smartcity-mag
Quel sort pour les données personnelles après la mort ?

21/11/2018

Le sort des données numériques d’un individu après sa mort a longtemps été un sujet ignoré tant par le droit que par les géants du web et les internautes. Généralement la mort est abordée sous un angle purement « physique » et matériel et non sous l’angle de l’identité immatérielle d’un individu. De fait, il n’est pas rare qu’un compte Facebook ou Instagram soit encore en ligne après le décès de son utilisateur, ce qui a conduit certains auteurs à qualifier cette situation impromptue « d’immortalité numérique ».

Avec l’essor du numérique et du web, la question de la mort – certes peu joyeuse – ne peut plus être éludée ; la présence sur la toile et sur les réseaux sociaux d’un nombre croissant de personnes soulève de nombreuses problématiques relatives au devenir de leurs données personnelles lorsqu’ils viennent à décéder : comment avoir accès aux données numériques du défunt (photos, vidéos, coordonnées bancaires, posts, mots de passe…) ? Comment gérer la e-réputation de ce dernier ? Comment clôturer sa page web ou son compte Facebook ou Twitter ?

Autant d’interrogations qui nécessitaient l’intervention en urgence du droit afin de mettre un terme à des situations parfois délicates.
Ce n’est qu’en 2016 que le législateur français s’est attelé à répondre à ces questions avec la loi pour une République numérique. Cependant, et c’est ce que nous allons voir, la situation demeure encore imparfaite et il importe, pour chaque internaute, d’être extrêmement vigilant dans la gestion et la préparation de ce qu’il convient d’appeler sa « mort numérique ». 

Qu’est-ce que le droit à la mort numérique ?
Selon la loi pour une République numérique, il s’agit d’un droit assurant à toute personne d’organiser, de son vivant, les conditions de conservation et de communication de ses données à caractère personnel après son décès. 

Selon l’article 40-1 de la loi Informatique, Fichiers et Libertés modifiée, les droits à la protection des données et notamment les droits d’opposition, d’accès, de rectification et de suppression deviennent caducs à la mort de l’intéressé. 

Cependant, « toute personne peut définir des directives relatives à la conservation, à l'effacement et à la communication de ses données à caractère personnel après son décès. Ces directives sont générales ou particulières ».  Le législateur a donc scindé en deux catégories ces directives ce qui peut s’avérer être, comme nous allons le voir, complexe à appréhender. 

Comment organiser la gestion de sa mort numérique ?
Comme indiqué précédemment, chaque internaute se devrait – théoriquement – de : 
  • définir des directives généralesou particulières relatives au sort de ses données après sa mort ; 
  • ou alors de désigner une personne afin d’exécuter et de mettre en œuvre lesdites directives. 
Selon l’alinéa 2 de l’article 40-1 III précité « les directives générales concernent l'ensemble des données à caractère personnel se rapportant à la personne concernée et peuvent être enregistrées auprès d'un tiers de confiance numérique certifié par la Commission nationale de l'informatique et des libertés (CNIL) ». 

Les directives générales renvoient donc à l’ensemble des données relatives à un individu et présentes sur la toile. Le tiers de confiance devient en l’espèce une sorte de « notaire dématérialisé » recueillant le testament numérique de l’internaute sur un registre unique. Problème : plus de deux ans après la promulgation de cette loi, le décret du Conseil d’Etat devant organiser la certification des tiers de confiance par la CNIL n’est à ce jour pas paru ! Le cas des directives générales se doit donc d’être appréhendé avec la plus grande prudence… 

Les directives particulières concernent quant à elles les traitements de données effectués par des « responsables de traitement » spécifiques et préalablement identifiés tels que Facebook, Outlook, Gmail ou LinkedIn. Dans ce cas, l’internaute (ou la personne qu’il a désignée) se doit de contacter un à un chacun de ces prestataires en vue de gérer au cas par cas la question du devenir de ses données post mortem. Selon l’alinéa 5 de l’article 40-1 III, ces directives particulières « font l'objet du consentement spécifique de la personne concernée et ne peuvent résulter de la seule approbation par celle-ci des conditions générales d'utilisation » du prestataire web. Dans les faits, cela a poussé nombre de ces prestataires à prévoir des modalités de recueil des directives particulières de chaque personne ainsi que, le cas échéant, les modalités de communication des données du défunt à la personne que celui-ci aura désignée. Enfin, la loi prévoit que chaque individu peut revenir à tout moment sur les directives qu’il aura déterminées. 

Quel sort des données personnelles du défunt lorsque celui-ci n’a donné aucune directive particulière ?
Malheureusement, trop peu d’internautes sont à ce jour informés de leurs droits en la matière et spécifiquement de la possibilité d’organiser le devenir de leurs données personnelles suite à leur décès. Fort heureusement, la loi pour la République numérique a quelque peu clarifié ce point en donnant deux grandes possibilités pour les héritiers de gérer cette problématique. 

Tout d’abord, à condition qu’il soit « nécessaire au règlement de la succession », un droit d’accès aux comptes du défunt est envisagé par l’article 40-1 III au bénéfice des héritiers. Il convient néanmoins de relever que le manque de clarté de l’expression « nécessaire au règlement de la succession » risque d’entraîner de nombreuses incertitudes sur le plan jurisprudentiel. 

Le texte précise en outre que les héritiers « peuvent aussi recevoir communication des biens numériques ou des données s'apparentant à des souvenirs de famille, transmissibles aux héritiers ». Ensuite, ces derniers bénéficient d’un droit d’opposition permettant la mise à jour ou la clôture des comptes du défunt ainsi que la possibilité de refuser le traitement post mortemde ses données personnelles. Concrètement, avec la reconnaissance de ce droit, les héritiers peuvent immédiatement notifier aux responsables de traitement concernés (réseaux sociaux, messageries, sites web…) le décès de la personne. 

Dans les faits, malgré l’uniformisation voulue par le législateur, chaque site ou réseau social aborde de sa propre manière cette question, Snapshat et LinkedIn demandant par exemple un justificatif de décès de la personne concernée alors que Facebook demande, du vivant de l’internaute, le nom d’un légataire…

Comment faire respecter la réputation numérique d’une personne décédée ?
Il n’est pas rare que la mémoire d’un mort soit bafouée sur internet. La loi pour une République numérique n’apporte aucune réponse concrète à cette question. 

Il faut se reporter à une loi plus ancienne sur la liberté de la presse (loi de 1881) pour pouvoir défendre l’image post mortem de l’individu sur le terrain de la diffamation, du dénigrement ou de l’injure. Mais encore faudra-t-il être sûr que les conditions restrictives propres à la caractérisation de ces infractions pénales soient réunies. 
 
*************
On le voit, avec la loi pour la République numérique, le législateur a pris à bras le corps cette problématique. Les données personnelles d’une personne décédée font désormais l’objet d’un cadre juridique plus précis et en totale adéquation avec le Règlement Général sur la Protection des Données (le « RGPD »). 

Cependant, à bien des égards, ce nouveau cadre s’avère être complexe à mettre en œuvre du fait de la distinction entre « directives générales » et « directives particulières » du défunt ainsi que de l’absence d’uniformisation des procédures à mettre en place pour chaque site. 

De plus, quelques incertitudes demeurent dans la mise en œuvre de ce texte, incertitudes résultant principalement du fait que le décret d’application relatif aux « directives générales » du défunt n’est toujours pas publié. 


Facebook Twitter LinkedIn YouTube