Si la protection des données à caractère personnel est aujourd’hui un sujet dont les enjeux sont de plus en plus maîtrisés par les utilisateurs de services en ligne, en témoigne “l’exode” des utilisateurs de Whatsapp vers des applications de messagerie instantanée telles que Signal ou Telegram, il est intéressant de constater que le sujet du devenir desdites données après la mort des personnes concernées est encore embryonnaire. Dès lors, se poser la question de la mort numérique semble plus que pertinent à l’heure où le volume de données personnelles collectées par les services en ligne n’a jamais été aussi important. D’autant plus que cette collecte peut commencer dès l’enfance.
I. La mort numérique : Ébauche de définition et principaux enjeux
Lorsqu’une personne décède, il semble évident de parler de succession, du devenir de ses biens, meubles ou immeubles. Qu’en est-il des comptes ouverts par cette même personne sur Facebook, Google ou d’autres services en ligne ? Que faire avec les données associées à ces comptes ? Qui doit pouvoir accéder à ces comptes et à ces données, parfois sensibles ou hautement personnelles ? Qui parmi les héritiers, les tiers ou les responsables de traitement est légitime quant à la suppression ou à la récupération des comptes ou données ? Toutes ces interrogations reviennent à se poser la question de la mort numérique. Quel est le sort des données personnelles de la personne concernée par un traitement lorsque cette dernière décède ?
À première vue le choix de la suppression du compte d’un défunt ou le choix de le laisser inactif après un décès peuvent sembler des actions anodines face à la transmission d’un bien immeuble dans le cadre d’une succession. La mort numérique présente d’importants enjeux, Il est nécessaire de prendre en compte la quantité de comptes appartenant à des personnes décédées sur certains réseaux sociaux : la CNIL estime ainsi que “chaque jour, près de 8 000 personnes inscrites sur Facebook décèdent dans le monde”. De même, ces données ne pourront plus servir à délivrer de la publicité ciblée à un éventuel consommateur de manière efficace, et restent stockées dans des datacenters qui ont un impact sur l’environnement.
Aussi, la mort numérique présente des enjeux non seulement moraux, économiques, ou environnementaux, mais aussi des enjeux juridiques : il convient de poser un cadre.
II. Entre dispositions légales et initiatives privées : l’encadrement de la mort numérique
Il semblerait évident que la mort numérique, envisagée sous l’angle du devenir des données personnelles d’une personne décédée, soit visée et encadrée par le RGPD, tant ce texte est incontournable en la matière. Or, le texte européen est muet sur le sujet : aucune disposition ne traite de la mort numérique.
Il existe toutefois un cadre juridique, posé par la Loi pour une république numérique du 7 octobre 2016. Le texte vient ainsi modifier la célèbre loi Informatique et libertés du 6 janvier 1978. On retrouve aujourd’hui un chapitre consacré aux “traitements de données à caractère personnel relatives aux personnes décédées” (article 84 et suivants).
Ainsi, il est possible pour toute personne de “définir des directives relatives à la conservation, à l’effacement et à la communication de ses données à caractère personnel après son décès”. Ces directives peuvent viser l’ensemble des données personnelles de la personne (“directives générales”, pouvant être enregistrées auprès d’un “tiers de confiance numérique” certifié par la CNIL) ou certains traitements de données (“directives particulières”, enregistrées sous certaines conditions auprès du Responsable de traitement). L’article 85 de la loi indique également que les CGU d’un service qui limiteraient ce droit à la mort numérique seront réputées non écrites. C’est pourquoi, mentionner ou prévoir la mort numérique dans les CGU d’un traitement de données à caractère personnel, en respectant le cadre fixé par la loi, est un point à prendre en considération lors de la rédaction de ces dernières.
Les héritiers bénéficient également du droit d’exercer les droits de la personne décédée quant à ses données personnelles, sous certaines conditions. En effet, si le Conseil d’État avait refusé que des ayants droits accèdent aux données d’un défunt dans une décision du 8 juin 2016, la loi permet maintenant aux héritiers d’exercer les droits du défunt notamment si cela est nécessaire à l’organisation de la succession. Un décret du 29 mai 2019 précise ces conditions.
Si la loi prévoit aujourd’hui qu’il convient notamment d’informer “l’utilisateur du sort des données qui le concernent à son décès”, certains responsables de traitement n’ont pas attendu le législateur et ont développé leurs propres initiatives afin de permettre aux utilisateurs de leurs services de décider du sort de leurs données post mortem. Google ou Facebook ont ainsi mis en œuvre des procédures permettant de donner accès à son compte à un tiers en cas d’inactivité ou de transformer le compte du défunt en compte de commémoration. La CNIL répertorie les liens permettant de signaler le décès d’un proche auprès de différents services en ligne et réseaux sociaux, tels que Twitter, Instagram, ou LinkedIn.
Dès lors, la mort numérique est un sujet présentant de nombreux enjeux : si la loi prévoit un certain encadrement, de nombreuses questions restent néanmoins à explorer. On ne doutera pas que la jurisprudence ou le législateur devront apporter des précisions.
De même, on a envisagé ici la mort numérique sous l’angle unique du droit spécial relatif au sort des données personnelles post mortem. Il est évident que le droit des successions apporte, par ailleurs, autant de réponses et de questionnements quant à la mort numérique, cette fois dans une acception plus large, s’agissant par exemple des cryptomonnaies et autres biens numériques, qui dépasseraient la seule sphère des données à caractère personnel.