Un salarié tombe malade, s’absente quelques jours… et son badge numérique ne passe plus. Email verrouillé, accès VPN interdit, messagerie coupée. En tant que dirigeant ou DRH, vous êtes face à un dilemme clair : protéger l’entreprise sans transformer une mesure technique en geste vexatoire. Voici comment trancher — efficacement, légalement, humainement.
Accès informatiques et arrêt maladie : cadre légal et cybersécurité
Point de droit d’abord. En arrêt maladie, la suspension du contrat de travail s’applique : le salarié ne doit pas travailler. L’employeur, tenu par son obligation de sécurité, peut donc empêcher toute connexion aux outils de production pour éviter le « travail dissimulé » sous couvert d’arrêt.
Point sécurité ensuite. Un compte laissé actif mais inactif devient une faille. Les équipes IT le savent : dans une logique de cybersécurité, réduire la surface d’attaque passe par la désactivation temporaire des comptes inutilisés, surtout si un VPN ou des droits élevés (admin, finance) existent. Cela répond à la norme de moindre privilège et protège les données.
La bonne pratique consiste néanmoins à préserver le flux métier. Un message d’absence automatique sur la messagerie professionnelle, redirigeant vers un binôme, évite l’effet tunnel pour les clients et empêche les sollicitations du salarié en arrêt.
Couper l’accès est légal si la mesure est proportionnée, justifiée par la sécurité et appliquée de manière cohérente à situations équivalentes.
Quand la coupure devient abusive ou vexatoire
Le curseur se déplace vers le risque de harcèlement moral dès que la coupure est brutale, ciblée ou incohérente. Un arrêt envoyé à 10 h, des accès coupés à 10 h 05, sans information ni procédure formalisée, est un signal faible que les juges savent lire.
Le principe d’égalité de traitement compte. Si un salarié en conflit voit ses accès fermés quand d’autres, pour des arrêts comparables, conservent au moins un canal de courtoisie (boîte mail en OOO, téléphone en réception), l’intention vexatoire peut être caractérisée.
Cas particulier : le représentant du personnel. Son mandat n’est pas suspendu par l’arrêt. Couper l’intranet CSE, la boîte syndicale ou l’accès aux espaces dédiés peut s’apparenter à un délit d’entrave. Les outils « métier » peuvent être gelés ; les outils « mandat » doivent rester accessibles, avec garde-fous techniques adaptés.
Enfin, le salarié doit pouvoir récupérer des éléments personnels raisonnables. La jurisprudence admet les fichiers identifiés « PERSONNEL ». Prévoyez un canal encadré (export par l’IT, remise sur rendez-vous, inventaire) afin d’éviter tout litige sur la confidentialité.
Bonnes pratiques opérationnelles pour les DSI et les RH
Dans les faits, peu d’organisations coupent pour un arrêt d’une semaine, car la bascule est lourde à gérer. À l’inverse, pour un arrêt prolongé, la désactivation s’impose. Formaliser la décision dans une politique d’habilitations évite les improvisations et protège l’employeur.
- Activer un message d’absence automatique avec redirection claire et date de retour estimée.
- Geler les accès sensibles (ERP, finance, code, production) et conserver un accès minimal aux canaux non productifs si nécessaire (lecture seule, alias).
- Préférer la désactivation temporaire plutôt que la suppression du compte, pour préserver les historiques et la traçabilité.
- Documenter la décision (durée de l’arrêt, niveau de risque, mesure choisie, date/heure) dans le ticket IT.
- Informer le salarié, par écrit, du périmètre gelé et du mode de récupération de documents personnels/administratifs.
- Maintenir l’accès aux outils de mandat pour tout représentant du personnel avec séparation technique stricte.
