La redirection des messages Exchange Online (Mail Forwarding), un casse-tête juridique…


En ouvrant un ticket d’incident, il est possible de rediriger l’ensemble du courrier reçu pour une boîte aux lettres donnée vers une adresse de messagerie. Cette fonctionnalité s’inscrit dans celles qui existaient déjà sur Exchange Server. A l’origine, cette fonction administrative permet de programmer la redirection d’une boîte aux lettres générique vers un utilisateur réel, mais d’un point de vue technique, elle peut être également mise en place pour des boîtes aux lettres individuelles.

D’un point de vue législatif, il est nécessaire que l’employé ait été mis au courant de ce type de dispositif, de sa finalité et de sa durée dans le temps. La Cour de cassation ayant affirmé, dans un arrêt du 2 Octobre 2001 (arrêt « Nikon ») qu’un employeur ne saurait prendre connaissance de messages personnels d’un employé sans porter atteinte à la vie privée de celui-ci et au principe du secret des correspondances, quand bien même une utilisation à des fins privées aurait été proscrite par l’employeur. La Cours de cassation considère qu’un message envoyé ou reçu depuis le poste de travail mis à la disposition par l’employeur revêt un caractère professionnel, sauf s’il est identifié comme étant « personnel », dans l’objet du message par exemple (Arrêté du 30 Mai 2007).

Toutefois, dans l’état actuel des choses, en ce qui concerne une offre de type cloud computing, les équipes et la localisation du serveur de messagerie de l’entreprise se trouvent aux Etats-Unis d’Amérique et en Irlande, et de ce fait, n’est pas soumis au droit français. De plus, il semble difficile aux administrateurs des centres de données, de se préoccuper de la législation nationale pour savoir si la mise en place d’une redirection est légitime ou non.

Dans cette dernière situation, il apparaît pertinent que le donneur d’ordre (c’est-à-dire celui ayant demandé la mise en place de cette règle) soit le principal responsable. Toutefois, il sera difficile pour le collaborateur d’obtenir de la part de sa direction ou de la part de Microsoft (n’étant pas administrateur BPOS) s’il existe ou non une redirection de sa boîte aux lettres, bien que en théorie, le collaborateur devrait disposer d’un droit d’accès à cette information. C’est pour cette raison que concernant des redirections à appliquer sur des boîtes aux lettres d’utilisateurs, il est préférable d’opérer comme suit, tant qu’il n’y a pas encore de jurisprudence en ce domaine :

  • La messagerie professionnelle doit faire l’objet d’une déclaration de conformité en référence à la norme n°46 (gestion des personnels des organismes publics et privés). Si un dispositif de contrôle individuel de la messagerie est mis en place, il doit être déclaré à la CNIL (déclaration normale), sauf désignation d’un correspondant informatique et liberté.
  • L’employeur doit respecter le secret des correspondances privées, sachant qu’une correspondance émise ou reçue par l’employé peut avoir le caractère d’une correspondance privée. La violation du secret des correspondances est une infraction pénalement sanctionnée par les articles L.226-15 (pour le secteur privé) et L.432-9 (pour le secteur public) du Code pénal, et donc, vous devriez informer par écrit le collaborateur dont le contenu de la boîte risque d’être rerouté (y compris si vous le faites par exemple durant sa période de congés). N’oubliez pas que vous devrez préciser la finalité et la durée du dispositif.
  • En cas d’archivage automatique des messages électroniques, les salariés doivent être informés des modalités de l’archivage, de la durée de conservation des messages, et des modalités d’exercice de leur droit d’accès.

Source: CNIL

A propos Orentis

Orentis est une société de services informatiques accompagnant les PME/PMI dans la maintenance et le développement de leur parc informatique en environnement Microsoft. Nous assurons le fonctionnement optimal de vos outils informatiques et vous garantissons la gestion sur mesure de votre environnement informatique. Notre mission principale est d'apporter une évolution constante des nouvelles technologies à nos clients. Nous fournissons des solutions de conseil, d'intégration et d'infogérance systèmes. Nos valeurs, fondées sur l’écoute et la réactivité nous permettent d'anticiper les attentes de nos clients. Specialties Intégration des services en entreprise, en hébergement ou sur cloud computing - Active Directory, Windows Server 2008, Exchange Server 2010, Microsoft Online Services, BPOS, Windows 7, Hyper-V, Cisco, OCS, Redondance et disponibilité des services
Cet article, publié dans Stratégies, est tagué , , . Ajoutez ce permalien à vos favoris.