//
vous lisez...
Non classé

Transmettre mes données personnelles après ma mort … si je veux !

Il y a tout juste un an, je recevais des clients dont l’idée me parut lumineuse mais l’application quelque peu improbable en l’état de notre droit positif … Toutefois, patience et longueur de temps font bien plus que force ni que rage et je salue ici leur détermination ainsi que leur pouvoir de conviction. Ils se reconnaîtront à coup sûr. En plaidant leur cause auprès du cabinet d’Axelle Lemaire, dans le cadre du projet de loi pour une République numérique dont j’ai déjà parlé dans ce blog, ils ont réussi à imposer leur vue et à faire en sorte que l’article 28 de ce texte, encore à l’état de projet, permette à quiconque, quelque peu prévoyant, de transmettre ses données personnelles après son décès, pour régler le sort de sa vie numérique.

La vie (après la mort) … va changer. Cela méritait bien un billet.

De quoi parle-t-on ? De nos multiples identifiants et mots de passe notamment, lesquels nous permettent d’accéder aux divers réseaux sociaux dont nous sommes membres mais plus généralement, de nos différents codes par lesquels nous accédons aux nombreux services numériques de notre vie quotidienne. A quoi ça servirait de les transmettre ? A permettre à la famille du défunt, ou à quiconque qu’il désignerait de son vivant, d’avoir accès à ses identifiants et mots de passe pour accéder aux contenus que ses comptes recèlent, en administrer la poursuite ou alors y mettre fin, selon les dernières volontés de la personne décédée. Afin que ces comptes ne tombent pas en déshérence ou dans l’oubli … Cela vaut pour un particulier mais également pour un chef d’entreprise, dont l’accès aux comptes ou leur transmission, après sa mort, peut s’avérer primordiale à la bonne continuité de celle-ci. Et dans ce cas, ce n’est pas la famille qui aurait vocation à « hériter » des données personnelles du défunt mais bien plutôt, ses associés ou selon son choix, son plus proche collaborateur.

Transmettre ses données personnelles n’est pas tâche aisée, en l’état de notre droit positif …

Deux grands obstacles s’y opposent.

Le premier tient au fait que les données d’identification d’un individu après sa mort sont des objets juridiques non identifiés. Considérées comme des données à caractère personnel de son vivant, les droits qui y sont attachés disparaissent au décès de ce dernier. Impossible alors de les transmettre.

En effet, les identifiants et mots de passe sont indubitablement des données à caractère personnel : elles ont pour objet de permettre à leur titulaire de s’authentifier quand il accède à la partie privative de ses comptes. Rappelons que les données personnelles sont définies par l’article 2 de la loi n° 78-17 du 6 janvier 1978, dite loi Informatique et Libertés, de la manière suivante : « Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres ».

 Or les droits prévus par la loi de 1978 ne peuvent être exercés que par la seule personne concernée. Attachés par essence à un individu, ils disparaissent donc naturellement avec lui. La CNIL s’est ainsi clairement positionnée en ce sens : « Les droits d’accès, de modification et de suppression prévus par la loi sont des droits personnels qui s’éteignent à la mort de la personne concernée » (fiche pratique du 31 octobre 2014). Et la CNIL en déduit naturellement que les droits du défunt ne sont pas transmissibles aux héritiers, qui n’ont donc aucun pouvoir pour accéder à ses comptes après sa mort : « Par principe, un profil sur un réseau social ou un compte de messagerie est strictement personnel et soumis au secret des correspondances. A ce titre, le droit d’accès n’est pas transmissible aux héritiers. C’est la raison pour laquelle il n’est pas possible pour la famille d’avoir accès aux données du défunt » (fiche pratique du 29 octobre 2014). Et plus encore : « La loi ne prévoit pas la transmission des droits du défunt aux héritiers : un héritier ne peut donc, sur le fondement de la loi Informatique et Libertés, avoir accès aux données d’un défunt » (fiche pratique du 31 octobre 2014).

