Gestion des accès quand un salarié quitte l'entreprise : guide complet 2026

📅 16 juillet 2026 ✍️ Hugo Laurent ⏱️ 6 min 📂 Bonnes pratiques

Sommaire

Un salarié qui quitte votre PME de Valence ou de l'Ardèche, c'est normal. Mais la gestion de ses accès informatiques ? C'est souvent le trou noir. Email encore actif six mois après, compte VPN accessible, données sensibles restées sur son ordi portable... J'en vois régulièrement des cas chez mes clients en Drôme.

Selon l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information), 40 % des PME n'ont pas de procédure formalisée de révocation d'accès. Résultat : fuites de données, usurpation d'identité, compliance RGPD compromise. Ce guide vous offre une checklist opérationnelle, complète et validée, pour sécuriser le départ de vos collaborateurs.

5 règles essentielles pour l'offboarding IT

1. Désactiver les accès le jour du départ

Aucune exception. Dès que le contrat prend fin ou que le départ est acté, tous les identifiants doivent être révoqués. Email, VPN, serveur, cloud, badge physique, outils SaaS : 0 accès actif. C'est la règle n°1. Temporiser = risque.

2. Documenter chaque accès attribué

Vous ne pouvez pas révoquer ce que vous ne connaissez pas. Avant chaque départ, faites un audit rapide : quels systèmes a-t-il touchés ? Quel était son rôle ? Cette documentation doit existée dès l'embauche (onboarding).

3. Transférer ou archiver les données professionnelles

Les données appartiennent à l'entreprise. Avant de désactiver le compte email, exportez les archives, transférez les dossiers partagés au manager. C'est un impératif légal (droit du travail) et de conformité RGPD.

4. Vérifier la révocation (test d'accès)

Ne pas supposer. Une demi-heure après révocation, testez l'accès : essayez de vous connecter avec ses identifiants. Si ça passe, il y a un problème. Sinon, documentez le succès.

5. Archiver la trace de l'offboarding

Gardez une preuve : qui a révoqué quoi, quand, sur quel système. Les logs d'authentification sont votre ami en cas de litige ou audit CNIL.

Checklist complète d'offboarding IT

À imprimer ou adapter dans votre outils de gestion RH

Avant le départ (1-2 semaines)

Le jour du départ (matin/midi)

Après le départ (jour même, puis semaine 1)

3 pièges majeurs à éviter

❌ Piège 1 : Oublier les accès "fantômes"

Email externe, applications legacy que "personne n'utilise", compte AWS créé il y a 3 ans, ancien logiciel de compta... Ces accès restent actifs car on ne les documente pas. Chez un client à Valence, un ancien développeur avait encore accès au serveur Git deux ans après son départ ! Solution : inventorier tous les systèmes au moment de l'onboarding, pas seulement les "grands".

❌ Piège 2 : Désactiver trop tôt sans archiver

Vous supprimez le compte email avant d'avoir exporté les 8 000 messages importants ? Récupérer les données après, c'est mission impossible. Toujours : archiver avant de supprimer. L'ordre compte.

❌ Piège 3 : Ne pas former les manager et RH

Le technicien part en vacances, un employé démissionne... et personne d'autre ne sait faire l'offboarding. Résultat : 3 semaines avant que quelqu'un n'y pense. Documentez la procédure, formez au moins 2 personnes. C'est 30 minutes de travail qui évite des mois de risque.

5 outils pour automatiser l'offboarding

1. Okta Identity Management

Gère les accès centralisés et l'offboarding semi-automatique. Quand vous "fermez" un utilisateur dans Okta, tous les accès liés sont révoqués en cascade. Idéal pour les PME avec plusieurs SaaS.

2. Microsoft Entra ID (ex Azure AD)

Si vous êtes sur Microsoft 365/Office 365, c'est gratuit et intégré. Désactiver un utilisateur revoque automatiquement email, Teams, OneDrive, SharePoint. Puissant pour les petites structures.

3. JumpCloud

Solution clouds pour gérer les utilisateurs, les devices et les accès (email, VPN, applis). Moins cher qu'Okta pour une TPE de Drôme ou Ardèche.

4. 1Password Business

Gère les mots de passe partagés de l'entreprise. Quand quelqu'un part, vous pouvez révoquer son accès et forcer le changement du mot de passe d'un compte partagé qu'il connaissait (WiFi, admin, etc.).

5. Checklist.so ou Asana (simple mais efficace)

Si vous êtes tout petit, un simple template de checklist digitale suffit. L'important : que tout soit écrit et suivi. Pas de "j'ai oublié de désactiver le VPN".

