Le sort des données personnelles du défunt présente des enjeux juridiques et éthiques sans précédent, au premier rang desquelles l’impact de la digitalisation sur le droit des successions et le risque d’une forme d’immortalité numérique. Comment traiter l’héritage digital à l’heure des réseaux sociaux et de l’intelligence artificielle ? Rapide tour d’horizon.
Les notions de données et d’accès aux données
Les personnes exercent leurs demandes d’accès aux données à caractère personnel auprès des responsables de traitement des données. « Ces demandes se sont multipliées depuis l’entrée en application du Règlement général à la protection des données - RGPD - il y a un an », explique Virginie Bensoussan-Brulé, avocate chez Lexing Alain Bensoussan Avocats. Or, ce droit d’accès existe depuis la loi Informatiques et libertés (Loi 78-17 du 6-1-1978). Le RGPD n’a rien modifié sur ce plan. Auparavant, peu de personnes l’exerçaient. Aujourd’hui, les mentions relatives à la protection des données sont très visibles, en couleur ou en caractères très apparents. Sensibilisés à l’existence du traitement de leurs données, les personnes interrogent employeurs, banques, organismes publics divers, etc., pour obtenir toutes sortes de renseignements. « On est passé d’un droit à l’information à un droit à la compréhension. Les responsables de traitement refusent généralement les demandes parce qu’elles sont infondées », ajoute l’avocate.
Plusieurs motifs de refus peuvent être opposés : l’absence de mandat si la demande n’émane pas de la personne elle-même ; l’accès demandé ne concerne pas des données mais des documents privés. « Si un professionnel du droit (avocat, notaire) veut exercer une demande de droit d’accès pour le compte d’un client, il doit le faire en fournissant un mandat ad hoc, recommande-t-elle. Par ailleurs, s’il demande l’accès à un contrat, il ne l’obtiendra pas, il obtiendra les données à caractère personnel mentionnées dans le contrat (nom, prénoms, adresse, statut marital, etc.). On assiste à un dévoiement important dans des litiges de type prud’homaux, familiaux (divorce) et successoraux. Ce droit d’accès n’a pas été mis en place pour obtenir des documents et connaître leur contenu. Le droit d’accès porte sur la présence de données afin de pouvoir les rectifier si elles sont erronées ou de les supprimer. »
Pour ce qui concerne l’accès aux données des personnes décédées, le Conseil d’État a jugé que « des personnes ne peuvent, en leur seule qualité d’ayants droit de la personne à laquelle se rapportent les données, être regardées comme des personnes concernées » (CE 8-6-2016 n° 386525). La loi Informatique & libertés définit la notion de « personne concernée par un traitement de données à caractère personnel » comme étant « celle à laquelle se rapportent les données qui font l’objet du traitement » (Loi 78-17 du 6-1-1978, art. 2 dernier alinéa). La personne est donc la seule à pouvoir exercer le droit d’interrogation (existence de données) et d’accès ayant pour seul objet d’exercer les droits de rectification et de suppression. Que peut-on alors obtenir à propos d’un utilisateur décédé ?
L’actualisation des données et les directives post-mortem
La loi pour une République numérique a anticipé l’entrée en application du RGPD (Loi 2016-1321 du 7-10-2016, art. 63 : JO 8 texte n° 1). Elle permet à la personne de décider du sort de ses données après son décès.
Devoir de mémoire. Les héritiers de la « personne concernée » peuvent exiger une actualisation de ses données à caractère personnel, afin notamment de préserver la mémoire de celle-ci et de protéger sa vie privée.
Organiser le sort de ses données personnelles après la mort. « Toute personne peut définir des directives relatives à la conservation, à l’effacement et à la communication de ses données à caractère personnel après son décès. » (Loi 78-17 du 6-1-1978, nouvel article 40-1 issu de la loi du 7-10-2016). « Cette faculté est méconnue, mais elle va rentrer dans les mœurs, souligne l’avocate. Ce droit nouveau est encore très peu exercé. » Chacun peut désigner une personne chargée de l’exécution de ses directives. Celle-ci a alors qualité, après le décès, pour en prendre connaissance et demander leur mise en œuvre aux responsables de traitement. À défaut de désignation ou, sauf directive contraire, en cas de décès de la personne désignée, ses héritiers disposent des mêmes droits.