- Clarifier le statut du téléphone pro et du BYOD (appels urgents autorisés ? carte SIM désactivée ? disponibilité du répondeur).
| Situation | Accès concernés | Action IT recommandée | Communication à prévoir |
|---|---|---|---|
| Arrêt court (≤ 7 jours) | Mail, calendrier, VPN | OOO + gel VPN si droits étendus | Note RH au salarié + info équipe/clients clé |
| Arrêt moyen (8–30 jours) | ERP, finance, dev, data | Gel des accès critiques + OOO | Ticket documenté + plan de relais |
| Arrêt long (> 30 jours) | Tous comptes productifs | Désactivation temporaire complète hors canaux mandat | Lettre RH détaillant périmètre et durée |
| Élu CSE / syndicat | Outils mandat | Maintien accès CSE, gel outils métier | Rappel du périmètre légal |
Côté salarié : la bonne réaction sans faux pas
Si un collaborateur vous sollicite parce que ses accès sont coupés, conseillez d’abord la désescalade. Pas de contournement technique, pas d’accès via comptes partagés. Un email depuis une adresse personnelle ou un courrier recommandé aux RH suffit pour demander si la coupure relève d’une procédure standard et comment récupérer des documents identifiés « PERSONNEL ».
En cas de désaccord profond (discrimination, isolement ciblé), orientez vers une médiation interne, puis vers le juge le cas échéant. Pour comprendre les suites procédurales, voir notre guide pratique sur la procédure devant le conseil de prud’hommes. Si la coupure s’inscrit dans une mise à l’écart plus large, la ressource « mon employeur me dit de rester chez moi » aide à cadrer droits et recours.
Points juridiques et RGPD à ne pas manquer
Le gel des comptes n’autorise pas l’exploration des boîtes mail du salarié au-delà du strict nécessaire. En matière de RGPD, limitez-vous à ce qui est proportionné, consignez les accès administrateurs, et gardez une piste d’audit. Toute consultation de messages doit viser la continuité d’activité, jamais la curiosité.
Prévenez les dérives sur les appareils. Si le téléphone ou l’ordinateur contiennent des données privées, encadrez la récupération via un export ciblé effectué par l’IT, en présence d’un témoin si besoin. Le principe de minimisation doit guider chaque action.
Sur le plan social, alignez la politique IT et la politique RH. Une décision uniforme, traçable et techniquement justifiée réduit drastiquement le risque de contentieux et préserve le lien de confiance au retour d’arrêt.
Signaux d’alerte pour les managers
Trois drapeaux rouges doivent retenir votre attention. D’abord, une coupure « éclair » décidée à chaud, sans vérification des droits ni du contexte. Ensuite, une mesure inégale entre salariés à situations identiques. Enfin, l’absence de communication claire, qui laisse le collaborateur isolé et nourrit le procès d’intention.
À l’inverse, un dispositif annoncé dans le livret d’accueil, expliqué lors de l’onboarding et rappelé dans chaque mail d’arrêt, installe une culture de la prévisibilité. Vous protégez l’entreprise et vous respectez la personne.
À mettre en place dès maintenant
1) Formalisez une matrice de décisions sécurité/RH par durée d’arrêt et criticité du poste. 2) Automatisez le message d’absence automatique dès réception d’un arrêt, avec redirection et échéance. 3) Centralisez toute action d’habilitation dans un outil avec traçabilité et validation croisée DSI–RH.
4) Séparez techniquement les outils « métier » des outils « mandat » afin d’éviter tout délit d’entrave. 5) Définissez un protocole de récupération des fichiers « PERSONNEL » et des documents administratifs (fiches de paie, attestations). 6) Cadrez l’usage et la restitution du téléphone pro (BYOD vs avantage en nature) pour éviter les zones grises.
Dernier conseil opérationnel : entraînez vos équipes. Un playbook simple — critères, mail type au salarié, check-list de cybersécurité, scénario de désactivation temporaire et de réouverture — fera la différence le jour où l’arrêt tombe. Un processus clair protège la continuité d’activité, la réputation managériale et la conformité juridique de bout en bout.