40 000 € d'amende en Italie : accéder à la boîte mail d'un salarié licencié, c'est illégal

24/6/26
👈 les autres actualités

Le Garante italien a sanctionné une entreprise de 40 000 euros pour avoir continué à consulter les emails professionnels d'un employé licencié, sans l'en informer et en refusant ensuite son droit d'accès. Un signal clair pour les DPO qui gèrent la fin de contrat de leurs collaborateurs.

Ce qui s'est passé

Dans une décision rendue le 18 décembre 2025, le Garante per la protezione dei dati personali (l'autorité italienne de protection des données) a infligé une amende de 40 000 euros à la société LTL S.p.A.

Les faits sont limpides : après le licenciement d'un salarié, l'entreprise a continué à accéder à sa boîte mail professionnelle. L'employé, ayant découvert cette pratique, a exercé son droit d'accès auprès de son ex-employeur pour obtenir les informations collectées sur lui — et s'est heurté à un refus.

Le Garante a identifié trois manquements cumulatifs :

  • Article 5 RGPD (principes du traitement) : le traitement ne reposait plus sur aucune base légale valide après la rupture du contrat de travail
  • Article 12 RGPD (transparence) : l'ex-salarié n'a jamais été informé que ses emails continuaient d'être consultés
  • Article 15 RGPD (droit d'accès) : l'entreprise a refusé de répondre à sa demande, en violation directe de ses obligations

Pourquoi c'est important

Cette décision soulève une question que de nombreuses entreprises gèrent mal : que fait-on des données d'un salarié après son départ ?

La tentation est forte de maintenir un accès aux boîtes mail des anciens employés — pour assurer la continuité du service, récupérer des informations métier, voire sécuriser des éléments en cas de litige. Mais le RGPD n'y est pas favorable. Dès la fin du contrat de travail, la base légale qui justifiait le traitement (l'exécution du contrat) s'effondre. L'entreprise doit soit désactiver le compte, soit démontrer qu'un autre fondement juridique légitime son maintien — avec information préalable du salarié.

La Cour de cassation française a récemment confirmé que les emails des salariés constituent des données personnelles à part entière, soumis à toutes les garanties du RGPD. Notre article de veille sur cette décision détaille les implications pratiques pour les employeurs.

Le volet droit d'accès est tout aussi révélateur. Refuser la demande d'un ex-salarié, c'est violer l'article 15 RGPD — et ce, même si la personne n'est plus dans l'entreprise. La qualité d'ancien employé ne suspend pas les droits des personnes concernées. Notre guide sur l'exercice du droit d'accès revient en détail sur les délais et modalités de réponse.

Ce que ça change pour les organisations

La décision du Garante appelle plusieurs ajustements concrets dans les procédures RH et informatiques.

Protocole de clôture de compte au départ d'un salarié. Chaque départ doit déclencher une procédure documentée : désactivation du compte email sous un délai court (généralement 30 jours maximum), message automatique informant les correspondants, redirection vers un collègue désigné. Ce protocole doit être formalisé, tracé et intégré dans le registre des traitements.

Information préalable. Si l'entreprise maintient un accès exceptionnel à une boîte mail après départ (par exemple pour récupérer des éléments contractuels en cas de litige), le salarié doit en être informé — dans son contrat, son règlement intérieur ou sa charte informatique. L'information doit être claire et préalable, pas rétroactive. C'est l'une des leçons-clés des enjeux RGPD des données RH.

Réponse aux demandes d'accès des ex-salariés. Mettre en place un processus spécifique pour traiter les demandes émanant d'anciens collaborateurs. Le délai d'un mois s'applique, et le refus n'est pas une option valide sans motif légal. Notre guide sur les données personnelles des salariés offre un cadre pratique.

Durées de conservation. L'article 5 RGPD impose que les données ne soient conservées que le temps nécessaire à la finalité. Pour les emails professionnels, les durées doivent être définies dans votre registre et réellement appliquées. Pour rappel, le Garante avait déjà sanctionné une entreprise à 120 000 € pour la géolocalisation de salariés sans base légale : la tendance italienne sur les données RH est claire et cohérente.

Ce que Leto pense de cette décision

L'Italie sanctionne régulièrement et avec cohérence les manquements autour des données des salariés, là où d'autres autorités restent plus discrètes sur ce sujet. Ces décisions posent des jalons pratiques que les DPO français peuvent s'approprier même en l'absence d'une jurisprudence CNIL équivalente.

Ce qui frappe ici, c'est le cumul : accès illégitime + refus du droit d'accès. Ce n'est pas une erreur isolée — c'est l'absence d'un process de départ structuré. Et ça, c'est corrigeable. À condition d'y travailler avant que quelqu'un parte.

Sources : Décision du Garante publiée sur EDPB News

Restez connecté(e).

Téléchargez notre application mobile de veille RGPD, Intelligence Artificielle et Cybersécurité. 
100% gratuite. 
Je télécharge

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026