Par exception, les héritiers se voient toutefois reconnaître certains droits résiduels. Aux termes de l’article 40 de la loi Informatique et Libertés : « Les héritiers d’une personne décédée justifiant de leur identité peuvent, si des éléments portés à leur connaissance leur laissent présumer que les données à caractère personnel la concernant faisant l’objet d’un traitement n’ont pas été actualisées, exiger du responsable de ce traitement qu’il prenne en considération le décès et procède aux mises à jour qui doivent en être la conséquence ». Autrement dit, les héritiers sont en droit de demander au responsable d’un fichier de tenir compte du décès de son titulaire et de procéder à l’actualisation de ses données. Ce droit ne leur permet pas toutefois d’en disposer librement ou selon la volonté du défunt, ni d’exercer post mortem les droits d’accès, de rectification et de suppression, reconnus légalement à ce dernier. Ce droit ne permet pas non plus aux héritiers de fermer le compte du défunt. C’est cette règle qu’applique notamment Facebook, en donnant a possibilité de transformer la page d’un défunt en page « mémorielle ».

Mais Facebook n’offre pas mieux car le second obstacle à la transmission des données personnelles d’un individu après sa mort tient bel et bien au fait que les éditeurs de services en ligne, dont notamment les plus grands réseaux sociaux de la place, n’autorisent pas cette transmission. Pour une fois que la pratique de ces derniers rejoint la doctrine de la CNIL, cela mérite d’être remarquée … Je me suis en effet amusé à relire les conditions générales d’utilisation des cinq plus grands réseaux mondiaux. La plupart prévoient que le titulaire d’un compte s’engage à conserver ses identifiants et mots de passe strictement confidentiels et qu’il est seul responsable des conséquences de leur communication à des tiers. Les conditions générales de Facebook interdisent même expressément cette transmission. A l’article 4 – « Inscription et sécurité des comptes », l’on peut lire que « Vous ne communiquerez pas votre mot de passe, ne laisserez personne accéder à votre compte ni ne ferez quoi que ce soit qui puisse compromettre la sécurité de votre compte ».

C’est pourquoi, il faut réformer …

Et permettre ainsi à quiconque, simple particulier ou chef d’entreprise, d’avoir la libre disposition, après sa mort, de ses identifiants et mots de passe pour en permettre une transmission à ses héritiers, ou alors à toute personne de son choix, en dehors de ses héritiers, qu’il serait libre de désigner.

Ce droit de disposer doit en effet inclure le droit de « déshériter » les membres de sa famille qui peuvent ne pas être les personnes les plus naturellement intéressées à cette transmission. Dans la mesure où les données personnelles ne sont pas des biens transmissibles, qui rentrent naturellement dans le patrimoine familial, mais des droits rattachés à la personnalité même de l’individu, le défunt doit pouvoir ainsi librement en choisir le bénéficiaire. Il en va de sa liberté individuelle. L’on a le droit de vouloir cacher des choses à sa famille, toutes vérités n’étant pas toujours bonnes à transmettre … La famille peut au demeurant ne pas être la bonne personne quand il s’agit de transmettre des identifiants en relation avec la vie d’une entreprise ; d’autres personnes sont plus légitimes dans l’entreprise à y avoir accès.

Il faut ainsi pouvoir désigner une sorte d’« exécuteur testamentaire » au sein de sa famille mais aussi en dehors même de sa famille, si telle est notre volonté, lequel aura pour mission d’exécuter les décisions de la personne décédée quant au sort de ses données numériques.

Car ce droit de disposer à cause de mort doit s’entendre du droit de désigner librement un tiers, spécialement choisi à cet effet mais également, de fixer, tout aussi librement, les modalités de cette transmission. L’on peut vouloir transmettre ses données personnelles pour permettre la fermeture d’un compte, ou son maintien ; pour demander à ce tiers de faire un tri ou le « ménage » avant de remettre à qui de droit tout ou partie des informations auquel le compte permet d’avoir accès ; mais également afin de supprimer et conserver tout ou partie de ces contenus … Il ne doit y avoir aucune limite à l’imagination du défunt et à l’action du tiers ainsi désigné. Après tout, le principe est que le défunt survive en la personne du tiers désigné et que ce dernier puisse faire tout ce que la personne décédée avait la liberté de faire, de son vivant, afin de régler, à sa place et pour son compte, tel un véritable mandataire, le sort de sa vie numérique pour, en quelque sorte, la liquider.

