Départ d’un salarié et suppression “suspecte” d’un calendrier Outlook ou Google : préserver des preuves sans fouiller illégalement
Quand un employé quitte l’entreprise, l’agenda peut “disparaître” en quelques minutes. Voici une méthode proportionnée pour geler l’accès, préserver les journaux et documenter l’effacement, tout en restant compatible avec la législation suisse et la LPD. Utile pour les équipes RH et IT dans le canton de Genève, dans le canton de Vaud et dans le canton de Neuchâtel.
Objectif
Continuité opérationnelle et preuves exploitables.
Temps
30 à 60 min pour sécuriser et consigner.
Résultat
Un dossier clair, traçable et défendable.
Ce guide est pratique et général. En Suisse, l’accès aux emails, agendas et historiques d’un employé peut toucher des données personnelles et parfois des contenus privés. La bonne approche consiste à agir vite, mais de manière proportionnée, documentée et limitée au besoin. En cas de soupçon sérieux (litige, concurrence, sabotage), un avis d’avocat spécialisé est recommandé.
1 Ce que vous pouvez faire sans “fouiller illégalement”
Le principe de base (LPD)
- Conserver des preuves peut être légitime si vous avez un besoin concret, par exemple assurer la continuité, clarifier un incident, ou préparer une défense en cas de litige.
- Votre action doit rester proportionnée. Vous limitez l’accès aux personnes qui en ont réellement besoin et vous documentez vos choix.
- Vous évitez l’exploration “au hasard” d’emails ou d’éléments privés. Un accès large, non justifié et non tracé peut créer des risques sous l’angle de la LPD et de la protection de la personnalité.
En pratique, la meilleure protection n’est pas de “lire plus”, mais de geler vite, sauvegarder proprement, puis restreindre la consultation au strict nécessaire.
Ce qui est généralement “safe” et ce qui est risqué
- Généralement adapté: désactiver un compte, révoquer les sessions, changer les mots de passe de comptes partagés, préserver les logs d’administration, exporter un calendrier partagé utilisé pour le service.
- Risqué: se connecter “comme l’employé” pour parcourir ses contenus privés, chercher des mots-clés sans motif précis, ou laisser des accès larges sur la durée.
- Zone sensible: l’agenda peut contenir des données personnelles, parfois de santé ou liées à la famille. Vous traitez ces informations avec retenue.
Si vous souhaitez vérifier les bases et les notions officielles, vous pouvez consulter le site de Fedlex pour les textes légaux et le site du Préposé fédéral à la protection des données et à la transparence pour des explications sur la LPD.
2 Procédure pas à pas (Outlook et Google) pour préserver des preuves
Objectif: stopper l’hémorragie, figer l’état, puis documenter sans sur-collecte.
Geler les accès immédiatement (sans se connecter au contenu)
Dès que la suppression est détectée ou que le départ est imminent, limitez l’accès via l’administration du système. L’idée est de bloquer la poursuite des effacements sans ouvrir la messagerie ou le calendrier “comme l’employé”.
- Désactiver le compte, ou au minimum révoquer les sessions actives.
- Couper l’accès aux appareils gérés, si votre politique interne le prévoit.
- Sécuriser les comptes partagés et les boîtes fonctionnelles (mots de passe et délégations).
Préserver les journaux d’administration et les traces de modification
Dans la plupart des environnements (Microsoft 365, Google Workspace), les actions d’effacement laissent des traces dans des journaux d’audit. Votre priorité est de conserver ces éléments, car ils décrivent “qui a fait quoi et quand” sans exiger la lecture détaillée des contenus.
Bon réflexe: exportez les logs pertinents, signez ou horodatez votre export interne, et conservez l’original en lecture seule. Vous limitez ainsi le risque de contestation sur l’intégrité des preuves.
Restaurer ou dupliquer le calendrier “métier” de manière ciblée
Pour assurer la continuité, vous pouvez reconstituer ce qui est nécessaire au fonctionnement, par exemple les rendez-vous clients, les tâches d’équipe, ou les réservations de ressources. L’approche la plus propre consiste à restaurer ou exporter un calendrier spécifique, plutôt qu’à parcourir toute la boîte de l’employé.
Bonnes pratiques
- Récupérer uniquement les éléments nécessaires au service.
- Documenter la raison et la portée de la restauration.
- Limiter l’accès aux responsables concernés, pas à “tout le monde”.
Pièges fréquents
- Faire une copie massive “au cas où”, sans motif défini.
- Capturer des contenus privés hors lien avec l’activité.
- Modifier vous-même des éléments, puis perdre la traçabilité.
Consigner qui a accédé à quoi, et verrouiller les copies
Une preuve technique perd beaucoup de valeur si vous ne pouvez pas démontrer comment elle a été collectée, qui y a eu accès, et si elle a été conservée sans altération. Cette étape est souvent la différence entre un dossier solide et un dossier fragile.
Concrètement, vous pouvez créer un dossier interne “incident calendrier”, y placer les exports de logs, les captures d’écran d’administration, et une note résumant les décisions. Gardez une version “originale” en lecture seule et travaillez sur une copie.
Informer et cadrer les échanges, sans accusation hâtive
Une suppression “suspecte” peut être un malentendu, une erreur de synchronisation, ou un acte volontaire. Évitez de qualifier trop vite. Assurez-vous surtout que RH et IT parlent d’une seule voix, et que la communication reste factuelle.
