La gestion des données numériques après le décès d’une personne pose des difficultés importantes et le dispositif législatif actuel ne permet pas de les résoudre.
Par exemple, comme l’illustre un arrêt du Conseil d’Etat en date du 8 juin 2016, les héritiers du défunt ne peuvent pas obtenir la communication de telles données.
Dans cette affaire, les ayants droit d’une personne décédée avaient demandé au dernier employeur de la défunte la communication du relevé des appels téléphoniques que celle-ci avait passés depuis sa ligne professionnelle, afin déterminer le nombre et la durée des échanges qu’elle avait eus avec le corps médical avant son décès, mais l’employeur avait refusé de procéder à cette communication.
Les ayants droit ont alors déposé une plainte auprès de la CNIL, mais celle-ci a rejeté leur demande d’accès.
Les ayants droit ont ensuite cherché à obtenir l’annulation de cette décision pour excès de pouvoir.
Mais le Conseil d’Etat a rejeté leur requête, au motif que loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ne prévoit la communication des données à caractère personnel qu’à « la personne concernée » par ces derniers et que les ayants droit ne peuvent pas être considérés comme tels.
Le Conseil d’Etat a même ajouté que la Convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales ne confère pas aux ayants droit d’un défunt un droit à la communication des données à caractère personnel concernant ce dernier.
Pour répondre à cette problématique, comme à d’autres du même ordre (la connaissance même des données, leur conservation/suppression…), le projet de loi pour une « République numérique », qui a été adopté le 3 mai dernier par le Sénat en première lecture avec modifications et qui passera devant la Commission mixte paritaire le 29 juin prochain, prévoit justement d’encadrer la gestion des données numériques des personnes décédées.
Plus précisément, les dispositions envisagées ont pour objet de « permettre à toute personne, de son vivant, d’organiser les conditions de conservation et de communication de ses données à caractère personnel après son décès. La personne pourra transmettre des directives sur le sort de ses données à caractère personnel à la CNIL ou à un responsable de traitement et pourra désigner une personne chargée de leur exécution. Par ailleurs, les prestataires sur Internet devront informer l’utilisateur du sort de ces données à son décès et lui permettre de choisir de les communiquer ou non à un tiers qu’il désigne ». (exposé des motifs du projet de loi, www.assemblee-nationale.fr)
Compte tenu de la quantité de données mises aujourd’hui sur Internet, ces dispositions paraissent opportunes.
Il convient de noter également que le Règlement européen de protection des données personnelles, adopté le 14 avril 2016 et applicable en 2018, prévoit notamment de renforcer les droits (droit à l’oubli, droit à la portabilité des données) des citoyens européens pour leur permettre de mieux maîtriser leurs données.
Clovis BEUDARD