En Suisse, reprendre le contrôle des accès lors du départ d’un administrateur IT est une mesure de sécurité normale, et souvent indispensable. Le point sensible, c’est la manière de le faire. Vous devez protéger l’entreprise et vos clients, tout en respectant la protection des données et la personnalité du travailleur. La bonne approche consiste à agir vite, de façon proportionnée, puis à documenter précisément ce qui a été fait et pourquoi.

1. Évaluer le risque avant d’agir

Avant de “couper des accès”, clarifiez votre scénario, car la checklist n’est pas la même selon qu’il s’agit d’un départ planifié, d’un conflit ouvert, ou d’un départ immédiat. Dans la plupart des PME en Suisse romande, les risques concrets sont les suivants: perte d’accès admin, suppression ou export de données, modification de règles de sécurité, redirection d’emails, et comptes dormants qui restent actifs. Concrètement, listez les systèmes critiques. Google Workspace, Microsoft 365, gestionnaire de mots de passe, VPN, pare-feu, téléphonie, hébergeur, registrar de domaines, comptabilité, CRM, sauvegardes, et accès bancaires si votre IT avait des rôles transverses. Ne vous fiez pas uniquement à la mémoire interne. Récupérez une vue “réelle” depuis les consoles d’administration.

2. Sécuriser les accès admin sans bloquer l’activité

L’objectif est de garantir la continuité. Vous ne voulez pas découvrir, le lendemain du départ, que plus personne ne peut créer un utilisateur, récupérer une boîte email, ou restaurer une sauvegarde. Une bonne pratique consiste à mettre en place une double administration, puis à basculer proprement. Dans Google Workspace et Microsoft 365, vérifiez qu’il existe au moins deux comptes admin séparés, idéalement rattachés à des personnes différentes, puis que les moyens de récupération sont sous contrôle de l’entreprise. Ensuite, réduisez progressivement les privilèges du compte de l’employé sortant, jusqu’à désactiver l’accès lorsque c’est opportun. Si la relation se dégrade, vous pouvez envisager de limiter plus rapidement certains droits élevés, par exemple les droits qui permettent d’effacer des journaux, de modifier des règles de rétention, ou d’ajouter des applications tierces. Dans tous les cas, conservez une trace interne de la décision, de la date, des personnes qui l’ont validée, et de la raison.

3. Séparer comptes, appareils et secrets

Les litiges et incidents viennent souvent de pratiques informelles. Comptes partagés, mots de passe transmis par message, ou 2FA lié à un numéro privé. Au moment de la sortie, vous avez une fenêtre unique pour remettre de l’ordre. Voici ce qui mérite une action structurée:

• Comptes partagés: identifiez-les, remplacez-les par des comptes nominatifs ou un coffre d’accès géré par l’entreprise, puis désactivez progressivement les anciens accès.
• Gestionnaire de mots de passe: récupérez la propriété des coffres et des collections, puis forcez la rotation des secrets critiques.
• Double authentification: basculez les méthodes 2FA vers des dispositifs contrôlés par l’entreprise, ou des solutions d’administration adaptées, sans dépendre du téléphone privé de l’employé.
• Appareils: organisez la restitution et l’inventaire. Sur les équipements gérés, vérifiez le chiffrement et l’état des politiques, puis retirez l’appareil des accès corporate quand la sortie est effective.

Si vous craignez une suppression de données, activez des mesures de sauvegarde et de rétention conformes à vos besoins, et évitez les manipulations improvisées. Une action précipitée peut détruire des traces utiles ou générer des accusations de surveillance abusive.

4. Logs, traçabilité et preuves utilisables

Les employeurs veulent souvent “des preuves” mais n’ont, en pratique, que des captures d’écran isolées. Pour qu’une trace ait du poids, il faut pouvoir expliquer son origine, son contexte et son intégrité. En cas de conflit, la question n’est pas seulement ce qui s’est passé, mais aussi comment vous l’avez constaté. Sans entrer dans une logique de surveillance permanente, vous pouvez mettre en place une traçabilité raisonnable basée sur les fonctions natives des plateformes. L’idée est de pouvoir reconstituer, après coup, qui a fait quoi, et quand, sur les actions sensibles.

• Journaux d’administration: exportez ou conservez les événements relatifs aux changements de rôles, créations de comptes, modifications de règles de sécurité et paramètres d’authentification.
• Historique des accès: conservez les traces de connexions inhabituelles, d’adresses IP, d’emplacements, et d’appareils, dans la mesure où ces informations sont disponibles dans les outils.
• Chaîne de conservation: notez qui a effectué l’export, sur quelle base, où les fichiers sont stockés, et qui a accès aux preuves.
• Proportionnalité: limitez-vous à ce qui est nécessaire pour sécuriser l’entreprise et clarifier une situation précise. Évitez l’aspiration massive de contenus privés ou non pertinents.

5. Sortie RH et cadre légal de la “surveillance”

La sécurité IT se joue aussi côté RH. Les règles internes sur l’usage des outils, la gestion des emails, l’accès aux dossiers, et le télétravail doivent être cohérentes avec ce que vous faites au moment du départ. En 2026, la plupart des entreprises en Suisse romande ont déjà des politiques d’IT et de sécurité, mais elles sont parfois trop vagues ou non appliquées. Si vous devez accéder à une boîte email ou à un compte collaboratif après un départ, faites-le avec prudence et selon un besoin concret, par exemple continuité commerciale ou obligations légales. Sur le plan juridique, l’enjeu est d’éviter une atteinte disproportionnée à la personnalité, tout en garantissant la protection de l’entreprise. Si le climat est tendu, un avis d’un avocat spécialisé en droit du travail et en droit du numérique permet souvent de cadrer ce qui est possible dans votre cas, et surtout de le documenter correctement. Cela réduit le risque que votre démarche de sécurité devienne un angle d’attaque contre vous. Si vous abordez explicitement la question de la surveillance au travail dans vos procédures internes, vous pouvez aussi vous référer à la notion de surveillance au travail pour clarifier les limites et les bonnes pratiques.

6. Que faire en cas de soupçon d’accès non autorisé

Si vous suspectez qu’un accès continue après la sortie, ou qu’un compte a été utilisé de manière indue, évitez la panique et agissez en deux temps: sécuriser, puis qualifier les faits. Changez les mots de passe, révoquez les sessions actives, et vérifiez les règles de transfert ou de délégation. Ensuite, conservez les traces disponibles et rédigez un compte rendu interne, factuel et daté. Si les éléments suggèrent un accès non autorisé, il peut être pertinent d’analyser la situation sous l’angle du piratage informatique et accès indu, mais la qualification dépend toujours des circonstances. En cas de risque élevé, une démarche encadrée par un avocat spécialisé permet de sécuriser la stratégie, notamment si vous envisagez des mesures urgentes, une dénonciation, ou si vous devez préserver des preuves sans contestation ultérieure. D’ailleurs, ces problématiques de contrôle d’accès et de preuves se retrouvent dans d’autres contextes. Par exemple, quand un compte joint est utilisé après une séparation, la question n’est pas seulement “qui a retiré”, mais aussi comment éviter qu’un retrait devienne une accusation. Vous pouvez lire l’article JuriUp sur la rupture de concubinage et le compte joint. Dans un divorce, la logique est similaire pour les moyens de paiement, avec des enjeux de traçabilité. Voir aussi que faire si votre ex utilise encore votre carte. Et côté entreprise, la même peur de “payer deux fois” existe aussi dans la construction quand les responsabilités sont en cascade. Si vous gérez des chantiers, vous reconnaîtrez cette logique dans notre guide sur la sous-traitance en cascade.