Le droit à la « mort numérique » est-il partiellement enterré ?
La loi pour une République numérique de 2016 a introduit en France un droit à la « mort numérique ». Plus de trois ans après la promulgation de la loi, le décret d’application n’a toutefois toujours pas été adopté, et la mise en œuvre pratique de ce droit révèle de nombreuses incertitudes.
Le droit à la mort numérique prévoit que toute personne a le droit de définir des directives relatives au sort de ses données à caractère personnel après son décès. La loi dispose que ces directives pourront être particulières ou bien générales.
Les directives « particulières » sont enregistrées directement auprès des responsables de traitement concernés. Par exemple, si une personne est inscrite sur un réseau social, elle pourra adresser directement à la personne morale administrant ce réseau social des directives précisant le sort de ses données après son décès.
Les directives générales concernent quant à elles l’ensemble des données à caractère personnel se rapportant à la personne concernée et peuvent être enregistrées auprès d’un tiers de confiance numérique certifié par la Commission nationale de l’informatique et des libertés (CNIL). Lorsque le tiers de confiance sélectionné recevra de telles directives, les références de celles-ci ainsi que l’identité du tiers en question devront être inscrites dans un registre centralisé.
Les directives particulières et générales des personnes concernées peuvent désigner une personne chargée de leur exécution. Celle-ci aura alors qualité pour prendre connaissance des directives laissées et demander leur mise en œuvre aux différents responsables de traitement concernés, mais encore faudra-t-il que cette personne soit informée de sa nomination.
À défaut de désignation, les héritiers de la personne concernée ont qualité pour prendre connaissance desdites directives et demander leur mise en œuvre aux responsables de traitement concernés.
Bien que le législateur ait souligné l’importance du droit à la « mort numérique », le décret d’application devant préciser les modalités de mise en place et les conditions d’accès au registre centralisé des directives générales se fait toujours attendre. Il résulte de ce silence que le droit à la mort numérique reste à ce jour un droit un peu « bancal », dont l’un des piliers demeure ineffectif.
D’autres points restent également en suspens : en cas de contradiction, les directives particulières primeront-elles sur les générales ? Ou bien priorité devra-t-elle être donnée aux plus récentes ? Qui sera alors responsable de leur interprétation ?
En attendant et en l’absence de directives sur le sort de ses données après sa mort (ou de mention contraire dans ces directives), les héritiers de la personne concernée pourront toujours exercer les différents droits dont cette dernière bénéficiait de son vivant, dans la limite nécessaire à l’organisation et au règlement de sa succession.
À ce titre, les héritiers pourront notamment accéder aux traitements de données à caractère personnel qui concernent le défunt afin d’identifier et d’obtenir la communication d’informations utiles à sa succession, ou bien à la prise en compte de son décès.
Ils pourront ainsi se voir transmettre « des biens numériques ou des données s’apparentant à des souvenirs de famille » ou encore faire procéder à la clôture des comptes utilisateurs du défunt.
En tout état de cause, c’est avec impatience que l’on attend la publication du décret, en espérant que celui-ci, apportera rapidement des éclaircissements aux interrogations soulevées par le droit à la « mort numérique ». À défaut, la CNIL devra peut-être se prononcer. Malheureusement, le contexte s’y prête. ■