« Les morts ne sont plus des personnes, ils ne sont plus rien ». Si Marcel Planiol avait vécu aujourd’hui, gageons que cette phrase aurait prit une toute autre tournure comme « les morts ne sont plus des personnes, ils ne sont plus que des données personnelles numériques ».

Le droit sur la donnée personnelle étant un droit subjectif, dit de la personnalité, celui-ci né avec la personne qui le détient. Sans entrer dans le débat, forcément polémique, du statut de l’embryon et du commencement de la vie, l’article 16 du Code civil indique que « la loi assure la primauté de la personne (…) dès le commencement de la vie ». La personnalité juridique est généralement accordée à la naissance, mais ses effets positifs peuvent s’appliquer rétroactivement à la conception.

L’enfant conçu est donc considéré comme né chaque fois qu’il y va de son intérêt. Il peut donc bénéficier de droits mais ne peut supporter aucune charge quand il n’y va pas de son intérêt. Il peut ainsi, s’il naît viable, être reconnu dès la conception, recueillir une succession ou une donation.

A l’autre bout de la chaine de vie, figure la Mort, le décès de la personne physique. La personnalité juridique ne survit pas à son auteur quand, nous l’avons indiqué ci-dessus, elle peut le précéder.

Là encore, sans entrer dans le débat, force est de constater que les progrès de la médecine permettent de maintenir pendant un certain temps des individus en vie. La mort n’a d’ailleurs pas de définition juridique. Les articles 78 et suivants du Code civil imposent qu’une déclaration administrative de la mort soit effectuée auprès de l’officier de l’état civil et confirmée par un certificat médical. Ils imposent également de déterminer le jour, l’heure et le lieu du décès. La mort est donc un acte administratif.

La réalité physique de la mort s’apprécie au regard de divers critères d’abord posés par la circulaire n° 67 du 24 avril 1968 dite Jeanneney . Puis la loi n° 94-654 du 29 juillet 1994 , a inséré l’article L. 671-7 ancien au Code de la santé publique, et énonce que «  le constat de la mort est établi dans des conditions définies par décret pris en Conseil d’Etat », cet article étant repris par la loi n° 2004-800 du 6 août 2004.

Dès lors schématiquement, trois critères doivent être cumulativement réunis pour conclure avec certitude au décès : l’absence totale de conscience et d’activité motrice spontanée, l’abolition de tous les réflexes du tronc cérébral, l’absence totale de ventilation spontanée.

Avec la mort, la vie prend fin. Enfin parait-il car au delà des questions théologiques et métaphysiques sur la vie et la mort, il n’en demeure pas moins que ce passage de vie à trépas marque la fin de la personnalité juridique de l’individu. S’ouvre alors une période de transmission successorale. Le décès va alors créer, à l’égard des personnes survivantes, des droits et des devoirs.

On sait, au fil des jurisprudences, que certains droits ne sont pas transmissibles à cause de mort : droit de vote, de l’action en injure ou en diffamation, droit à la vie privée.

Malgré certaines tentatives passées de consacrer une « vie privée posthume » avec l’arrêt « Gabin », la jurisprudence sur le droit au respect de la vie privée est aujourd’hui clairement établie. Ainsi l’arrêt Mitterrand du 14 décembre 1999, confirmé par un arrêt du 15 février 2005 indiquent-ils « que le droit d’agir pour le respect de la vie privée s’éteint au décès de la personne concernée, seule titulaire de ce droit ».

Concernant les données personnelles, qui ne se confondent pas avec la vie privée, la CNIL de son côté, qui n’a pas ici un grand pouvoir d’initiative, s’est d’ailleurs également positionnée dans le même sens, qu’elle détaille dans différentes fiches pratiques :
  « Les droits d’accès, de modification et de suppression prévus par la loi sont des droits personnels qui s’éteignent à la mort de la personne concernée » ;
  « La loi ne prévoit pas la transmission des droits du défunts aux héritiers : un héritier ne peut donc, sur le fondement de la loi Informatique et Libertés, avoir accès aux données d’un défunt » ;
  « Par principe, un profil sur un réseau social ou un compte de messagerie est strictement personnel et soumis au secret des correspondances. A ce titre, le droit d’accès n’est pas transmissible aux héritiers. C’est la raison pour laquelle il n’est le pour la famille d’avoir accès aux données du défunt ».

