Je cherche une nouvelle mission en IT | Admin. Modern Workplace | Support Utilisateur | Support Applicatif | Incident Manager | Dev. VBA
🚨 Alerte aux Admins M365/Exchange : Un nouveau casse-tête pour la gestion des boîtes mail des ex-salariés 🚨 La Cour de Cassation vient de frapper fort avec son arrêt du 18 juin 2025 : les e-mails professionnels sont désormais considérés comme des données personnelles au sens du RGPD. 🤯 Fini le temps où on pouvait simplement supprimer son compte M365 !? Droit d'accès pour l'ex-salarié : Un ancien employé peut désormais demander l'accès à ses e-mails professionnels pour récupérer ses données personnelles (et on a 1 mois pour répondre !). L'entreprise ne respectant pas ce droit d'accès peut être sanctionnée par la CNIL et subir des dommages et intérêts. La conformité n'est plus une option, c'est une obligation critique ! Alors, comment on s'organise pour gérer ça proprement dans notre environnement Microsoft 365 ? 1. Dès le départ, on bloque l'accès de l'utilisateur à M365. Le compte utilisateur reste actif, mais sécurisé. 2. STOP à la redirection automatique ! C'est une violation de la vie privée et c'est formellement déconseillé. 3. On met en place une réponse automatique (auto-reply) claire sur la boîte, indiquant le départ de la personne et un contact alternatif pour les demandes urgentes. Cela évite aussi les désagréables NDR "Utilisateur inconnu" pour vos clients. Ça, c'est conforme et pro. 4. Appliquer une règle de rétention via Microsoft Purview **ou Litigation Hold (si Licence E3/E5) ** 5. Une fois la politique de rétention appliquée via Microsoft Purview, on peut supprimer le compte **(ou juste la licence)** : la boîte devient alors une boîte aux lettres inactive, libérant la licence tout en restant consultable via eDiscovery, sans coût supplémentaire de licence pour le stockage. C'est idéal pour la conformité et le budget. **6. Créer une règle de transport pour continuer d'envoyer un "auto-reply" personnalisé.** Conversion en Boîte aux lettres partagée ? C'est souvent la solution par défaut, mais elle conserve l'identité de l'ex-salarié, et peut permettre l’envoi en son nom si mal configurée. Ce n’est donc ni souhaitable ni conforme Export PST ? Devrait être réservé au collaborateur AVANT son départ, ce qui évitera ses demandes de consultations futures. (mais pas toujours simple pour l'utilisateur) En résumé : La gestion des boîtes post-départ est désormais un enjeu clé qui combine sécurité juridique et optimisation IT. En tant qu'admins M365, notre rôle est crucial pour mettre en place les bonnes pratiques et les bons outils. L'off-boarding concernant les data du collaborateur est aussi à planifier AVANT son départ ! Quelles sont vos expériences ou défis face à ces nouvelles exigences ? Partagez vos astuces ! #Microsoft365 #ExchangeOnline #RGPD #Conformité #ITOps #Cybersecurite #RH #Offboarding #DroitDuTravail #MicrosoftPurview **Arrêt du 18 juin 2025 Pourvoi n° 23-19.022 -->https://lnkd.in/ee8GvKhH ** ** edit **
Merci Olivier CATTEAU Mais auriez vous un lien vers l’article source?
On est obligés de les garder pendant combien de temps? 3 mois?
Bonsoir, Une information intéressante mais elle est selon moi mal interprétée dans votre publication. Ce n'est pas la CNIL qui condamne mais la cour de cassation et dans ce cas précis 500€ si mes sources sont bonnes. La cour sanctionne la non réponse à la requête. Cela n'indique pas qu'on peut le demander systématiquement mais le refus doit être motivé par justification bien établie. Ensuite fournir uniquement les méta-données au sens CNIL est suffisant. Il vaut donc mieux toujours fournir une réponse employeur et que les données qui sont demandées ne porte pas atteinte au respect RGPD d'un autre individu. Bref, passé ce détail d'interprétation, M365 traité déjà depuis longtemps ce détail technique, car si vous avez une licence M365 E3 vous avez accès à la fonction "Litigation Hold" avec une durée que vous définissez vous même (par défaut je crois que c'est 10 ans) a la suppression. Une règle pureview de rétention permet déjà d'ajuster la durée pour respecter le cadre légal français et européen. ;-) La mailbox passe en "inactive mailbox" et libére la licence. Pour moi pas de quoi s'alarmer, MS a bien pensé la chose. Bonne réflexion à tous
Est ce qu’ils ont fixé la durée légal de rétention des boites mails ex salariés ?
Une boîte mail pro n'est pas censée être... Pro ?
Une charte informatique interdisant tout usage personnel de la messagerie pro pourrait justement éviter ce type de situation. Si l’usage privé est formellement exclu, un salarié ne peut pas légitimement demander à consulter sa boîte après son départ pour récupérer des éléments personnels… puisqu’il ne devrait pas y en avoir. Une solution simple, qui sécurise l’entreprise, sans nécessiter de compétences techniques. 🤔 😉
Pas totalement en phase avec l’analyse. Ce n’est pas ce que dit la Cour de cassation
Je cherche une nouvelle mission en IT | Admin. Modern Workplace | Support Utilisateur | Support Applicatif | Incident Manager | Dev. VBA
1 sem.Ravi de voir que ce sujet a plu autant (100315 impressions) . Seriez-vous intéressé par un script PowerShell pour automatiser ce traitement ?