Le RGPD a pour objectif la protection des données à caractère personnel des personnes. Mais quid des données d’une personne après son décès ?
Le Règlement Européen sur la protection des données ne s'applique pas aux données des défunts. Pour trouver des dispositions à ce sujet, il faut regarder du côté de la législation de chaque Etat-Membre.
Quel est l’enjeu posé par les données des personnes décédées ? Nous produisons de nombreuses données durant notre vie avec toutes les démarches administratives dématérialisées, nos profils sur les réseaux sociaux ou encore nos achats sur les sites e-commerce.
La plupart des personnes ne se préoccupent pas des conditions de conservation et de communication de leurs données post-mortem. Par exemple, plus de 8000 personnes ayant un profil Facebook disparaissent chaque jour. Or, beaucoup de ces profils sont simplement laissés à l’abandon.
Dans ce article, nous nous interrogerons sur :
- ce qu’est la mort numérique,
- les dispositions législatives visant à protéger les données personnelles d’un défunt,
- les sanctions en cas de non-respect de la protection des données à caractère personnel des personnes décédées.
1- Qu’est-ce que la mort numérique ?
Mort numérique : un encadrement juridique
Comme indiqué en introduction, le RGPD reste silencieux en ce qui concerne les données à caractère personnel des défunts. Ses dispositions ne s'appliquent pas à ce cas de figure.
En France, c’est la loi n°2016-1321 pour une République numérique du 7 octobre 2016 qui a introduit la notion de mort numérique, en modifiant la loi du 6 janvier 1978.
L’article 40-1 de la loi Informatique et libertés vise à encadrer le devenir des données à caractère personnel après le décès des personnes concernées.
La définition de la mort numérique
La notion de “mort numérique” peut se définir comme la cessation d’activité sur internet du fait du décès d’une personne. Cependant, même après la cessation d’activité, l’identité numérique de la personne lui survit. En effet, sans intervention particulière, les données numériques de la personne décédée restent présentes sur le web.
L'identité numérique est l’ensemble des traces numériques qu’une personne laisse sur le web. Elle comprend à la fois l'e-notoriété, la renommée acquise sur internet et l’e-réputation, qui est l’image numérique de la personne sur internet.
L'identité numérique est notamment constituée du pseudo, des photos, des vidéos, des adresses IP, des commentaires sur les blogs ou encore des activités sur les réseaux sociaux.
Les enjeux de la mort numérique
L’identité numérique n’est pas liée à la présence physique d’une personne. Cela signifie que lorsqu’un individu décède, cela n’entraîne pas automatiquement l'effacement des traces de ses données numériques, aussi appelée “mort numérique”.
Or, la modification ou la suppression de ces données à caractère personnel peuvent permettre le respect de la vie privée et la mémoire du défunt.
D’autant que la présence de celles-ci, particulièrement les profils sur les réseaux sociaux, sont souvent difficiles à supporter pour l’entourage. Notamment les rappels d’anniversaires ou de souvenirs communs.
Il existe un autre risque à laisser ses données sur internet après son décès : celles-ci pourraient être récupérées par des cybercriminels.
2- Gestion des données des défunts : quelles sont les règles ?
Il existe deux cas de figure :
- La personne a laissé des directives avant son décès concernant ses données personnelles,
- La personne n’a pas laissé de directive avant son décès.
La gestion des données d’un défunt ayant laissé des directives
Grâce à la notion de mort numérique introduite dans la loi Française, il est possible d'organiser les conditions de conservation et de communication de ses données post mortem.
Désignation d’une personne chargée de l’exécution des directives
Chacun peut laisser des directives concernant la conservation, la suppression et la communication de ses données personnelles après son décès.
Ces directives définissent la manière dont la personne souhaite que ses droits sur ses données personnelles soient exercés. Ces directives peuvent être modifiées à tout moment.
La personne concernée peut désigner une personne chargée de l’exécution de ses directives. Cette personne est différente selon que les directives soient générales ou particulières :
- Type de directive:
Directives générales : portent sur l’ensemble des données concernant une personne
Exemple : la personne souhaite que tous ses comptes soient supprimés après son décès
- Personne chargée de leur exécution :
Un tiers de confiance numérique certifié par la CNIL ayant qualité pour demander la mise en œuvre des directives auprès des responsables de traitement concernés.
- Registre :
Les références des directives générales et du tiers de confiance auprès duquel elles sont enregistrées sont inscrites dans un registre unique tenu par la CNIL.
OU
- Type de directive:
Directives particulières : ne concernent que certains traitement de données
Exemple : la personne souhaite que son compte Facebook soit maintenu mais que son compte GMail soit supprimé.
- Personne chargée de leur exécution :
Chaque responsable de traitement concerné
- Registre :
Les responsables de traitement concernés inscrivent ces directives dans leur registre de traitement des données.
Si aucune personne de confiance n’est désignée mais que le défunt a laissé des directives concernant ses données personnelles, ce sont ses héritiers qui ont qualité pour prendre connaissance des directives. Ils peuvent demander la mise en œuvre de ces directives auprès des responsables de traitement.
Formaliser ses directives
Rédiger ses directives de son vivant est un enjeu de transmission numérique. En effet, ne pas avoir accès aux données numériques d’un défunt prive les héritiers d’une partie de leur patrimoine.
