La loi du 7 octobre 2016 "pour une République numérique" apporte de profonds changements dans le régime juridique du numérique. Parmi ces nouveautés, au côté du droit à l'effacement pour les mineurs (notre actualité du 26 janvier), a été instauré un régime juridique organisant le sort des données personnelles qui sont sur internet après le décès des intéressés, régime commodément dénommé "mort numérique". Ce qui constitue également un des aspects de l'e-réputation d'une personne, défunte en l'occurrence.
L'enjeu
Avec le développement du numérique, spécialement depuis que chacun peut créer ses propres sites, pages ou encore comptes sur les réseaux sociaux, nombreux sont les individus à être ainsi présents un peu partout sur le net. Mais que se passe-t-il si ces personnes viennent à décéder ? Nul n'avait pensé à cette question dans les premiers temps du Web (notre actualité du 5 février 2010 et celle du 6 novembre 2014) et c'est seulement depuis une petite décennie que la question se pose juridiquement. Des dispositions fleurissent ainsi dans divers pays ; la France n'est pas en reste.
Des directives pour après sa mort ou "cyber-testament"
Un article 40-1 est ajouté dans la loi Informatique, fichiers et libertés pour définir ce qu'il adviendra des données propres à une personne physique après son décès.
Le principe est que les droits à la protection des données (c'est-à-dire les droits d'opposition, d'accès, de rectification et de suppression — articles 38, 39 et 40 de la loi) deviennent caducs à la mort de l'intéressé (article 40-1, I). Toutefois, la personne "peut définir des directives relatives à la conservation, à l'effacement et à la communication de ses données à caractère personnel après son décès", directives qui peuvent être générales ou particulières (article 40-1, II, al 1er). Ces directives aménagent la manière dont les droits à la protection des données seront gérés après la mort de l'intéressé (même article, al.4). Ce dernier peut modifier ou révoquer ces directives à tout moment (al.6). Tout comme pour un testament, il est possible de désigner une personne chargée de leur exécution. À défaut ce sont les héritiers légaux qui exercent ces droits (al.7).
Un registre unique des directives générales
Toute personne peut donc définir des directives à propos de l'ensemble des données la concernant sur le net qu'elle enregistrera auprès d'un tiers de confiance numérique certifié par la Cnil. L'existence de ces directives et l'identité du tiers de confiance qui les a recueillies seront consignés dans un registre unique dont l'organisation sera définie par un décret en Conseil d'État, attendu — en principe — pour mars 2017 (même article, al.2). Le système fonctionne donc comme le fichier national des testaments qui enregistre toutes les dispositions testamentaires déposées devant notaire (ici auprès de tiers de confiance).
Comme l'adjectif "générales" le suggère, il s'agit là de directives qui vaudront pour toute donnée personnelle qui resterait en ligne après la mort de l'intéressé.
Les responsables des traitements gardiens des directives particulières
Les directives particulières, quant à elles, ne visent que certains types de traitements (par exemple un compte Facebook,, un blog…). Il appartient dans ce cas aux responsables des traitements (ici Facebook ou la plateforme de blog) d'enregistrer ces directives et bien sûr de les respecter en cas de décès.
En l'absence de directives…
Le point III de l'article 40-1 précise que dans ce cas les héritiers du défunt peuvent exercer les droits à sa place, dans la stricte limite des besoins de liquidation de la succession mais aussi pour prendre en compte ce décès sur internet, par exemple demander la mise à jour des informations ou s'opposer à leur maintien en ligne.
Obligation d'information des prestataires et faculté de choix de l'intéressé
Le point IV du même article 40-1 précise que tout prestataire "informe l'utilisateur du sort des données qui le concernent à son décès et lui permet de choisir de communiquer ou non ses données à un tiers qu'il désigne". On devrait donc voir apparaître sur tous les réseaux sociaux et plateformes de blogs une rubrique d'information et de choix sur le devenir de ses propres données et créations.
Sanctions
Mise à jour 2019 - Ce sont logiquement les sanctions de la loi Informatique, fichiers et libertés qui s'appliquent : sanctions spécifiques prononcées par la Cnil : articles 21 à 23 de la loi modifiée ; sanctions pénales des articles 40 et 41, mais aussi code pénal : articles 226-16 à 24 (5 ans de prison et 300 000 € d'amende) et articles R.625-10 à 13 (contravention de 5ème classe : 1500 € d'amende).
En savoir plus
Mise à jour 2019 - Voir les nouveaux articles 84 à 86 de la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par l'ordonnance du 12 décembre 2018 :
https://www.legifrance.gouv.fr/loda/id/LEGISCTA000037817604
Notre article sur Les données à caractère personnel qui synthétise les règles de la loi.