Le manque d’encadrement de la mort numérique
D’après la CNIL, en 2014, environ 13 millions de profils Facebook étaient ceux… de personnes décédées ! Un profil sur un réseau social ou sur un compte de messagerie étant strictement personnel et soumis au secret des correspondances, en l’absence de dispositions légales le permettant, le droit d’accès au profil d’une personne décédée n’était pas transmissible aux héritiers. En l’absence de connaissance de la volonté du défunt, la famille ne pouvait pas avoir accès à ses profils et données personnelles, mais pouvait simplement demander au responsable du traitement une actualisation des données, c’est-à-dire la prise en compte du décès, voir un verrouillage du compte, mais pas sa suppression ni un droit d’accès.
Le 29 mai 2013, la CNIL a d’ailleurs refusé de communiquer les relevés d’appels d’une défunte à ses héritiers, qui souhaitaient connaître la fréquence de ses contacts téléphoniques avec ses médecins. Le 8 juin 2016, le Conseil d’Etat a confirmé ce refus, considérant que la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ne prévoit « la communication des données à caractère personnel qu’à la personne concernée », et non à ses héritiers. En effet, l’article 39 de la loi de 1978 précise bien que « toute personne physique justifiant de son identité a le droit d’interroger le responsable d’un traitement de données à caractère personnel en vue d’obtenir […] la communication […] des données à caractère personnel qui la concernent » (CE. 8 juin 2016).
Depuis quelques années, de nombreux géants de l’Internet, réseaux sociaux et plateformes de messagerie – Facebook, Google, Instagram, LinkedIn, Outlook, Twitter, Yahoo – ont pris les devants afin de paramétrer cette « mort numérique », en proposant aux héritiers des options de désactivation. Google offre la possibilité à ses utilisateurs de décider du sort de leurs données personnelles après leur mort, et Facebook propose même aux proches du défunt de transformer son profil en « compte de commémoration »… On assiste dans ce cas plus à une immortalité numérique qu’à une véritable mort virtuelle !
Le nouveau cadre juridique issu de la Loi pour une République Numérique
L’article 63 de la loi n°2016-1321 du 7 octobre 2016 pour une République numérique ajoute un article 40-1 à la loi de 1978, créant ainsi un nouveau droit : le droit à la mort numérique. De son vivant, toute personne a désormais la possibilité d’organiser les conditions de conservation, d’effacement et de communication de ses données à caractère personnel après son décès.
Le principe est le suivant : les droits sur les données personnelles s’éteignent à la mort du titulaire, à savoir le droit d’accès, le droit d’opposition, le droit de rectification et enfin le droit de suppression.
Néanmoins, un maintien provisoire est prévu d’une part en cas de directives préparées par la personne concernée avant son décès (II de l’article 40-1 nouveau) et d’autre part au bénéfice des héritiers dans certains cas précis (III de l’article 40-1 nouveau).
Selon le point II, toute personne peut en effet prévoir des « directives relatives à la conservation, à l’effacement et à la communication de ses données à caractère personnel après son décès ». Les directives générales (concernant les données personnelles) sont enregistrées auprès d’un « tiers de confiance numérique certifié par la CNIL » (décret en Conseil d’Etat à venir), et les directives particulières (relatives aux traitements) sont enregistrées auprès des responsables de traitement. C’est une possibilité, et non une obligation. Ces éventuelles directives, modifiables ou révocables à tout moment, « définissent la manière dont la personne entend que soient exercés, après son décès », les droits sur ses données personnelles. Les directives peuvent désigner une « personne chargée de leur exécution », et à défaut, ce sont les héritiers du défunt qui pourront demander leur mise en œuvre aux responsables de traitement.
Selon le point III, « en l’absence de directives ou de mention contraire dans lesdites directives », les héritiers de la personne décédée peuvent exercer les droits sur ses données personnelles pour des motivations précises : afin de se faire communiquer « des informations utiles à la liquidation et au partage de la succession » ou encore afin d’obtenir la transmission de « biens numériques et les données s’apparentant à des souvenirs de famille ». Les héritiers peuvent également demander la fermeture des comptes utilisateurs du défunt, s’opposer à la poursuite du traitement de ses données personnelles, ou exiger leur mise à jour.
Les données personnelles : un bien immatériel objet d’un droit de propriété ?
En considérant cette appréhension légale des données personnelles après la mort, il est intéressant de s’interroger sur l’évolution ou non de la nature juridique des données personnelles. Cette question trouve un impact évident dans le cadre de l’utilisation aujourd’hui, par les entreprises digitales, du Big Data.
Si la donnée personnelle devient un bien immatériel, cela signifie qu’il peut être appréhendé comme un droit de propriété, objet du commerce, pouvant être cédé ou loué. Or, il est vrai que, objet d’un traitement de données personnelles, la donnée personnelle constitue une véritable richesse pour les entreprises, responsables de traitement.
Mais, en réalité, même si la donnée personnelle possède une valeur indéniable, sa nature juridique demeure attachée aux droits de la personnalité, à la vie privée et au secret des correspondances. Axelle LEMAIRE, secrétaire d’Etat chargée du numérique et porteuse du Projet de Loi, affirme clairement depuis le départ que le choix a été fait « d’instaurer un droit à la libre disposition de ses données », de garantir « aux individus non pas un droit de propriété mais un droit de contrôle sur l’usage qui est fait de leurs données personnelles ». L’article 54 de la loi pour une République numérique modifiant l’article 1er de la loi de 1978 consacre un droit de décider et de contrôler les usages qui sont faits de ses données personnelles, et non une véritable libre disposition de ses données personnelles.
En tout état de cause, les droits des personnes sur leurs données personnelles restent donc des droits inaliénables et attachés à la personne, et non des droits patrimoniaux.