Que deviennent mes données virtuelles à mon décès ?

Ces données constituent le plus souvent des « données à caractère personnel », c’est-à-dire permettant d’identifier (in)directement une personne physique, tels qu’un nom ou un identifiant en ligne. Il suffit de songer aux profils affichés sur les réseaux sociaux ainsi qu’au contenu qui y est habituellement diffusé. Or, les personnes concernées bénéficient d’un certain nombre de droits sur ces données, notamment celui d’obtenir leur effacement, voire leur transmission à un autre opérateur (par exemple un réseau social concurrent), et ce conformément aux conditions figurant dans le nouveau règlement européen sur la protection des données, mieux connu sous son acronyme anglais GDPR. Certes, ce dernier n’entrera en vigueur qu’en mai 2018 mais certains de ces droits sont déjà une réalité sous l’égide de la législation actuelle.

Fort bien, mais ces droits sont-ils de mise lorsque je décède ? En principe non, puisque, comme l’a considéré le groupe de travail européen indépendant « Article 29 » traitant ce genre de questions, en vertu du droit civil, les personnes décédées ne sont plus des personnes physiques. En d’autres termes, mes ayants droit ne pourraient normalement pas s’en prévaloir après mon décès pour demander, par exemple, de corriger des données inexactes me concernant. Cela étant, et même si le GDPR exclut les personnes décédées de son champ d’application, les choses évoluent, ainsi qu’en témoigne une décision récente du Conseil d’Etat français : contrairement au point de vue qui fut défendu par la CNIL, l’autorité nationale de protection des données, lorsqu’une victime d’un accident de la circulation décède, son droit à la réparation de son dommage est transmis à ses héritiers, lesquels bénéficient alors d’un droit d’accès aux données à caractère personnel concernant le défunt (en l’occurrence auprès d’une mutuelle d’assurances) « dans la mesure nécessaire à l’établissement du préjudice que ce dernier a subi en vue de sa réparation ». Il serait donc «  indirectement » possible de s’en prévaloir dans certains cas.

Du reste, il n’y a pas que la réglementation relative aux données à caractère personnel qui pourrait trouver à s’appliquer. Certaines législations prévoient expressément ce qu’il peut advenir de « données » d’une personne décédée, à l’instar de la loi du 22 août 2002 relative aux droits du patient qui règlemente l’accès au dossier le concernant ou du Code de droit économique qui consacre le droit d’auteur d’une personne sur ses créations jusqu’à 70 ans après sa mort ou le droit sur son image jusqu’à 20 ans après son décès. Egalement, le recours à l’article 8 de la Convention européenne des droits de l’Homme consacrant le droit au respect de la vie privée permet de s’opposer à l’utilisation des « données » d’une personne décédée qui porterait atteinte à son honneur et à sa dignité.

En résumé, sauf cas spécifiques, il n’y a pas de réglementation permettant à mes ayants droit d’exercer « en direct » des « droits » sur mes données virtuelles. Du moins pas en Belgique et ce contrairement à la France qui a récemment mis en place le « droit à la mort numérique » permettant à toute personne d’organiser, de son vivant, les conditions de conservation et de communication de ses données à caractère personnel après son décès.

Cela dit, en pratique, la plupart des grands acteurs de l’Internet ont mis en place des procédures permettant non seulement de leur signaler le décès d’un titulaire de compte, mais également d’organiser le « devenir » de ce compte. Ces procédures, qui peuvent varier, ont notamment été compilées dans la rubrique « mort numérique » du site Internet de la CNIL www.cnil.fr