux de droit adaptés (droit de lecture, droit de modification).
➡️ Sur le long terme
Plusieurs pistes sont possibles, comme par exemple l’utilisation de 2 boites mails dissociées :
- Une boite mail professionnelle personnelle (ex : j.dupont@mamairie.fr) qui permet de recevoir des messages qui concernent exclusivement la personne (ex : ma fiche d’entretien individuelle). Cette messagerie pourra être supprimée au départ de l’agent sans que cela impacte la continuité du service auquel appartient l’agent (ex : historique de la demande d’un administré).
- Une boite mail professionnelle partagée et rattachée à un service (ex : urbanisme@mamairie.fr). Cette boite mail est utilisée par plusieurs personnes à la fois et les modifications de chacun impacte la messagerie (il faut donc définir un mode d’emploi). Elle permet ainsi de conserver des éléments essentiels de la vie du service et son historique sera conservé même en cas de départ d’un membre du service.
Vous pouvez également mettre en place une liste de diffusion (ex : toutleservicefinance@mamairie.fr) qui permet de transmettre de manière automatique à plusieurs adresses mails les messages. Cette méthode a pour inconvénient la perte de l’information en cas de départ d’un agent. Là aussi, il faut une coordination entre les utilisateurs pour définir une méthodologie d’utilisation, notamment car les
réponses ne sont pas associées à la liste de diffusion.
Enfin, vous pouvez vous orienter vers un CRM (outil de gestion de la relation client) qui sera relié à votre adresse mail professionnelle rattachée à un service (ex : urbanisme@mamairie.fr) et qui permettra dans un outil dédié de traiter de manière collégiale une demande.
Dans tous les cas, nous vous invitons à définir les pratiques de votre organisation en termes de messagerie électronique dans la charte informatique pour une question de transparence, d’efficacité et de responsabilité.
Utilisation d’une boite mail unique par plusieurs personnes
Même si nous déconseillons cette pratique et encourageons la création d’une boite mail individuelle (ex : j.dupont@mamairie.fr) adossée à une boite mail partagée de service (ex : urbanisme@mamairie.fr), il est parfois possible d’utiliser une boite mail par plusieurs personnes (ex : mediatheque@mamairie.fr).
Cette solution peut être envisagée si l’utilisation de cette boite mail n’implique pas la transmission de données avec des risques importants pour la vie privée des personnes. Par exemple, nous déconseillons fortement l’usage d’une boite mail par plusieurs personnes lorsque des données de santé peuvent être échangées.
De plus, si vous mettez en place cette pratique, nous vous recommandons de l’accompagner de plusieurs mesures :
- Sensibiliser les utilisateurs aux règles liées au RGPD (le SICTIAM propose un Mooc gratuit sur ce sujet : https://mooc.sictiam.fr/) ;
- Encadrer l’utilisation de cette boite mail par une charte informatique ;
- Lister les personnes qui ont accès à cette messagerie ;
- Pour limiter les risques de défaut de confidentialité, modifier le mot de passe au minimum 1 fois par an.
Durée de conservation des mails
D’un point de vue du RGPD il faut définir une durée de conservation limitée. Cela signifie que concrètement on ne peut pas garder des échanges de courriers électroniques à vie.
Et comment gérer la boite mail d’un agent qui quitte la collectivité ?
Voici nos conseils concernant l’encadrement d’une boite mail d’un agent en cas de départ de l’agent de la collectivité :
- Ajouter dans votre charte informatique le processus de gestion de la messagerie au départ de l’agent.
- À notre connaissance, il n’y a pas de règles spécifiques sur ce sujet (loi ou décret).
- Cependant la CNIL préconise « Une fois que l’employé a quitté l’organisme, l’employeur doit supprimer son adresse électronique nominative. ». Donc normalement, le jour du départ de l’agent la boite ne doit plus être accessible. Néanmoins, nous avons lu plusieurs modèles de charte informatique qui proposaient de la laisser accessible pour son propriétaire pendant 1 mois maximum. Attention, les tribunaux considèrent que tout message reçu ou envoyé depuis le poste de travail mis à disposition par l’employeur a par principe un caractère professionnel. Dans ce cas, l’employeur peut le consulter. Toutefois, si le message est clairement identifié comme étant personnel, par exemple, si l’objet du message précise clairement qu’il s’agit d’un message privé ou personnel, l’employeur ne doit pas en prendre connaissance. Il doit respecter le secret des correspondances.
- Néanmoins, nous vous conseillons pour éviter tout litige ultérieur de demander l’autorisation de la personne si vous souhaitez accéder à sa messagerie après son départ.
Parmi les chartes informatiques que nous avons pu lire, voici un exemple de mentions qui est pertinent et peut servir de modèle :
“Dès qu’il a connaissance de la date exacte de son départ, l’agent a l’obligation d’en avertir l’administrateur réseau et son supérieur hiérarchique afin de programmer la fermeture de son compte utilisateur. Avant cette échéance, l’agent doit s’assurer de vider sa messagerie en supprimant tout message à caractère personnel (d’ordre privé) et transférer à son supérieur hiérarchique l’ensemble des mails professionnels nécessaires à la continuité du service.A défaut, l’agent est avisé que l’administrateur réseau et/ou son supérieur hiérarchique sont habilités à accéder à sa boite afin d’assurer le transfert uniquement des messages professionnels qui apparaissent pertinents pour assurer la continuité du service. A compter de la date du départ de l’agent, l’administrateur assurera : Le blocage ou la suppression de l’adresse électronique nominative de l’agent. L’insertion d’un message électronique avertissant tout correspondant du fait que l’agent a quitté ses fonctions avec un renvoi vers de nouvelles coordonnées. Ce message doit rester en place pendant une période de temps raisonnable (maximum 2 mois).”