Mon expérience terrain : ce que je vois chez mes clients

Cas client #1 : Artisan électricien, Ardèche

Un apprenti avait réussi à garder accès au logiciel de facturation et de gestion de chantiers 6 mois après son départ. Il aurait pu modifier les devis ou facturer au nom de l'entreprise. Découvert par hasard lors d'un audit. Depuis, j'ai mis en place une checklist simple : chaque départ passe par moi et un membre du bureau.

Cas client #2 : PME logistique, Valence

Une administratrice RH partait. Ses mots de passe (email boss, serveur, compta) étaient documentés... sur un Post-it dans un classeur. Le lendemain du départ, le manager n'avait plus accès à sa propre boîte email car elle l'avait réinitialisée. Solution : passage à un gestionnaire de mots de passe (1Password) et formation de deux personnes en parallèle.

Cas client #3 : Association de 8 personnes, Drôme

Pas d'IT formelle. Quand un bénévole partait, on disait "tu devrais peut-être changer le mot de passe de la boîte email partagée". Trois personnes ont le mot de passe, deux n'en connaissent qu'une moitié. Le risque ? Énorme. On a mis en place Microsoft Entra ID gratuitement et une procédure écrite. C'est pris 90 minutes une fois pour toutes.

Ce que j'observe : les petites structures sous-estiment souvent ce risque. "On fait confiance", "personne ne voudrait nous voler", "on n'est pas Google". Faux. Les données, même d'une PME, ont de la valeur. Un ancien employé frustré, c'est aussi une menace réelle. La sécurité informatique commence par l'offboarding.

Questions fréquentes

Quel est le timing idéal pour révoquer les accès ?

Les accès doivent être révoqués le jour du départ, idéalement le matin ou en fin de matinée. Cela empêche la personne d'utiliser les systèmes après avoir quitté physiquement l'entreprise. Certaines structures préfèrent attendre l'après-midi pour éviter des problèmes d'accès urgents le matin. L'essentiel : même jour, documenté.

Que faire des données du salarié qui part ?

Les données professionnelles appartiennent à l'entreprise et doivent être archivées ou transférées au manager ou au successeur. Les données personnelles du salarié (CV, documents bancaires, etc.) doivent être supprimées conformément au RGPD et aux règles de la CNIL. Une bonne pratique : avant de supprimer un compte, faire un export des emails professionnels pendant 1-2 semaines. Les outils comme Microsoft 365 offrent cette fonctionnalité nativement.

Comment vérifier que tous les accès sont révoqués ?

Deux approches : Test manuel : essayez de vous connecter avec ses identifiants après révocation (email, VPN, serveur). Si l'accès est refusé, c'est bon. Audit des logs : consultez les logs d'authentification du serveur ou du gestionnaire d'identité (Active Directory, Okta) pour confirmer qu'aucune connexion n'est enregistrée après la date/heure de révocation. Documentez ces tests.

Faut-il un audit de sécurité après un départ ?

Pour la plupart des départs : non, une simple checklist suffit. Mais oui pour : postes IT (développeurs, admins système), accès sensibles (données clients, compta, légal), ou départs conflictuels. Un audit = vérifier les droits résiduels, auditer les logs des 30 jours précédents, vérifier les données sauvegardées. Coût : 200-500€ selon la structure. Utile ? Oui si le poste était sensible.

Et si le salarié revient en prestataire/freelance ?

Même procédure d'offboarding. Créez ensuite un compte limité (pas admin, droits restreints) pour ses besoins spécifiques de prestataire. Ne jamais réutiliser un ancien compte salarié. Les accès doivent être temporaires et documentés par contrat.

Quelle est la conformité CNIL/RGPD concernée ?

Le RGPD (CNIL en France) impose que les données personnelles soient supprimées ou archivées selon la durée de conservation définie. L'offboarding IT doit inclure cette dimension : supprimer les données personnelles du salarié après la fin du contrat (durée légale : généralement 3 ans pour les données de paie). Garder un email "au cas où" pendant 5 ans = non-conformité. Documentez votre politique de conservation et appliquez-la.

Besoin d'aide pour sécuriser vos offboarding IT ?

Vous êtes une TPE ou PME en Drôme ou Ardèche ? Je peux vous aider à :

Prendre un rendez-vous

À propos

Hugo Laurent est technicien informatique indépendant basé à Valence (Drôme). Depuis 2015, il accompagne les TPE et PME de Drôme et Ardèche sur l'infogérance, la sécurité informatique, la gestion des données et la transformation digitale. Ses clients apprécient son approche pédagogique et son engagement auprès des petites structures sans budget IT dédié.

📧 contact@hugoinformatique.fr
📞 06 XX XX XX XX (Valence)
🌐 hugoinformatique.fr