L’article 40-1, II de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, issu de la loi du 7 octobre 2016, permet d’organiser le sort des données à caractère personnel en cas de décès.
En principe, nos droits sur nos données à caractère personnel disparaissent en même temps que nous. Mais cette solution, de bon aloi s’agissant d’éléments hors du commerce, devient beaucoup plus problématique lorsque sont en jeu des « données », dont on prédit qu’elles seront l’or noir du XXIème siècle. Le risque est alors celui d’une appropriation définitive de nos données à caractère personnel, en dépit de notre mort ! Pour échapper à cette immortalité lugubre, il est possible d’organiser le sort de nos données à caractère personnel en cas de décès. C’est ce que permet expressément l’article 40-1, II de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, issu de la loi du 7 octobre 2016 pour une République numérique.
En effet, il est désormais possible de définir des « directives relatives à la conservation, à l’effacement et à la communication de ses données à caractère personnel après son décès ». Ces directives ont pour objet de définir « la manière dont la personne entend que soient exercés, après son décès », les droits qui lui sont reconnus par la Section 2 (« Droits des personnes à l’égard des traitements de données à caractère personnel ») du Chapitre V de la loi Informatique et libertés précitée (c’est-à-dire les articles 38 et suivants). Elles peuvent également comporter la désignation de la personne chargée de les exécuter.
Ces directives « anticipées », pour reprendre la formule des directives prévues pour la fin de vie, peuvent être générales, c’est-à-dire concerner toutes les données à caractère personnel de l’intéressé (et être éventuellement enregistrées auprès d’un tiers de confiance numérique certifié par la CNIL) ou être spéciales, c’est-à-dire ne concerner que les données à caractère personnel qu’elles visent. Dans le premier cas, les références des directives générales (et éventuellement du tiers de confiance auprès duquel elles sont enregistrées) seront inscrites dans un registre unique (selon des modalités qui seront définies par un décret en Conseil d’Etat). En revanche, dans le second cas, elles seront enregistrées auprès des responsables des traitements concernés. A cet égard, le texte prend soin de préciser que ces directives spéciales doivent « être l’objet du consentement spécifique de la personne concernée et ne peuvent résulter de la seule approbation par celle-ci des conditions générales d’utilisation ».
Par ailleurs, comme ces directives sont modifiables ou révocables à tout moment, on peut penser que des inscriptions modificatives devront être opérées soit au registre unique (pour les directives générales) soit au(x) registres concernés (pour les directives spéciales).
Ces prérogatives sont d’ordre public, et toute clause contraire figurant dans des conditions générales d’utilisation d’un traitement portant sur des données à caractère personnel serait réputée non écrite. Toutefois, ces directives ne sauraient prévaloir ni sur les dispositions applicables aux archives publiques comportant des données à caractère personnel, ni sur le respect des droits des tiers lorsque les directives prévoient la communication de données qui comportent également des données à caractère personnel relatives à des tiers.
Annabel QUIN,
Maître de conférences à l’Université de Bretagne-Sud
Ancienne avocat au Barreau de Paris
Mise en ligne: 16/01/2017