Selon la Commission Nationale de l’Informatique et des Libertés (CNIL), le réseau social Facebook regroupait, en 2014, près de treize millions de profils de personnes décédées, soit environ un profil sur cent[1]. Cela amène inévitablement à s’interroger sur le devenir de toutes les informations, comprenant les données personnelles, de ces personnes décédées au sens biologique.
En effet la mort numérique ne suit pas forcément la mort biologique ; cela paraitrait même antinomique de premier abord puisque tout ce qui est publié ou partagé sur Internet, que ce soit des données confidentielles, ou encore des photos personnelles, via les réseaux sociaux, laissent une trace en pratique quasiment indélébile. Tout l’enjeu juridique est donc d’encadrer le sort de ces données personnelles, pouvant être des mots de passes, des adresses électroniques ou encore des coordonnées bancaires.
A l’ère du numérique et plus particulièrement avec l’avènement des réseaux sociaux, il devient de plus en plus facile et banal de s’exposer sur Internet. Toutefois chacun dispose de ce droit, y a consenti, la situation est alors différente lorsque ce titulaire décède et que ses réseaux continuent d’exister après sa mort.
Les réponses pratiques apportées
Avant la modification de la Loi informatique et Liberté du 6 janvier 1978, par la Loi française sur la République numérique le 7 octobre 2016, c’était aux administrateurs de sites Internet ou réseaux sociaux d’organiser le sort des profils contenant des données personnelles.
Dans l’hypothèse où aucun ayant-droit ne se manifestait et n’attestait le décès du titulaire d’un réseau social, le site Internet ne pouvait, en aucun cas, supprimerun compte Facebook par exemple. D’un point de vue pratique, cela se justifie du fait que la cause de l‘inactivité peut ne pas être le décès, ce qui rend sa caractérisation difficile. D’un point de vue juridique et comme le rappelle la CNIL « par principe, un profil sur un réseau social ou un compte de messagerie est strictement personnel et soumis au secret des correspondances. A ce titre, le droit d’accès n’est pas transmissible aux héritiers. C’est la raison pour laquelle il n’est pas possible pour la famille d’avoir accès aux données du défunt »[2]. Un héritier ne pouvait donc pas se subroger dans les droits de l’utilisateur décédé, et plus précisément dans la volonté de celui-ci, qui n’était alors pas exprimée.
Dans l’hypothèse inverse où des héritiers se manifestaient, la Loi informatique et libertés de 1978 prévoit toutefois l’actualisation de ces comptes et donc la prise en compte du décès.Selon la même logique, les administrateurs de ces sites prévoyaient différentes possibilités leur étant offertes dans la limite de ladite suppression. Les plus grands réseaux sociaux ont donc devancé la Loi pour une République numérique en réglant le sort des comptes de leurs défunts utilisateurs. C’est par exemple le cas de Facebook qui a permis, avant 2016, la possibilité de paramétrer le compte d’une personne décédée et de le transformer en mémorial ; il faut alors certifier le décès de celle-ci. On trouve ainsi plusieurs comptes alimentant le « mur » Facebook d’un défaut de messages, ou encore donnant des informations relatives à la date des funérailles. Google, Twitter ou encore Instagram prévoient aussi des paramètres relatifs au décès de l’utilisateur, par le biais, par exemple d’un signalement du compte[3].
Les réponses apportées par la Loi pour une République numérique du 7 octobre 2016
Cette loi consacre finalement un droit à la mort numérique concernant les données personnelles en ligne avec l’insertion d’un nouvel article 40-1 de la Loi informatique et Libertés.
Au stade de la discussion du projet de loi, mené par Axelle Lemaire, le Sénat s’opposait à l’Assemblée Nationale. Le Sénat souhaitait que les données personnelles soient récupérées en totalité par les héritiers pour qu’ils puissent en disposer librement, comme tout bien physique. L’Assemblée Nationale s’y opposait en partie, puisqu’un pan de ces données devrait tomber sous le droit à l’oubli du défunt, soit à l’effacement des données selon le Règlement général sur la protection des données (RGPD) qui sera en vigueur ce 25 mai 2018.Il ressort de cette opposition que le nouvel article 40-1 précité règle définitivement le sort des données numériques à la mort du titulaire.
Dans un premier cas, toute personne peut donner des directives relatives à la conservation, à l’effacement et à la communication de leurs données après leur décès. Celle-ci désigne alors un tiers, proche ou non, qui se subrogera alors dans ses droits. Toutefois, une sous-distinction est encore à apporter. En effet il y a, parmi ces directives, celles générales qui portent sur l’ensemble des données numériques et celles particulières qui portent sur certains traitements spécifiques de données. Pour les premières, elles pourront être confiées à un tiers de confiance certifié par la CNIL ; pour les secondes, elles peuvent être confiées aux administrateurs du réseau si la personne en a décidé ainsi. Un consentement spécifique est alors requis dans le second cas, qui ne peut pas s’apparenter à l’acceptation des conditions générales d’utilisation du réseau ou du site concerné.
Dans un second cas, la personne décédée, peut ne pas avoir donné, de son vivant de telles directives. Ainsi, les héritiers pourront se manifester et exercer l’ensemble des droits, se subrogeant au défunt, mais dans deux cas strictement prévus par la loi. Le premier joue dans l’hypothèse où le droit d’accès est nécessaire pour le règlement de la succession du défunt. Le second joue dans l’hypothèse où un droit d’opposition est exercé afin de procéder à la clôture des comptes utilisateurs du défunt et de s’opposer au traitement de ses données[4].
De plus ce même article 40-1 nouveau précise que l’obligation d’information des administrateurs de ces réseaux a été renforcée et ceux-ci doivent porter à la connaissance des utilisateurs, le sort de leurs données numérique.
Ainsi ce récent apport est important pour les questions pratiques du sort de ces données à la mort de leur titulaire. Il est aussi primordial car encadre leur traitement par les réseaux. Bien que de bonne volonté pour ce cas-là, ceux-ci revêtent parfois des caractères de toute-puissance, alimentés par une responsabilité difficilement engageable. Cet article vient donc leur fournir une ligne directrice à suivre, sans possibilité de l’ignorer.
Ambre Lemaître
[1] CNIL, 29 octobre 2014. Mort numérique : peut-on demander l’effacement des informations d’une personne décédée ?
[2] CNIL, 31 octobre 2014, Mort numérique ou éternité virtuelle : que deviennent vos données après la mort ?
[3] CNIL, 29 octobre 2014.
[4] Article 40-1 Loi Informatique et Libertés. CNIL 17 novembre 2016, Ce que change la loi pour une République numérique pour la protection des données personnelles. Etude par Thomas Dautieu et Emile Gabrié.