Si la messagerie électronique professionnelle est utilisée à des fins personnelles, l’employeur n’est pas responsable de traitement des données ainsi traitées par le salarié.
C’est la conclusion de la « CNIL islandaise », le 19 octobre 2022, comme le rapporte GDPRHub. Cette conclusion – de bon sens – s’inscrit dans la droite ligne de la position du CEPD (Guidelines 07/2020 on the concepts of controller and processor in the GDPR, §88)
L’établissement d’une charte informatique – mesure de sécurité organisationnelle impérative, pour la CNIL (ex: Référentiel Cabinets Médicaux) – imposant au salarié d’ajouter la mention « Privé » ou « Personnel » dans l’objet de ses mails contribue ainsi aussi bien au respect de la vie privée du salarié que de la sécurité juridique de l’employeur.
L’apposition de cette mention permettrait en effet à l’employeur d’écarter sa responsabilité pour les données traitées par son employé.
Peut-être serait-il toutefois opportun de mettre à jour les chartes existantes afin d’en informer le salarié et de lui rappeler le caractère strict de l’exception « Traitement à finalité domestique ».