Un salarié pose sa démission un vendredi soir. Le lundi matin, il a encore accès à votre CRM, à vos fichiers partagés, à la messagerie de l'entreprise. Parfois pendant des jours. Parfois pendant des semaines. Dans certains cas, on l'apprend seulement quand quelque chose cloche — un accès suspect, un fichier qui disparaît, un client qui reçoit un message bizarre.
L'offboarding informatique est le parent pauvre de la gestion RH. On pense à récupérer le badge, parfois l'ordinateur. Rarement à couper tous les accès dans l'heure. Et presque jamais à effacer les données du mobile professionnel avant qu'il reparte dans la nature.
Ce qui se passe quand l'offboarding informatique est bâclé
Les conséquences d'un mauvais offboarding informatique sont rarement spectaculaires. Elles sont surtout silencieuses. Un ex-salarié qui garde son accès à votre outil de facturation pendant un mois. Un ancien commercial qui peut encore consulter la base contacts de votre CRM. Un iPhone professionnel qui traîne chez un salarié parti depuis trois mois, avec vos emails dessus.
Un cabinet de recrutement de 18 personnes à Paris nous a appelés après avoir découvert que deux anciens consultants avaient conservé un accès actif à leur outil de suivi de candidats pendant six semaines après leur départ. Ces deux personnes avaient rejoint un concurrent direct. Le cabinet n'avait aucun moyen de savoir si des données avaient été exportées.
Ce genre de situation ne fait pas la une des journaux. Mais elle coûte : en confiance perdue, en données compromises, et potentiellement en sanctions RGPD.
RGPD et départ de salarié : ce que la loi attend de vous
Le RGPD ne parle pas directement d'offboarding informatique. Mais il impose des principes qui s'y appliquent directement. Minimisation des données : les accès d'un salarié parti n'ont plus lieu d'être, ils doivent être supprimés. Intégrité et confidentialité : vous êtes responsable de la sécurité des données personnelles traitées dans votre entreprise, y compris quand un accès non révoqué les expose.
En cas de contrôle de la CNIL, un accès actif appartenant à un ancien salarié est un point de non-conformité. Ce n'est pas automatiquement une sanction. Mais c'est une preuve que votre entreprise n'a pas de processus de sécurité sérieux. Et ça peut aggraver d'autres constats.
La CNIL ne sanctionne pas que les grandes entreprises. Elle sanctionne les entreprises qui n'ont manifestement rien mis en place.
Les accès à couper le Jour du départ — pas le lendemain
Quand un salarié part — démission, licenciement, fin de période d'essai — l'offboarding informatique doit démarrer le même jour, dans les heures qui suivent. Pas le surlendemain quand quelqu'un aura le temps.
Voici ce qui doit être désactivé dans les heures suivant le départ : le compte Microsoft 365 ou Google Workspace, les accès VPN, les connexions aux logiciels métier (CRM, ERP, outils de facturation), les accès aux dossiers partagés et aux espaces cloud, les comptes sur les outils de projet (Notion, Asana, Slack, Jira). Et bien sûr, l'effacement du mobile professionnel si le salarié en avait un.
Une PME d'une cinquantaine de personnes dans le secteur des services numériques à Paris nous a demandé de gérer le départ surprise d'un responsable technique. Vingt minutes après son départ physique des locaux, tous ses accès étaient coupés et son iPhone professionnel avait été effacé à distance. Sans qu'il soit nécessaire de récupérer l'appareil physiquement.
L'effacement mobile à distance : 30 secondes, peu importe la marque
C'est l'une des questions qu'on nous pose le plus souvent : que fait-on du mobile professionnel quand un salarié part, surtout s'il part en mauvais termes ? La réponse dépend entièrement de si ce mobile est enrôlé dans un MDM.
MDM signifie Mobile Device Management. C'est le logiciel qui permet de gérer vos appareils à distance depuis une console centrale. Quand un mobile est enrôlé dans votre MDM — Intune, Jamf, Android Enterprise —, vous pouvez effacer toutes les données professionnelles à distance en quelques secondes. L'effacement peut être sélectif : on ne touche qu'aux données de l'entreprise, les photos personnelles du salarié restent intactes. Ou total, si le mobile appartient à l'entreprise.
Cynera gère des flottes mixtes iPhone et Android dans la même console. Pas besoin de deux outils, pas besoin de deux prestataires selon la marque. Un départ, un clic, c'est fait. Que ce soit un iPhone 15 ou un Galaxy S24.
Récupérer le matériel et préparer le prochain arrivant
L'offboarding informatique ne s'arrête pas à la coupure des accès. Il y a une suite logique : récupérer le matériel, l'effacer complètement, le reconditionner pour le prochain salarié. C'est aussi une question d'économie : un MacBook ou un PC professionnel coûte entre 800 et 2 000 euros. Autant le réutiliser proprement plutôt que de le laisser dans un tiroir.
Effacer un disque dur pour une réutilisation professionnelle, ce n'est pas juste supprimer les fichiers. C'est une réinitialisation complète du système, avec une procédure traçable. Dans certains secteurs — santé, finance, juridique — une traçabilité de l'effacement est même documentairement exigée.
Un cabinet d'avocats de 22 personnes à Paris que nous accompagnons a mis en place un process : chaque départ déclenche automatiquement une procédure d'effacement certifié du poste et du mobile. Le document de traçabilité est archivé. En cas de contrôle, il peut prouver que les données ont été effacées. C'est le genre de précaution qu'on ne regrette jamais d'avoir prise.
Transformer l'offboarding en process, pas en pompier
Le vrai problème de l'offboarding informatique dans les PME, c'est qu'il n'est jamais formalisé. Chaque départ est géré dans l'urgence, en réaction. On court après la coupure des accès. On oublie le mobile. On découvre deux semaines plus tard que l'ancien salarié pouvait encore accéder à la messagerie.
Un bon offboarding informatique est un process déclenché automatiquement dès que les RH signalent un départ. Il n'attend pas que quelqu'un ait le temps. Il ne dépend pas de la mémoire d'un interlocuteur. Il tourne, point par point, le jour du départ.
Chez Cynera, on construit ce process avec vous une fois. Il s'applique ensuite à chaque départ, systématiquement. Si vous voulez voir comment on gère ça pour des PME comme la vôtre, l'échange commence sur cynera.fr.
Un départ en cours ou prévu ? Des accès à couper, un mobile à effacer ? Cynera structure l'offboarding informatique de vos PME avec un process reproductible, conforme RGPD, mobile inclus. Tout sur cynera.fr.