LA MAÎTRISE DE SES DONNEES… APRES SA MORT

 ▶ Le silence du RGPD

Le RGPD accorde aux personnes concernées un certain nombre de droits pour assurer la maîtrise de leurs données : droit d’accès, droit de rectification, droit à l’effacement, droit à la portabilité, etc. Toutefois, les articles consacrant ces droits – comme l’ensemble du RGPD – ne s’appliquent pas aux personnes décédées. La possibilité d’exercer ces droits s’éteint donc avec la personne. Le RGPD laisse néanmoins la possibilité aux Etats membres de prévoir des règles spécifiques à ce sujet.

Jusqu’au milieu des années 2010, le droit français ne prévoyait rien à ce propos, exceptés quelques rares cas spécifiques, par exemple le droit d’accès au dossier médical d’une personne décédée par ses ayants droit, dans certaines conditions. C’est en 2016 que le législateur français, à l’occasion de la loi pour une République numérique, s’est penché sur la question. L’article 63 de cette loi a introduit un nouvel article dans la loi Informatique et libertés (LIL) concernant la possibilité de déterminer le sort de ses données post-mortem.

 ▶ Les règles prévues par la LIL

Aujourd’hui, l’article 85 de la LIL permet aux personnes de donner des directives relatives à la conservation, à l'effacement et à la communication de leurs données après leur décès. Plusieurs configurations sont envisagées :

Scénario 1 : la personne a donné des directives de son vivant :

Ces directives, révocables à tout moment, peuvent être :

• Générales: elles portent sur l’ensemble des données concernant une personnes. Elles peuvent être enregistré auprès d’un tiers de confiance numérique certifié par la CNIL. les règles relatives à ces tiers de confiance devaient être fixées par un décret en Conseil d’Etat qui n’a jamais été pris. Toutefois, le ministère de la justice a affirmé que ces directives peuvent valablement être prises sous signature privée.
• Particulières: lorsque ces directives ne concernent que certains traitements de données spécifiques. Elles sont enregistrées auprès des responsables de traitement concernés.

Pour l’application de ces directives, deux options sont possibles :

• L’intéressé a désigné une personne en charge de leur exécution : cette personne peut alors prendre connaissance des directives et demander leur mise en œuvre aux différents responsables de traitement concernés
• L’intéressé n’a désigné personne pour exécuter ces directives : ses héritiers pourront en prendre connaissance et demander leur mise en œuvre aux différents responsables de traitement

Scénario 2 : la personne n’a pas donné des directives de son vivant

Après son décès, ses héritiers peuvent exercer certains de ses droits :

• le droit d'accès, s'il est nécessaire pour le règlement de la succession de la personne décédée
• le droit d'opposition pour procéder à la clôture des comptes utilisateurs du défunt et s'opposer au traitement de leurs données

 ▶ En pratique aujourd'hui

L’esprit de ce texte visait essentiellement les réseaux sociaux, et la possibilité pour les personnes d’avoir la maîtrise de leur « mort numérique ». Les prestataires de service de communication au public en ligne ont d’ailleurs une obligation particulière en la matière (art. 85. III de la LIL). Ainsi, les plateformes telles que Facebook, Twitter ou encore Linkedin, par exemple, proposent de déterminer si le profil sera transformé en profil commémoratif ou sera supprimé, de déclarer que le titulaire d’un profil est décédé, etc.

Toutefois, l’article 85 du RGPD s’applique à tous les responsables de traitement, sans distinction. Sur ce point la littérature est assez pauvre. La CNIL n’évoque pas le droit de maîtrise de ses données après sa mort dans son registre des traitements, ni dans ses guides relatifs aux droits. Le décret du 29 mai 2019 donne des précisions sur les modalités de vérification de l’identité des héritiers exerçant le droit du défunt mais des interrogations demeurent : comment enregistrer les directives particulières ? Comment vérifier qu’une personne a bien été désignée pour exercer les droits au nom du défunt ? Comment savoir si l’accès aux données est nécessaires pour le règlement de la succession ? etc. 

Et vous, comment prenez-vous en compte ce droit dans vos procédures ? Y avez-vous souvent été confronté ?