En cela, ce droit s’apparente à l’expression des dernières volontés d’un défunt dont la jurisprudence a reconnu depuis bien longtemps la force obligatoire.

Et c’est ainsi que l’article 28 de l’avant-projet de loi d’Axelle Lemaire le veut.

Son projet institue le droit pour chacun de « définir des directives relatives à la conservation et la communication de ses données à caractère personnel après son décès », en désignant notamment « une personne chargée de leur exécution », afin de « demander leur mise en œuvre aux responsables des traitements concernés ».

Ce projet prévoit également d’instituer un acteur essentiel à la bonne marche du dispositif, à savoir un tiers de confiance numérique, certifié par la CNIL, qui aurait pour mission d’enregistrer les dernières volontés du défunt quant à sa vie (ou sa mort) numérique.

Il oblige également les responsables de traitement de données personnelles à s’associer à cette démarche. A défaut pour un individu d’avoir réglé, de manière générale, le sort de ses données personnelles auprès d’un tiers de confiance, cet individu pourra enregistrer ses directives particulières, propres aux traitements en question, auprès des responsables de ces traitements qui devront les conserver et en régler le sort selon la volonté de leur utilisateur, c’est-à-dire notamment communiquer les données personnelles du défunt au tiers désigné.

Pour que la boucle soit bouclée, cet avant-projet de loi prévoit enfin que tout prestataire d’un service de communication en ligne aura l’obligation d’informer ses utilisateurs du sort des données qui les concernent et devra leur permettre de communiquer ou non leurs données, après leur mort, à un tiers qu’ils désigneront.

Cet article 28 doit être salué pour son caractère innovant.

Il faut toutefois entendre la réserve de la CNIL. Même si celle-ci considère, dans son avis consultatif du 19 novembre 2015 au sujet de ce projet de loi, que l’article 28 a le mérite de clarifier le devenir des données personnelles post-mortem, sa principale critique porte sur la transmission par défaut des données aux héritiers, lorsque le défunt n’a laissé aucune directive, ou lorsque ce dernier n’a pas exprimé de volonté contraire de son vivant. Il en va de l’atteinte à la vie privée ou professionnelle de celui-ci et l’ouverture des données aux héritiers devrait être limitées à certaines hypothèses résultant de situations de blocage dans le règlement des successions. Si le défunt n’a pas réglé la transmission de ces données post mortem, il faut pouvoir privilégier le droit à la vie privée contre l’efficacité.

Cette réforme devrait être améliorée, à mon sens, sur deux autres points.

En premier lieu, l’article 28 ne règle pas le sort de l’instrument juridique qui scellerait les dernières volontés du défunt. Il parle de « directives générales ou particulières » sans autre précision et sans notamment, définir la forme que ces dernières volontés pourraient prendre. Est-ce qu’un email suffirait ? Faudrait-il que le testateur signe un écrit ? Et lequel ? Sous quelles modalités ? Est-ce que la simple acceptation de conditions générales d’utilisation auprès d’un réseau social et par lesquelles l’usager accepterait cette transmission suffirait ? En droit, la forme sécurise généralement le fond … et pour pouvoir donner une force exécutoire à l’expression d’une dernière volonté, afin notamment de prévenir toute contestation à la fois sur l’existence de cette dernière et son contenu, la jurisprudence traditionnelle ne se contente pas d’un simple écrit. Elle exige bien souvent un testament. Faudrait-il alors instituer des testaments à cause de mort numérique et alors impérativement passer devant un notaire pour régler la fin de sa vie sur la toile ? En l’état de la jurisprudence, il s’agirait d’une solution plus sûre mais à l’évidence, pour la plupart d’entre nous, datant d’un autre âge. Là aussi, il faut innover. La solution résiderait alors dans la reconnaissance formelle par la loi d’un nouvel instrument numérique, sécurisé et pérenne : le « testament numérique », authentifié par une signature numérique, consacrée depuis bien longtemps dans notre droit par la loi du 14 mars 2000. Encore une fois, quand on évoque un sujet numérique, le droit a besoin de la technologie pour bien faire. Recueillir ces testaments d’un nouvel âge, les conserver et les maintenir pourrait être une mission que la loi reconnaîtrait aux tiers de confiance numérique dont l’article 28 consacre justement l’existence. Plus que des opérateurs techniques, ceux-ci deviendraient des auxiliaires juridiques.