Il existe toutefois quatre exceptions à cette règle :
 les droits d’accès reconnus par l’article 39 de loi Informatique et Liberté pour ce qui est des données publiques traitées dans le cadre de l’article 42 de la loi de 1978,
 la levée du secret professionnel dans le cadre de la délivrance aux ayants droit d’information nécessaires pour connaître les causes du décès, défendre la mémoire du défunt et faire valoir ses droits ;
 l’atteinte à la mémoire du défunt ;
 les droits des héritiers d’exercer les droits qu’ils tiennent de l’article 40 de la loi de 1978 d’exiger l’actualisation des données du défunt et la prise en considération du décès.

La personne numérique, ou plutôt les données numériques relatives à l’individu physique, elle, survie à la mort physique.

Internet a ainsi consacré une sorte d’éternité numérique, une sorte de paradis artificiel dans lequel personne ne meurt véritablement jamais.

Ainsi, là où la jurisprudence précitée a supprimé la vie privée posthume, Internet a créé une nouvelle forme de vie numérique posthume à travers la conservation des données personnelles des individus pour un temps indéterminé.

Ainsi après le décès de l’internaute, sa vie physique, devenue simple anomalie numérique, ne se formatera pas avec sa mise en bière ou sa crémation. Et si un doute peut légitimement exister sur l’existence d’un « au delà » pour l’âme humaine, ce doute n’existe plus pour l’« au delà numérique ». « Ad vitam aeInternetam ».

Suivant à la lettre ce précepte d’Edgar Morin « Qui tient la mort tient l’empire », les GAFA ont trouvé le moyen d’accroitre leurs empires commerciaux en générant du trafic sur leur site. Ils ont ainsi surfé sur la vague des données non protégées (mais exploitées et monétisées ) par la création de pages post-mortem, et autres cimetières numériques en considérant que les données personnelles leur appartenaient. Notons qu’elles ne leur appartiennent pas plus qu’à un autre puisqu’il n’existe aucun droit de propriété sur les données personnelles, qui sont donc un peu au mieux un res communis , au pire une res nullus, tout étant ici question de point de vue.
Il suffit pour s’en convaincre de regarder les nombreuses pages posthumes qui fleurissent sur les réseaux sociaux, un peu comme le « MCP » (Maître Contrôleur Principal), l’ordinateur avide de pouvoir à l’intelligence artificielle surdéveloppée, qui, dans le film « Tron » téléporte le héros dans un jeu vidéo.

Dans un article intitulé « Ma vie numérique et après ? », publié sur ce même Village de la Justice, je constatais, avec d’autres, que la loi française, pas plus que la réglementation européenne, ne prévoyait la gestion des données personnelles post-mortem par les héritiers ou tout autre ayant droit.

D’ailleurs le projet de règlement européen sur la protection des données personnelles ose-t-il à peine aborder la question, en renvoyant la responsabilité de la réponse aux législations nationales. Preuve d’ailleurs s‘il en était de la méconnaissance de l’UE au regard des règles de fonctionnement transnationaux des réseaux sociaux. « Il n’y a pas lieu d’appliquer les principes de protection des données aux données concernant des personnes décédées. Le droit national d’un Etat membre peut prévoir des règles relatives au traitement des données à caractère personnel concernant des personnes décédées ».

En matière de données personnelles, la loi ne prévoit pas la transmission des droits du défunt aux héritiers. Cela est d’ailleurs étonnant quand on sait par exemple que la mort n’a en principe aucun effet sur la justice civile. Peu importe que la personne décédée soit le demandeur ou le défendeur à un procès. Le décès d’une personne fait que son patrimoine, c’est-à-dire l’ensemble des biens et des droits d’une personne, passe à ses successeurs (en principe, son conjoint et ses enfants). Le procès continue donc, la partie décédée étant remplacée par l’ensemble de ses successeurs, qu’on appelle consorts.

Or, quelque soit l’endroit physique ou métaphysique où il se trouve, l’individu mort et enterré ne pourra plus exercer les droits qui lui ont été reconnus de son vivant. Tout au plus pourra-t-il abandonner certains droits à ses ayants droits, et encore cet abandon ne sera pas volontaire puisque résultant de la loi ou de la jurisprudence.