Faits
Date de détection, impacts, éléments techniques disponibles.
Accès
Accès restreint aux seules personnes mandatées.
Proportion
Collecte limitée au besoin opérationnel et probatoire.
3 Modèle de note interne (à copier-coller)
Ce modèle vise à documenter une collecte proportionnée. Remplacez les champs entre crochets et conservez cette note dans votre dossier incident avec les exports de logs.
Point d’attention LPD
Gardez votre note factuelle. Évitez les hypothèses sur l’intention. Concentrez-vous sur l’objectif, la proportion et la traçabilité.
Si vous hésitez sur la portée
Avant d’ouvrir des contenus potentiellement privés, sécurisez d’abord les preuves techniques et demandez un cadrage juridique.
4 Tableau de conservation et de traçabilité (à remplir)
Ce tableau vous aide à prouver la chaîne de conservation. Adaptez les colonnes à votre environnement (Microsoft 365, Google Workspace, serveur local).
| Action | Date | Canal | Référence | Statut |
|---|---|---|---|---|
| Gel du compte et révocation des sessions | [date et heure] | Console d’administration | [ticket / capture] | Réalisé |
| Export des logs d’audit (suppression calendrier) | [date et heure] | Export CSV / JSON / PDF | [hash / emplacement] | En attente de validation |
| Restauration ou export ciblé du calendrier métier | [date et heure] | Restauration / export ICS | [emplacement sécurisé] | Documenté |
Conseil: limitez la durée de conservation au besoin réel et fixez un point de revue. En cas de litige, demandez un cadrage pour conserver ce qui est pertinent sans garder inutilement des données personnelles.
5 Si un contentieux se profile: quoi faire, et quoi éviter
Réaction structurée RH et IT
- Centralisez le dossier, évitez la dispersion d’exports et de captures dans des emails internes.
- Limitez l’analyse aux éléments pertinents, par exemple logs d’audit, historique de partage, et calendrier “métier”.
- Si vous devez accéder à des contenus, définissez un objectif précis et consignez qui accède, quand, et pourquoi.
Si votre règlement interne prévoit une procédure de départ, mettez-la à jour: fermeture de compte, transfert de calendriers partagés, et contrôle des délégations. Cela réduit les incidents et les tensions.
Quand demander un avis d’avocat spécialisé
- Si l’effacement touche des clients, des dossiers sensibles, ou si un conflit de fin de contrat est déjà ouvert.
- Si vous envisagez des mesures disciplinaires, une plainte pénale, ou une action en responsabilité.
- Si vous craignez que votre collecte de preuves puisse être contestée sous l’angle de la LPD ou de la protection de la personnalité.
Avec un avis rapide, vous évitez souvent deux erreurs classiques: sur-collecter des données et fragiliser la preuve, ou sous-collecter et ne plus pouvoir démontrer l’effacement. Si vous avez un doute, décrivez votre situation sur JuriUp et demandez un cadrage.
Vous voulez sécuriser votre dossier sans dépasser les limites ?
Décrivez votre situation (suppression calendrier Outlook ou Google, départ d’un salarié, risques RH). JuriUp vous met en relation avec un expert juridique adapté, notamment en droit du travail et protection des données, dans le canton de Genève, dans le canton de Vaud ou dans le canton de Neuchâtel.
6 FAQ: suppression de calendrier et preuves (employeur)
Cliquez pour ouvrir.
Puis-je ouvrir le compte Outlook ou Google de l’employé pour “voir ce qu’il a supprimé” ?
En Suisse, cela peut être sensible car le compte peut contenir des données personnelles et parfois des éléments privés. Dans la plupart des cas, il est préférable de commencer par geler l’accès et préserver des preuves techniques (logs d’audit), puis de limiter toute consultation de contenu au strict nécessaire et à un cercle autorisé. Si vous avez un doute, faites valider votre approche par un avocat spécialisé via JuriUp.
Quels éléments de preuve sont généralement les plus utiles ?
Souvent, les journaux d’audit et les traces d’administration sont les plus robustes, car ils décrivent des actions (suppression, modification, partage) avec date et contexte. Complétez avec des captures d’écran des paramètres pertinents et une note interne qui explique votre démarche et sa proportion.
Est-ce que je dois informer l’employé que je conserve des logs ou que je restaure un calendrier ?
Selon la législation suisse et la LPD, la transparence est un principe important, mais la manière de l’appliquer dépend du contexte, de vos politiques internes et des risques. En cas d’incident, il peut exister des raisons de limiter la communication immédiate pour éviter la destruction de preuves. Comme l’équilibre est délicat, prenez un avis juridique si la situation est conflictuelle ou si des données sensibles sont impliquées.
À partir de quand cela devient un sujet pénal (sabotage, accès indu) ?
Cela dépend des faits, de l’intention, des accès autorisés et du dommage. Si vous suspectez un comportement volontaire et dommageable, ou une utilisation d’accès non autorisés, sécurisez immédiatement les preuves techniques et consultez un avocat spécialisé avant toute démarche. Pour vous repérer, vous pouvez aussi lire le terme JuriUp sur le piratage informatique et l’accès indu, puis demander une analyse de votre cas.
