Les données post mortem

Que deviennent les données personnelles en cas de décès? Les données à caractère personnel prennent elles fin en même temps que la vie de la personne concernée? Qu'entend on par mort numérique?

 

Par principe, selon le RGPD, dès lors que l’objectif poursuivi par un traitement de données est atteint, il n’y a plus lieu de conserver les données personnelles d’une personne. Ainsi, elles devraient être supprimées.

Cependant, l’une des questions délicates quant à la conservation de données revient lors du décès de la personne concernée par un traitement.

            L’absence de dispositions dans le RGPD sur les données post-mortem

Les données post-mortem recouvrent les données à caractère personnel d’une personne, saisies numériquement (création d’un contenu en ligne, données locales sur ordinateur, etc.), qui sont détenues par un responsable de traitement après le décès de la personne concernée.

Le RGPD protège les personnes physiques vivantes or il ne s’applique pas aux données des personnes décédées (considérant n°27). De même, il ne procède à aucun renvoi à la législation des Etats membres sur cette question. Ces derniers sont donc libres de légiférer sur les données post-mortem.

Deux approches s’opposent à ce sujet. En effet, pour certains, les droits de l’individu perdurent après la mort, par une sorte de mandat par lequel la volonté de la personne s’exprime. Pour d’autres, l’approche doit être plus réaliste et les données seraient léguées aux héritiers.

A cela, la législation française diffère du droit américain qui n’utilise pas les mêmes outils juridiques pour protéger la vie privée des personnes.

Aujourd’hui, on parle d’une « hypermnésie numérique », ce qui signifie qu’il y a une accumulation considérable de données de toutes sortes (courriers électroniques, traces d’achats, etc.). De ce fait, l’intérêt porté par les utilisateurs sur le sort de leurs données est de plus en plus croissant. Les premiers à avoir réagi ont été les fournisseurs de services, tels que Google qui laisse la possibilité à ses utilisateurs de choisir le sort de leur compte lors d’une inactivité de longue durée.

En France, avant le régime actuel, la seule solution était de faire acter le décès par le fournisseur de services pour mettre à jour les informations. Malgré quelques innovations proposées par les juges, une loi spécifique était nécessaire en la matière.

            Un régime adapté à la volonté de la personne décédée

En France, c’est la loi n°2016-1321 du 7 octobre 2016 intitulée «  loi pour une république numérique  » qui a mis en place le régime relatif à la conservation des données après la mort de la personne concernée, appelé « mort numérique » (article 63 de la loi).

Ce dispositif de « mort numérique » a été incorporé à article 40-1 de la loi n°78-17 . Il prévoit que les droits d’une personne sur ses données (droit d’opposition, droit d’accès, droit de rectification) s’éteignent à son décès, mais peuvent être provisoirement maintenus selon deux modes différents :

  • La personne définit de son vivant des directives, générales ou particulières, sur la conservation, l’effacement et la communication de ses données à caractère personnelles après son décès.

Les directives générales portent sur un ensemble de données à caractère personnel se rapportant à une personne et peuvent être enregistrées auprès d’un tiers de confiance numérique, certifié par la CNIL.
Les directives particulières ou spécifiques ne concernent que certains traitements de données particuliers. Elles font l’objet d’un consentement spécifique de la personne concernée et ne peuvent pas résulter de la seule approbation des conditions générales d’utilisation par la personne.

Dans tous les cas, le responsable du traitement doit s’assurer du respect des souhaits de la personne décédée.

  • Les héritiers de la personne décédée exercent ces droits après le décès. Ils exercent les droits de la personne décédée dans le cadre de l’organisation et du règlement de la succession (liquidation et partage), ou encore dans le cadre de la prise en compte du décès par les responsables du traitement.

Un prestataire de service de communication au public en ligne doit informer l’utilisateur du sort de ses données après son décès et lui laisser le choix sur la communication des données à un tiers désigné.

Les conditions générales d’utilisation ne peuvent plus ignorer cette possibilité.

Enfin, alors que la Loi Informatique et Libertés obligeait déjà le responsable de traitement de communiquer certaines informations à la personne concernée, le RGPD prévoit un renforcement de ces obligations. Désormais, tout formulaire de collecte de données, toute politique de protection des données et toutes conditions générales d’utilisation doivent indiquer la durée de conservation des données.