Il existe deux types de directives. Elles sont générales ou particulières et définissent la manière dont la personne entend que soient exercés ses droits. Les premières portent sur l’ensemble des données du défunt et peuvent être confiées à un tiers de confiance certifié par la Cnil. Les secondes ne concernent que certains traitements de données spécifiques (comptes et messageries en ligne, téléphonie, réseaux sociaux, coffre-fort électronique, etc.). Elles peuvent également être confiées aux responsables de traitement et font l’objet d’un consentement spécifique de la personne concernée et ne peuvent résulter de la seule approbation par celle-ci des conditions générales d’utilisation.
Absence de directive. En l’absence de directive, ou de mention contraire, données de son vivant par le défunt, les héritiers peuvent exercer certains droits, en particulier le droit d’accès, s’il est nécessaire à l’organisation et au règlement de la succession, et le droit d’opposition pour procéder à la clôture des comptes utilisateurs du défunt. « Les héritiers peuvent donc refuser que les comptes en ligne d’un proche lui survivent », relève Virginie Bensoussan-Brulé.
Le droit d’accès leur permet d’identifier et d’obtenir communication des informations utiles à la liquidation et au partage de la succession. Ils peuvent aussi recevoir communication des biens numériques ou des données s’apparentant à des souvenirs de famille, transmissibles aux héritiers. En pratique, « il faut justifier la demande d’accès, par exemple, les motivations de la récupération de photos, rappelle l’avocate. Il n’est pas certain qu’elles soient indispensables dans le cadre du règlement successoral. » Par ailleurs, les réserves précédemment évoquées s’appliquent. « Les héritiers devront délivrer un mandat ad hoc au professionnel s’ils n’exercent pas directement la demande. Ils ne doivent pas espérer recueillir plus que des données, poursuit-elle. Solliciter l’avis de la Cnil en cas de difficulté d’application, voire lui suggérer une solution, est pertinent au regard du devoir de conseil. Ensuite, il faut attendre que la jurisprudence encadre la pratique et précise la condition relative au règlement de la succession », complète-t-elle.
Que se passe-t-il dans le cas où la personne a confié ses mots de passe, voire les a transmis par testament ? Par analogie avec les couples en instance de divorce, « la connaissance des mots de passe d’un proche ne suffit pas pour avoir le droit de les utiliser », précise l’avocate. Éric Bonnet souligne une certaine réticence des réseaux à laisser les personnes se connecter même si elles pourraient apparaître légitimes à le faire. Ainsi, « même dans ces circonstances, Facebook refuse de communiquer les informations de connexion au compte d’un autre utilisateur, car ses règlements interdisent toujours à quiconque de se connecter sur le compte d’une autre personne ».
Information par les plateformes. En principe, tout prestataire d’un service de communication au public en ligne informe l’utilisateur du sort des données qui le concernent à son décès et lui permet de choisir de communiquer ou non ses données à un tiers qu’il désigne. « En pratique, la quasi-totalité des réseaux sociaux prévoient des solutions concernant la gestion des comptes des personnes décédées. Il convient de rechercher cette information sur chaque réseau (Facebook, Twitter, LinkedIn, Instagram...). C’est fastidieux mais indispensable », admet Éric Bonnet.
Une jurisprudence allemande emblématique
La jurisprudence reste rare en matière d’héritage numérique.
La Cour fédérale de Karlsruhe s’est prononcée sur la question dans le cadre d’une affaire où des parents exigeaient de Facebook, sans succès, le droit d’accéder au compte de leur fille mineure décédée dans des circonstances tragiques en 2014. Ils voulaient pouvoir éclaircir les conditions de sa mort. Saisi du litige en 1e instance, un tribunal berlinois avait donné gain de cause aux parents aux motifs que « le contrat d’utilisateur d’une personne à un réseau social passe dans la succession universelle des héritiers du titulaire de ce compte ». La Cour d’appel de Berlin a infirmé cette décision en 2017, invoquant le droit au respect de la vie privée des interlocuteurs de la jeune fille sur Facebook. Très attendu, l’arrêt de la plus haute juridiction allemande a donné raison aux parents (Bundesgerichtshof, 18 juin 2018). Puisqu’ils connaissaient le mot de passe de leur fille, la Cour a jugé qu’ils auraient pu avoir accès à son compte de son vivant. La Cour a estimé par ailleurs que les parents héritaient du contrat signé avec Facebook.
Alexandra DESCHAMPS
À propos de la politique de Facebook, lire Solution Notaire Hebdo (SNH 19/19 inf. 13, paru le 6-6-2019)
Eric BONNET, avocat chez Lexing Alain Bensoussan Avocats
Virginie BENSOUSSAN-BRULE, avocate chez Lexing Alain Bensoussan Avocats