Ce projet de loi est, en second lieu, taisant sur ce « tiers » désigné aux fins d’exécuter les dernières volontés du défunt numérique. Je l’ai assimilé plus haut à une sorte d’exécuteur testamentaire mais le projet de loi s’abstient de le définir ainsi. Le tiers dont nous parlons ici est encore juridiquement « innommé », c’est-à-dire sans statut. Or, sans statut, il n’offre sans doute pas toutes les garanties requises par sa fonction. Dans le silence du texte, peut-il alors s’apparenter à l’exécuteur testamentaire de l’article 1025 du Code civil, dont la loi reconnaît l’existence légale en matière successorale et dont la fonction est justement de veiller et procéder à l’exécution des volontés d’un défunt ? Cette fonction est en cela strictement encadrée par la loi. S’agissant du cas particulier des données post mortem, le tiers désigné à l’article 28 de l’avant-projet de loi a une mission qui peut être comparable à un exécuteur testamentaire mais l’on ne sait pas s’il en a le statut de par la loi. Il faudrait alors que l’article 28 l’assimile expressément à ce dernier ou à défaut de choisir cette assimilation, qu’elle en définisse mieux les droits et les devoirs. Ce tiers exécuteur des volontés du défunt devrait en effet pouvoir offrir certaines garanties quant à l’exercice de sa mission. Et en premier lieu, une garantie de confidentialité, pour permettre le respect le plus strict de la vie privée du défunt et du secret des affaires, lorsqu’il s’agit d’accéder aux données d’un chef d’entreprise. Le secret des affaires nécessite notamment que soient garantis les droits des tiers, associés, collaborateurs ou partenaires de l’entreprise considérée, ou encore, les droits de propriété intellectuelle y afférents. En second lieu, la garantie de rendre compte lorsque sa mission est achevée. Mais à qui ? Au juge ? Trop formel. Au tiers de confiance ? Peut-être. Aux bénéficiaires des directives ainsi prescrites ? Certainement. Enfin et en dernier lieu, la garantie de mener sa mission dans une durée raisonnable. Fixée par le défunt ? Pourquoi pas. Par la loi ? Plus certainement. Et si le tiers de confiance n’agit pas ou agit mal ? Qui peut le lui reprocher ? Peut-on et comment le démettre ? Autant de questions qui, si elles ne sont pas résolues par la loi, seront soumises au juge, au cas par cas, dans les litiges qui pourront apparaitre à ces occasions. Une autre solution serait alors de donner aux tiers de confiance numérique, certifiés par la CNIL, dont l’avant-projet consacre le nouveau métier, le pouvoir de contrôler la mission du tiers exécuteur des directives du défunt, ainsi que leur permettre de résoudre tous différends à ce sujet, en qualité d’arbitres ou de médiateurs, entre les parties concernées.

Madame Axelle Lemaire, encore un petit effort et vous parachèverez ainsi le régime de la transmission des données personnelles post mortem, en accordant aux tiers de confiance numérique, pas seulement un rôle technique mais un véritable rôle, celui d’être, à titre d’interlocuteur unique, l’auxiliaire juridique et en cas de besoin, l’arbitre de notre mort numérique.

Vous améliorerez ainsi l’état de notre droit positif et créerez un nouveau métier, plein d’avenir …

Publicités

À propos de Jérôme Giusti

Je déteste les lois telles qu’elles sont. Elles m’affligent. Je n’aime pas les juristes. Ils m’ennuient. J’abhorre cette justice inaccessible à la plupart. Elle m’insurge. Et pourtant j’aime le droit, lorsqu'il est ouvert. Les juristes, quand ils sont inventeurs. La justice, parce qu’elle existe. Mais par-dessus tout, j'aime la loi telle qu’elle sera, lorsqu'elle n'est encore qu'une promesse. Je suis un "nomophile" optimiste mais contrarié. C'est pourquoi, j'écris ce blog. Pour dresser l'inventaire des lois qui n'existent pas encore mais que j'espère.

Discussion

Pas encore de commentaire.

Répondre

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l'aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s

Catégories

Publicités
%d blogueurs aiment cette page :