Les données personnelles, bien qu’objet de droit, ne sont pas considérées comme un bien patrimonialisable, transmissible, puisque un héritier ne peut, sur le fondement de la loi Informatique et Libertés, avoir accès aux données d’un défunt. A peine les héritiers peuvent-ils entreprendre des démarches pour mettre à jour les informations concernant le défunt (enregistrement du décès par exemple). A condition toutefois qu’ils en aient connaissance, ce qui n’est pas sûr.
En France, si l’article 724 du Code civil prévoit que « les héritiers désignés pas la loi, sont saisis de plein droit des biens, des droits et action du défunt », ceux-ci ne sont pas saisis de ce que l’on appelle les droits personnels, c’est-à-dire ceux qui sont attachés à la personne même. Et qui donc disparaissent avec elle.

Pourtant, le Cour de cassation a considéré qu’un fichier client contenant des données personnelles pouvait lui être dans le commerce, donc être patrimonialisé et donc faire l’objet d’une vente ou d’une transmission à titre gratuit (une donation), dès lors qu’il était en règle avec les formalités de la CNIL. Pour se faire, la haute juridiction se fonde pour cela sur l’article 1128 du Code civil qui pose le principe que seules les choses dans le commerce peuvent faire l’objet de convention et l’article 22 de la loi Informatique et Libertés du 6 janvier 1978 relatif à l’obligation de déclaration des traitements de données à caractère personnel.

Ainsi, l’on arrive à une situation assez particulière dans laquelle les données personnelles ne peuvent être vendues ou données par leur titulaire car étant considérées comme des attributs de la personnalité, ni valorisées car non patrimoniale, tandis qu’un ensemble de données personnelles détenues par un tiers le serait, même si ce tiers propriétaire de la base de données ne peut s’opposer à l’exercice des droits issus de la loi Informatique et Libertés (consentement, droit d’opposition…).
Quoiqu’il en soit, avec la loi en cours d’examen au Parlement, cette situation devrait trouver une voie de résolution partielle. Non pas que ces sites restitueront « à première demande » les données à leur « propriétaire », ou plutôt à leur détenteur originel, celui-ci étant mort et enterré ou incinéré toute tentative de restitution s’avèrera vaine. Mais il sera désormais possible de son vivant de prévoir le devenir des ses données après sa mort.

Ainsi, si l’article 32 du projet de loi déposé au Parlement s’intéresse au «  devenir des données personnelles après le décès de la personne », il ne tranche pas la question de la patrimonialité et de la propriété des données personnelles, suivant en cela l’analyse faite par le Conseil National du Numérique, qui proposait expressément d’ « exclure la propriété sur les données personnelles ». Rappelons pour la forme ici que ce conseil ne compte aucun représentant de consommateurs ou utilisateurs d’Internet.

Toutefois il y répond quelque peu puisque des droits jusqu’alors intransmissibles, droit d’accès, de modification, de suppression, pourraient être transmis aux ayant droit par soit directement soit par l’intermédiaire d’un tiers de confiance.

Un bémol toute de même puisque les données ne seront pas transmises comme cela est le cas pour les biens classiques entrant dans une succession. Seuls les droits attachés à ces données feront l’objet d’une transmission et encore. Tandis que lorsque l’on hérite du buffet de grand-maman et que l’on peut donc en disposer librement, l’utiliser personnellement ou le vendre, en matière de données personnelles, seuls les droits d’accès, de rectification, d’opposition, de déréférencement et de mise à jour sont transmis.

En aucun cas n’est transmis un droit d’utilisation, de propriété sur ces données. C’est un peu comme s’il existait un démembrement entre la chose et les droits qui y sont attachés, à l’image de droit d’auteur, où l’œuvre de l’esprit ne se confond pas avec son support.

Il est donc regrettable que ne soit pas transmis aux héritiers de véritables droits sur les données personnelles du défunt, pas plus d’ailleurs que le « patrimoine numérique » du de cujus.

Le texte adopté à l’Assemblée Nationale offre toutefois certaines avancées puisqu’il offre à toute personne la possibilité de « définir des directives relatives à la conservation, à l’effacement et à la communication de ses données à caractère personnel après son décès. Ces directives sont générales ou particulières » et « peuvent être enregistrées auprès d’un tiers de confiance numérique certifié par la Commission nationale de l’informatique et des libertés ».

