Quand un employé quitte l'entreprise : les 8 étapes pour sécuriser vos données

Le départ d’un collaborateur est rarement traité comme un événement de sécurité informatique. On pense à récupérer le badge, les clés, parfois l’ordinateur — mais les accès numériques passent souvent entre les mailles du filet. Avec des conséquences potentiellement graves.

Selon plusieurs études sectorielles, une majorité d’ex-employés conservent un accès actif à au moins un système de leur ancien employeur dans les semaines suivant leur départ. Et ce n’est pas toujours intentionnel — c’est simplement que personne n’a pensé à révoquer l’accès.

Pourquoi c’est un vrai risque

Un ancien employé avec des accès toujours actifs peut, volontairement ou non :

• Consulter des emails ou documents confidentiels
• Exporter des listes clients ou des données commerciales
• Modifier des fichiers partagés
• Se connecter à des outils cloud (CRM, comptabilité, messagerie)

En cas de litige ou de départ conflictuel, ce risque est démultiplié. Et du point de vue RGPD, maintenir des accès ouverts après la fin du contrat constitue une violation de vos obligations de minimisation des données.

Le protocole en 8 étapes

1. Anticiper avant le départ effectif

Idéalement, la révocation des accès se prépare avant le dernier jour. Un délai de préavis permet de transférer les fichiers importants, de rediriger les emails entrants, et d’organiser la passation de façon ordonnée.

2. Répertorier tous les accès de la personne

Dressez une liste complète : compte Windows, email professionnel, Microsoft 365, CRM, outils de gestion, accès VPN, partages réseau, outils cloud spécifiques au poste. Beaucoup de PME n’ont pas cet inventaire — c’est un problème en soi.

3. Désactiver le compte Active Directory ou Azure AD

C’est la première action côté Windows. Désactiver le compte (plutôt que le supprimer immédiatement) bloque les accès locaux et cloud synchronisés, tout en conservant les données associées.

4. Révoquer les accès Microsoft 365

Déconnecter toutes les sessions actives, révoquer les tokens d’authentification, désactiver la boîte mail ou la convertir en boîte partagée selon les besoins. Ne pas oublier Teams, SharePoint, et OneDrive. La gestion Microsoft 365 inclut cette procédure dans notre périmètre d’intervention.

5. Supprimer ou transférer les accès aux outils tiers

CRM, logiciel de comptabilité, outil de signature électronique, plateforme de gestion de projet — chaque outil a sa propre gestion d’accès, indépendante du compte Windows. Il faut les passer en revue un par un.

6. Changer les mots de passe partagés

Si l’entreprise utilise des comptes partagés (accès à un outil commun, identifiant générique), ces mots de passe doivent être changés au départ de toute personne qui y avait accès.

7. Récupérer et archiver les données

Avant de supprimer le compte, s’assurer que les fichiers importants ont été transférés au successeur ou archivés selon votre politique de rétention. Certains contenus peuvent être nécessaires pour des raisons légales ou comptables.

8. Documenter et tracer

Consignez la date et l’heure de chaque révocation. En cas de litige ultérieur ou d’audit RGPD, vous devez être en mesure de prouver que les accès ont bien été coupés à la date du départ.

La réalité dans la plupart des PME

Ce protocole est logique sur le papier. En pratique, il n’est pas appliqué faute de temps, d’inventaire des accès, ou simplement parce que personne n’t en est responsable.

C’est précisément ce que couvre l’infogérance Zerobug : lors de chaque départ signalé, nous exécutons ce protocole de façon systématique, avec traçabilité complète. Nos clients n’ont pas à y penser — c’est dans le périmètre.

Si vous gérez vos départs en interne et n’avez pas de procédure formalisée, un audit de vos accès existants est un bon point de départ. Vous pourriez être surpris du nombre d’accès ouverts sur des comptes inactifs. Contactez-nous pour un état des lieux.