Données à caractère personnel et décès de la personne concernée

La mort s’invite (enfin) dans le débat sur les données à caractère personnel. Voici donc quelques éléments de réflexion pour alimenter la discussion.

 

« Les morts ne sont plus des personnes ; ils ne sont plus rien ».

 

Cette formule de Planiol indique que la personne étant décédée, tous ses droits disparaissent avec elle. Néanmoins, le droit s’est interrogé sur le devenir du corps physique du défunt [1]. Ainsi l’intégrité physique de la personne décédée doit continuer à être respectée, tandis que le droit à l’intégrité morale (droit à l’image, etc.) s’éteint.

 

Se pose cependant la question du devenir des données à caractère personnel de la personne décédée. Ces données, relatives à la personne (qui n’est plus rien depuis son décès, rappelons-le), devraient donc disparaître en même temps qu’elle.

 

Or, il n’en est rien. Que ce soit pour des raisons de preuve [2] ou bassement commerciales [3], les données sont rarement effacées (ou au moins mises aux archives) pour prendre en compte le décès [4].

 

L’UE ignore le sujet, malgré le fait qu’elle avait voté en 1995 une directive 95/46/CE, pour obliger les pays européens à se doter d’une loi « informatique et libertés ». C’est le code de la santé publique qui, en 2002, traite en premier du problème. L’article L.1110-4 permet aux ayant-droits d’avoir accès aux informations concernant la personne décédée pour faire valoir leurs droits [5]. En 2005, le décret 2005-1309 du 20 octobre 2005 (qui introduit le Correspondant Informatique et Libertés en droit français) permet aux héritiers [6] de faire rectifier les informations pour faire prendre en compte le décès de la personne. En clair, demander à Facebook d’indiquer sur le profil que la personne est décédée.

 

Depuis, plusieurs pays se sont dotés de législations sur la protection des données. Ainsi, les Philippines sont le premier pays [7] à accorder aux ayant-droits la possibilité d’agir de façon global sur les données d’une personne décédée. Et le règlement européen en préparation voit, enfin, apparaître des amendements proposant d’accorder aux ayant-droits le pouvoir sur les données de la personne décédée [8]. Dans le même temps, en Conseil Européen, les gouvernements se demandent quelle position adopter. Avec, par exemple, d’un coté l’Espagne, qui souhaite qu’une personne décédée ne bénéficie plus de la protection de la loi Informatique et Libertés, et de l’autre la France qui souhaite a minima rester sur la législation actuelle.

 

Mais quelles sont les conséquences de tels amendements ?

 

Deux théories s’opposent.

 

On pourrait se dire que les données à caractère personnel seraient un bien incorporel de la personne, pour être transmises à sa mort. Un peu comme une action en Bourse se transmet aux descendants. Cependant, cette vision se heurte à un obstacle pratique. Tant que le partage successoral n’est pas effectué, les droits d’accès, de rectification et de suppression sont possédées en indivision par les ayant-droits, qui doivent les décisions à la majorité des 2/3 [9]. Vient ensuite la délicate question du partage. Quelle valeur pécuniaire a un compte Facebook ? Twitter ? Les données à caractère personnel traitées par le fisc peuvent avoir une valeur intrinsèque négative pour la personne concernée [10], faut-il les prendre en compte ? En étant jusqu’au-boutiste, le partage doit s’exercer traitement par traitement, puis information par information.  Mais ceci ne tient pas compte du fait que le domaine numérique est incorporel. Ainsi, dupliquer une photo numérique est enfantin, et ne prive personne de la jouissance pleine et entière de celle-ci (au contraire d’une photo développée, dont la transmission à l’un prive l’autre de la visionner).

 

Ou alors, on pourrait envisager que les données à caractère personnel constituent une partie de la personnalité de la personne, qui lui subsistent [11]. Les ayant-droits deviendraient les gardiens de la mémoire de la personne décédée, chargés de prendre les mesures nécessaires à la défense de celle-ci.

La conséquence pratique de ces amendements est, elle, plus évidente.

 

Si les ayant-droits acquièrent la propriété des données à caractère personnel du défunt, ils exercent un contrôle absolu dessus. Cela inclut, par exemple, l’obligation de demander l’accord des héritiers pour diffuser une photo d’une personne décédée. Et donc la possibilité de monnayer ces données.

 

A l’opposé, le rôle de gardien de la mémoire s’inscrit plus dans la continuité de la législation actuelle. Les ayant-droits se voient dévolus un rôle de défense de la mémoire de la personne défunte, et ne peuvent agir que si cette mémoire est bafouée. La différence avec le régime actuel se situe dans le fait que l’atteinte à la mémoire ne se voit caractérisée que par le traitement d’informations erronées.

 

Enfin, la position du gouvernement espagnol mérite un petit paragraphe pour elle seule. Si la protection juridique disparaît avec la mort de la personne concernée, que deviennent les données à ex-caractère personnel ? L’obligation de suppression des donnés périmées s’apprécie par rapport à une personne, or un mort n’est plus personne. Donc disparition de facto des obligations pesant sur les responsables de traitement, et open-bar sur l’utilisation des données !

 

**************************************************************************************

 

[1] http://actu.dalloz-etudiant.fr/le-billet/article/la-tete-dhenri-iv//h/8208c10e8b247e92bf0b02925408fc19.html

[2] Par exemple, votre FAI va conserver les données relatives à votre contrat (nom, prénom, adresse, etc.) le temps que court le contrat, puis encore 5 ans.

[3] Même décédé, un utilisateur inscrit sur un réseau social compte comme membre du réseau, et fait tourner le compteur d’adhérents.

[4] Alors que, pourtant, il s’agit d’une obligation légale (article 6 §4 de la loi 78-17, dite Informatique et Libertés).

[5] L’objectif initial était l’accès au dossier médical. Mais l’article est rédigé d’une façon tellement large qu’il permet d’accéder à tout type d’information.

[6] Et non pas aux ayant-droits.

[7] A ma connaissance.

[8] Les idées étant de libre parcours, celles-ci ont fait le voyage depuis les Philippines 😉

[9] Organiser un vote pour faire rectifier un profil facebook me paraît assez délirant. Et à condition d’avoir mis la main sur les codes d’accès au compte …

[10] Elles servent à établir ses impôts…

[11] Tout comme l’on considère qu’on ne peut porter atteinte à la mémoire des morts.