Pour organiser son héritage numérique, il existe principalement deux solutions ;
- Se tourner vers un notaire : la personne peut établir la liste de ses comptes internet et réseaux sociaux avec chaque mot de passe dans son testament. Ainsi, les héritiers peuvent plus facilement gérer les données en cas de décès de la personne concernée.
- Utiliser un service de gestion des données post-mortem : les données constituant l’identité numérique de la personne sont stockées dans un coffre-fort numérique qui pourra être ouvert par les héritiers à son décès.
Gérer les données des défunts en l’absence de directive
Absence de directive : le principe
La personne n’a laissé aucune directive ni désigné aucune personne de confiance : que faire ? Dans ce cas, la gestion des données numériques du défunt revient aux héritiers.
Si une personne n’a pas laissé de directive concernant la gestion de ses données personnelles, les héritiers peuvent exercer les droits liés à la communication, à la conservation ou à la suppression des données dans certains cas :
- Les ayants-droits peuvent accéder aux données d’une personne décédée si celles-ci permettent d’obtenir des informations utiles à l’organisation et au règlement de la succession.
- Les ayants-droits peuvent exercer certains droits de la personne concernée afin que son décès soit pris en compte par le responsable de traitement. Par exemple, les héritiers peuvent :
- faire procéder à la clôture des comptes utilisateur : supprimer un compte sur un site e-commerce, un compte sur un réseau social etc.;
- s’opposer à la poursuite du traitement de données : résilier un abonnement téléphonique, etc.
En résumé, en l'absence de directives laissées par la personne concernée, les héritiers peuvent exercer certains droits :
- le droit d'accès : pour le règlement de la succession du défunt ;
- le droit d'opposition pour procéder à la clôture des comptes utilisateurs du défunt et s'opposer au traitement de leurs données.
Exemple des profils sur les réseaux sociaux
Le principe suivant est énoncé par la CNIL : un profil sur un réseau social ou un compte de messagerie est strictement personnel et soumis au secret des correspondances. Ainsi, les héritiers ne bénéficient pas d’un droit d’accès aux comptes des réseaux sociaux d’une personne décédée.
Cependant, l’article 85 de la loi Informatique et Libertés prévoit que les héritiers peuvent demander au responsable d’un fichier de tenir compte du décès d’une personne. Ainsi, ils peuvent demander au responsable de traitement d’un réseau social de supprimer le compte utilisateur ou de désactiver le profil de la personne concernée. Les héritiers ont aussi la possibilité de faire évoluer le compte. Tout cela, même si le défunt n’a donné aucune directive.
Google, Microsoft ou encore les principaux réseaux sociaux proposent des formulaires pour gérer les données des défunts. Les héritiers doivent solliciter chaque réseau social et fournir les justificatifs prouvant leur identité ainsi que le décès de la personne.
🔎 Exemple :
Facebook permet aux proches du défunt de transformer son compte en « Mémorial ». L'objectif est d’offrir à la personne décédée une “éternité numérique” et à l’entourage un lieu virtuel où se recueillir.
Ainsi, depuis la loi de 2016, les héritiers peuvent se subroger dans l’exercice des droits du défunt.
Mort numérique : le rôle des responsables de traitement
Principe : Un responsable de traitement ne peut pas supprimer de lui-même des données personnelles.
🔎 Exemple : En l’absence de directive et tant qu’aucune demande n’est formulée, le profil d’une personne continue d’exister sur les réseaux sociaux. Le responsable de traitement ne peut pas prendre l’initiative de supprimer un profil pour inactivité. En effet, il ne sait pas si un profil est inactif pour décès ou autre.
En revanche, si une personne décédée avait laissé des directives concernant ses données, le responsable de traitement est obligé de les exécuter.
Idem si les héritiers exercent une demande au nom de la personne décédée, le responsable de traitement doit procéder aux opérations exigées. A condition de vérifier l'identité des personnes demandeuses, bien entendu.
Les réseaux sociaux ont d’ailleurs créé des plateformes d’effacement ou de désactivation des comptes pour faciliter la gestion des demandes des ayants-droits.
3- Mort numérique : les sanctions en cas de non-respect
Les ayant droits d’une personne décédée peuvent saisir un tribunal de grande instance :
- Pour demander réparation du préjudice subi, si :
- L’ayant droit s’estime lésé par le traitement des données d’un proche décédé : absence de réponse pour la suppression d’un profil, non résiliation d’un abonnement téléphonique, etc.
- Le traitement de données personnelles d’une personne décédée porte atteinte à sa mémoire, sa réputation ou encore à l’honneur de cette personne.
- En cas de désaccord entre les différents héritiers concernant l’exercice des droits.
Si le RGPD ne s’applique pas aux données personnelles des défunts, la mort numérique est définie dans la loi française. Chacun peut organiser son héritage numérique avant son décès. Pensez-y !
Sources :
- https://www.cnil.fr/fr/ce-que-change-la-loi-pour-une-republique-numerique-pour-la-protection-des-donnees-personnelles
- https://www.cnil.fr/fr/mort-numerique-effacement-informations-personne-decedee