Afin de renforcer le consentement éclairé du vivant sur celui du futur mort, le texte prévoit que ce consentement ne peut « résulter de la seule approbation par celle-ci des conditions générales d’utilisation ». Fini donc ici une clause d’adhésion aveugle et gageons que toute clause en ce sens sera dès lors déclarée nulle.

De plus, afin de faire respecter les dernières volontés numériques, l’article 32 dresse la liste des personnes ayant qualité de prendre connaissance des directives et demander leur mise en œuvre aux responsables de traitements concernés, une fois la personne décédée.

Etrangement, le gouvernement a néanmoins souhaité supprimer par amendement la transmission automatique des droits du défunt à ses héritiers.

Enfin, confortant le droit pour les héritiers de mettre à jour les données, un nouvel alinéa prévoit que « les héritiers de la personne décédée justifiant de leur identité peuvent, si des éléments portés à leur connaissance leur laissent présumer que des données à caractère personnel la concernant faisant l’objet d’un traitement n’ont pas été actualisées, exiger du responsable de ce traitement qu’il prenne en considération le décès et procède aux mises à jour qui doivent en être la conséquence ainsi qu’à la clôture du compte ».

En effet, jusqu’à alors, les héritiers pouvaient seulement effectuer des mises à jour, lesquelles se résumaient en un commentaire « mort dans la vraie vie ». La seule nouveauté ici est la création du droit à la clôture du compte qui entre effectivement dans le texte de l’article 40 de la loi de 1978.
Le projet de loi numérique prévoit également la création d’un « tiers de confiance numérique », qui sera chargé de l’exécution des directives édictées par le défunt de son vivant. Ce tiers de confiance permettra donc une sorte de suicide numérique assisté.

Toutefois le texte issu des débats laisse de nombreuses questions en suspend.
D’abord il ne règle pas la question du devenir du patrimoine numérique du de cujus, lequel a pu durant ces courtes années terrestres acquérir d’important bien numérique, licences de logiciels, films, musiques, livres… qui en tout état de cause lui survivront.

Ensuite l’acte juridique par lequel le futur défunt confiera le sort de ses données sera-t-il un acte authentique ou un acte sous-seing privé, acte d’avocat ou non ? Sera-t-il revêtu ipso facto d’une forme exécutoire ou faudra-t-il passer par un long parcours judiciaire pour le rendre comme tel ? Pourra-t-il être contesté et devant quelle juridiction ?

La notion de tiers de confiance numérique n’est pas plus explicitée. Tout au plus, le texte se borne-t-il à indiquer succinctement sa mission. Mais quel sera son statut ? Sera-t-il un exécuteur testamentaire ? A qui devra-t-il rendre compte puisque son « mandant » est décédé ? Et sous quelle forme ? Dans quel délai devra-t-il effectuer sa mission ? Quelle sera sa responsabilité en cas de faute ? Et quelle sera d’ailleurs la ou les faute(s) qui pourra (ont) lui être reprochée(s) ?

De même pourquoi ne pas consacrer un droit à la mort numérique aux termes duquel figurerait au rang des clauses obligatoires des conditions générales d’utilisation des sites Internet l’effacement des données à terme échu, la terme étant naturellement la mort et l’acte de décès qui s’ensuit ?
Pourquoi ne pas avoir prévu simplement une date limite de validité des données personnelles, sorte de date limite de consommation qui obligerait simplement à supprimer les données à cause de mort, la loi prévoyant que les données ne peuvent être traitées que pendant une durée déterminée, la fin de la vie terrestre ne serait-elle pas un bon timing ?

Le Sénat qui doit examiner le texte dans les prochaines semaines se doit d’apporter encore des précisions afin de sécuriser les futurs défunts que nous somme tous et nos ayant droits.
Pour ma part, je plaide pour que l’avocat soit ce tiers de confiance. A l’instar ce qui existe déjà en matière fiscale, l’avocat est naturellement ce tiers de confiance numérique destiné à protéger les droits des défunts.

Seul partenaire juridique de haut niveau susceptible d’offrir les garanties indispensables de confidentialité, de compétence et d’indépendance, l’avocat est le mandataire naturel qui accompagne ses clients dans tous les actes de la vie civile.

Il est à ce titre, par sa connaissance du droit et par ses règles professionnelles, et notamment grâce à l’acte d’avocat tout désigné pour être chargé par son client du respect de ses dernières volontés numériques.

Stéphan DENOYES Avocat Associé