Que deviennent les données numériques en cas de décès ?
Par Axelle Derenne, étudiante du Master Droit du numérique, Parcours Tiers de Confiance de l’Université de La Rochelle.
Pour anticiper sa disparition, l’on peut écrire un testament, prévoir ses funérailles, mais également s’occuper de ses données numériques… Que deviennent en effet nos données et nos comptes en ligne après notre mort ?
L’article 4 du RGPD nous donne quelques éclairages sur la notion de “données à caractère personnel”, qui correspond à « toute information se rapportant à une personne physique identifiée ou identifiable […] directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ».
Les données peuvent bien sûr être laissés à l’abandon dans la grande jungle que représente internet, mais il est aujourd’hui possible de rédiger des directives « anticipées » pour assurer la gestion de ces données après notre mort. La modification de la loi informatique et libertés par la loi pour une République numérique de 2016, a en effet ajouté de nouvelles dispositions relatives à la gestion des données à caractère personnel après le décès, et a créé une sorte de statut de la « mort numérique ».
Selon l’article 85 de la loi informatique et liberté « Toute personne peut définir des directives relatives à la conservation, à l’effacement et à la communication de ses données à caractère personnel après son décès. Ces directives sont générales ou particulières ». Cette possibilité est offerte à toute personne dès l’âge de quinze ans, qui pourra prendre seule des dispositions pour le devenir de ses données sur la toile.
La loi ne fixe aucune condition de forme à l’expression des directives générales. Tout moyen conservant la preuve et l’origine des directives sera donc par principe admissible. Un simple mail, adressé à partir d’une messagerie dont l’accès était protégé, devrait être suffisant. La forme écrite n’étant pas même prescrite, une vidéo du défunt énonçant ses volontés serait valable, tout comme un enregistrement sonore. Les directives peuvent également être prises sous la forme de testament, document par nature destiné à consigner des directives post-mortem.
L’article 85 de la LIL prévoit que les directives générales « concernent l’ensemble des données à caractère personnel se rapportant à la personne concernée et peuvent être enregistrées auprès d’un tiers de confiance numérique certifié par la Commission nationale de l’informatique et des libertés ». Autrement dit, le champ des directives générales concernera les données personnelles de la personne, sans aucune restriction ou précision selon leur nature ou le traitement dont elles font l’objet. La personne pourra également prendre des directives distinctes sur des données différentes (effacement de ses écrits, transmission de ses photos à ses enfants, etc.).
Quant aux directives particulières, elles « concernent les traitements de données à caractère personnel mentionnés par ces directives ». Autrement dit, seuls certains traitements de données spécifiques et certains responsables de traitement, auxquels il sera nécessaire d’enjoindre une demande, par exemple pour la clôture d’un compte Facebook, ou Twitter, sont concernés. Cette demande pourra être effectué par « […] une personne chargée de leur exécution. Celle-ci a alors qualité, lorsque la personne est décédée, pour prendre connaissance des directives et demander leur mise en œuvre aux responsables de traitement concernés. »
La loi a également prévu que les directives générales pouvaient être enregistrées auprès d’un corps d’intervenants, dénommés tiers de confiance numérique, certifiés par la Cnil. Ce qui laisse la possibilité au défunt, pour les directives générales et particulières, de désigner une personne ne faisant pas partie de son cercle familial, notamment en cas de mésentente ou d’absence de famille, afin d’assurer la gestion de ses données.
Mais « à défaut de désignation ou, sauf directive contraire, en cas de décès de la personne désignée, ses héritiers ont qualité pour prendre connaissance des directives au décès de leur auteur et demander leur mise en œuvre aux responsables de traitement concernés ». En l’absence de tiers de confiance, les héritiers auront donc la gestion des données numériques du défunt, et pourront demander l’effacement de l’ensemble des données internet liées au défunt ou la suppression de ses comptes sur les réseaux sociaux.
Ce mécanisme offre une double garantie du respect des directives du défunt, avec une représentation de la personne décédée, qui pourrait se traduire comme un mandat, mais également la possibilité pour les héritiers de décider de la suppression du compte du défunt ou de sa conservation sous forme de mémorial, ce qui est par exemple possible sur Facebook. En revanche, en l’absence de demande, le profil de la personne décédée continuera d’exister, les réseaux sociaux ne pouvant déterminer si la période d’inactivité est due à une absence de la personne ou à son décès.
Faut-il alors instaurer la mise en place d’un mécanisme de suppression automatique des comptes au-delà d’un certain délai ? A ses débuts Facebook avait adopté une politique de retrait du compte en cas de décès, mais à la suite d’une fusillade étudiante en Virginie, les proches des victimes ont demandé à conserver les profils, ce qui a abouti à la possibilité d’un compte « mémorial ».
Les limites du cadre légal actuel
L’instauration des directives générales et particulières offre un cadre pour la gestion numérique du décès, mais elle ne semble pour l’instant pas suffisante concernant l’exploitation des données. Ce qui peut soulever des questions d’éthique et de respect à la mémoire des morts, et ce même si le consentement a été donné. Une mauvaise utilisation des données personnelles est envisageable, soit par des personnes mal intentionnées, dans le cas de vol de données notamment, mais également par les sociétés détenant ces informations.
Le 1er décembre 2020, Microsoft a par exemple déposé le brevet d’un chatbot permettant de dialoguer avec une personne, vivante ou décédée. La façon de parler et de dialoguer de cette personne est imitée par un algorithme en utilisant ses données à caractère personnel précédemment collectées. Comment s’assurer que ce chatbot ne fera pas prononcer à la personne décédée des propos contraires à sa pensée ? L’existence des logiciels capables de reproduire la voix d’une personne à partir d’extraits, ou de reproduire une image (Deep Fake) soulèvent les mêmes problématiques d’atteintes à la mémoire du défunt.
En France, les textes qui encadrent la liberté de la presse ( loi du 29 juillet 1881 ) considèrent la diffamation envers les personnes décédées comme un délit de la mémoire d’un mort. Ces textes sont mentionnés dans les articles 31, 32, 33 sur la diffamation et l’injure, avec un délit passible d’une amende de 12 000 euros. L’article 34 sanctionne les « diffamations ou injures dirigées contre la mémoire des morts ». Les héritiers peuvent poursuivre l’auteur en justice à condition que « les auteurs de ces diffamations ou injures auraient eu l’intention de porter atteinte à l’honneur ou à la considération des héritiers, époux ou légataires universels vivants. »
Autrement dit, il appartiendra aux personnes lésées de démontrer que les éléments visés leur causent un préjudice. Il est possible d’imaginer à l’avenir que l’utilisation de ces nouvelles technologies puisse être à l’origine de nouveaux préjudices relevant de ces textes…
Sources :
Un tableau élaboré par la CNIL, pour les personnes qui souhaitent gérer le compte d’un proche décédé : https://www.cnil.fr/fr/mort-numerique-effacement-informationspersonne-decedee
Un article LinkedIn qui propose un exemple de clause testamentaire : https://www.linkedin.com/pulse/droit-%C3%A0-la-mort-num%C3%A9rique-tiers-de-confianceclause-bernard-desportes/?originalSubdomain=fr
Un article de la CNIL intitulé « Mort numérique : peut-on demander l’effacement des informations d’une personne décédée ? » : https://www.cnil.fr/fr/mort-numerique-effacement-informations-personne-decedee#:~:text=85%20de%20la%20loi%20Informatique,l%27actualisation%20de%20ses%20donn%C3%A9es.