Sept jours, puis tous les e-mails des employés devront être supprimés. C’est la décision du Garant pour la protection des données personnelles afin de limiter le contrôle des employeurs sur leurs employés. La nouvelle règle vise à « prévenir le traitement de données en violation de la réglementation sur la protection des données et des règles garantissant la liberté et la dignité des travailleurs », comme indiqué dans la note. Par conséquent, les e-mails des employés ne devront pas être conservés pendant plus d’une semaine, « sauf en présence de besoins avérés et documentés justifiant leur prolongation, de 48 heures supplémentaires », et seulement avec un accord syndical ou avec l’autorisation de l’Inspection du Travail. Les contrevenants seront sanctionnés, tant au niveau pénal qu’administratif. Pour les cas les plus graves, l’entreprise ou l’employeur devra payer une amende pouvant aller de 2 à 4% du chiffre d’affaires.
Les e-mails envoyés contiennent des métadonnées telles que la date, l’heure, l’expéditeur, le destinataire et l’objet de l’e-mail. La conservation de ces informations pourrait entraîner ou faciliter un contrôle indirect à distance de l’activité du travailleur par l’entreprise. Le document intitulé « Programmes et services informatiques de gestion du courrier électronique dans le contexte professionnel et traitement des métadonnées » s’adresse aux employeurs tant publics que privés.
Qu’est-ce que les métadonnées
Les métadonnées mentionnées dans la disposition sont des « informations de fond ». Du point de vue technique, ce sont des données qui fournissent des informations sur d’autres données. Prenons l’exemple d’une photo, les métadonnées peuvent être la localisation géographique, le type d’appareil photo utilisé ou la date à laquelle elle a été prise. Elles peuvent être présentes dans des fichiers numériques, des images, des documents ou des vidéos, et sont utilisées pour la recherche et l’organisation des fichiers, mais pas seulement.
Les métadonnées peuvent également être utilisées pour suivre les activités en ligne, surveiller les communications et les activités des individus ou des groupes, comprendre les modèles de comportement des utilisateurs ou localiser les déplacements d’une personne au fil du temps. Elles sont une arme de surveillance, il est donc important qu’elles respectent des normes éthiques et légales pour protéger la vie privée des utilisateurs.
Les découvertes du Garant
Le Garant a constaté lors des contrôles des programmes et services informatiques configurés de manière à collecter et conserver les métadonnées des employés par défaut. Dans certains cas, il a découvert que « les métadonnées relatives à l’utilisation des comptes de messagerie électronique des employés étaient collectées et conservées de manière préventive et généralisée », et qu’il n’était pas possible de les désactiver ou de réduire la période de conservation. Les employeurs devront donc vérifier que les systèmes de messagerie électronique le permettent pour se conformer à la réglementation.
La nouvelle mesure suscite des inquiétudes, il ne sera pas facile pour les entreprises de supprimer les métadonnées en si peu de temps, il y a un risque de perdre la trace de chaque activité du personnel, créant ainsi des problèmes organisationnels. Il existe également un risque de perte d’informations pertinentes.