1. Gestion des accès et des autorisations
  • Désactivation immédiate de tous les accès: bloquer les comptes utilisateurs, le VPN, la messagerie électronique, les logiciels d'entreprise et les accès aux systèmes sensibles (ERP, CRM, outils RH) le dernier jour de travail de l'employé.
  • Changements de mot de passe: Pour les comptes génériques ou partagés, changer immédiatement les mots de passe après le départ de l'employé.
  • Examen systématique: vérifier et révoquer les autorisations dans les systèmes d'exploitation (Windows, Linux, etc.), les applications (gestion du temps, applications métier), les services cloud (Microsoft 365, Google Workspace) et autres plateformes
  • Documentation: consigner toutes les mesures de retrait et de désactivation afin d'assurer la sécurité de la révision et la traçabilité.
  1. Gestion des e-mails professionnels
  • Désactiver ou rediriger un compte de messagerieBloquer le compte de messagerie professionnel immédiatement après le départ ou le rediriger vers un compte de remplacement. Ne procéder à des redirections permanentes qu'en cas de nécessité impérieuse et dans le respect de la transparence.
  • E-mails privés:
    • Si l'utilisation privée était autorisée, les e-mails privés devraient être consultés par des personnes autorisées et faire l'objet d'un accord avec l'(ancien) employé (s'il est encore joignable).
    • Transmettre les e-mails privés aux collaborateurs ou les remettre en toute sécurité sur un support de données.
    • Ensuite, tous les e-mails privés doivent être supprimés du compte professionnel.
    • S'assurer qu'aucune consultation non autorisée de données personnelles de tiers n'a lieu.
  • E-mails professionnels:
    • Archivage ou transmission ordonnée à un successeur pour respecter les délais de conservation légaux (par exemple selon le code de commerce allemand ou le code des impôts).
  1. Publication de ressources d'entreprise
  • Vérification de l'inventaire: assurer la restitution de tous les appareils mis à disposition (ordinateur portable, smartphone, clés USB, jetons matériels, cartes d'accès).
  • Reprise des données : Vérifier les données stockées sur les appareils restitués afin de s'assurer que toutes les informations pertinentes sont disponibles sous une forme plus actuelle ou plus récente que sur les lecteurs réseau existants. Ce faisant, vérifier s'il y a des données qui doivent être reprises ou intégrées dans des systèmes centraux.
  • Effacement sécurisé des donnéesEffacer en toute sécurité les données sensibles de l'entreprise se trouvant sur les appareils restitués (par exemple au moyen d'outils certifiés) afin d'empêcher tout accès non autorisé.
  • Certificats de personnes et jetons: supprimer ou invalider les certificats des serveurs et des jetons matériels qui ne sont plus nécessaires.
  1. Transmission et sauvegarde des données
  • Transférer les données pertinentes pour l'entrepriseTransférer tous les documents, fichiers et données pertinents pour l'entreprise de manière structurée aux collègues, successeurs ou supérieurs compétents.
  • Prévention des transferts de données non autorisés: s'assurer qu'aucune donnée d'entreprise pertinente ne reste sur des appareils privés, des supports de stockage externes ou des services de cloud non autorisés.
  • Vérification des sauvegardesVérifier s'il existe des données personnelles du collaborateur dans les sauvegardes. Les données personnelles qui ne sont plus nécessaires doivent, dans la mesure où cela est techniquement possible et légalement autorisé, être supprimées des sauvegardes ou traitées de manière contrôlée par des concepts de suppression appropriés.
  1. Communication
  • Information interne et externeInformer le personnel et, le cas échéant, les clients de leur départ afin de garantir une connaissance claire des nouveaux interlocuteurs.
  • Note d'absence: Mettre en place dans le système de messagerie un message d'absence qui indique l'absence permanente et désigne le nouvel interlocuteur.
  1. Aspects juridiques de la protection des données (y compris l'art. 15 du RGPD)
  • Vérifier les consentementsRévoquer les consentements donnés (par ex. utilisation de photos, de profils sur le site web ou l'intranet) si nécessaire et les documenter.
  • Suppression des données à caractère personnel:
    • Les données personnelles privées de l'ancien employé qui sont stockées dans l'entreprise et qui ne sont plus nécessaires doivent être supprimées conformément à l'article 17 du RGPD. Auparavant, il convient de proposer au salarié qui le souhaite de lui remettre ses données à caractère personnel.
    • Respecter les obligations légales de conservation (par exemple, les fiches de paie) : Ne les conserver que pendant la période prescrite. Supprimer ou détruire immédiatement après l'expiration des délais.
  • Droit d'accès et transfert de données conformément à l'article 15 du RGPD:
    • Le collaborateur a le droit d'obtenir des informations sur les données enregistrées à son sujet. En cas de demande correspondante :
      • Mise à disposition dans un format structuré, courant et lisible par une machine (par exemple CSV, PDF).
      • Avant la transmission, vérifier soigneusement qu'aucune donnée à caractère personnel de tiers n'est divulguée illégalement. Le cas échéant, minimiser les données ou les noircir.
      • Documenter le processus d'accès et de transfert des données afin de pouvoir satisfaire aux obligations de rendre des comptes conformément au RGPD.
  1. Mesures de sécurité de l'information
  • IT-Forensik en cas de soupçon: En cas d'indication d'abus de données ou de violations de la conformité, lancer des analyses forensiques informatiques avant le départ du collaborateur.
  • Protocole de l'offboarding: consigner toutes les actions effectuées (désactivations, éditions, suppressions).
  • Entretien final et sensibilisationInformer le collaborateur que les obligations de discrétion et de confidentialité restent valables même après son départ. Informer des conséquences juridiques possibles en cas de non-respect.
  1. Mesures conformes à la protection informatique de base
  • Sécurité physique: vérifier les droits d'accès aux bâtiments et aux salles de serveurs ; désactiver ou retirer les cartes de verrouillage, les clés et les jetons matériels.
  • Surveillance du réseau et du système: Après avoir désactivé tous les accès, s'assurer qu'il n'y a pas d'utilisation non autorisée des ressources (surveiller les journaux de surveillance, utiliser la détection d'anomalies).
  1. Liste de contrôle pour l'offboarding
  2. Désactiver les accès: comptes utilisateurs (AD, ERP, CRM, mail), accès distants (VPN, cloud).
  3. Récupérer les ressources de l'entreprise: matériel, licences de logiciels, documents.
  4. Assurer le transfert des donnéesTransférer des fichiers et des informations professionnelles à des collègues compétents.
  5. Gérer son compte e-mailTransfert à un remplaçant, mise en place de notes d'absence, suppression des e-mails privés.
  6. Communication interne/externe: information sur les départs, désignation de nouveaux interlocuteurs.
  7. Protection des données et sécurité de l'information:
    • Vérifier et révoquer les consentements
    • Respecter le droit d'accès selon l'art. 15 RGPD (mettre les données à disposition le cas échéant)
    • Supprimer ou transférer des données privées
    • Respecter les obligations de conservation
    • Documenter et vérifier les mesures de sécurité
  8. Documentation: consigner toutes les étapes de l'offboarding, les décisions et les transferts.
DSB buchen
fr_FRFrançais
de_DEDeutsch en_USEnglish es_ESEspañol pl_PLPolski fr_FRFrançais