Skip to main content
News

Du numérique à la santé

Du numérique à la santé

Article

Du numérique à la santé : comment la France assure-t-elle la protection des données personnelles des personnes décédées ?

30 Septembre 2022

Que deviennent les données personnelles d’un individu après son décès ? Un tour d’horizon des solutions proposées par le législateur français pour encadrer cette situation dans le domaine du numérique et de la santé.

1. La “mort numérique” : une spécificité française

L’essor d’Internet et des nouvelles technologies a entraîné le développement des réseaux sociaux et l’utilisation du numérique dans la vie quotidienne et l’économie. Le législateur français a cherché à savoir comment accompagner ce mouvement tout en le conciliant avec la défense des intérêts et du droit à la vie privée des personnes. Ainsi, le législateur français a adopté la loi du 7 octobre 2016, traduisant sa volonté de construire la République numérique. Avec cette loi, il souhaite faciliter l’accès des citoyens français à un environnement numérique ouvert permettant la circulation des données dans le respect de leur vie privée.
La loi du 7 octobre 2016 a introduit le principe de ” mort numérique ” dans l’article 85 de la loi informatique et libertés (loi du 6 janvier 1978, et mise à jour le 20 juin 2018 (dite aussi ” loi Technologies et Libertés “). Ce principe permet à chaque personne physique de donner des “directives relatives à la conservation, à l’effacement et à la communication des données à caractère personnel après son décès”. Cette mesure vient en réponse à la forte expansion des plateformes de réseaux sociaux. En effet, cette évolution de la société a poussé le législateur français à réfléchir à l’encadrement des données personnelles des personnes décédées titulaires de comptes sur ces plateformes. En introduisant cette mesure deux ans avant l’entrée en vigueur du RGPD, la France a fait preuve d’avant-gardisme en étant le seul État membre de l’Union européenne à appliquer le principe de ” mort numérique ” au sein de l’Union européenne. La Commission nationale de l’informatique et des libertés (CNIL), autorité française de contrôle de la protection des données, contribue à la bonne mise en œuvre de ce principe en éditant une fiche pratique sur le sujet sur son site internet. Par le biais de liens, cette fiche renvoie aux procédures proposées par les différentes plateformes de réseaux sociaux pour assurer la protection des données personnelles des défunts.

2. Modalités alternatives de l’article 85

Aucune clause contractuelle ne peut limiter de quelque manière que ce soit les droits sur les données à caractère personnel accordés par l’article 85 à une personne décédée, même après son décès. Deux cas sont introduits par cet article : soit la personne concernée a laissé des instructions générales/spécifiques à cet effet avant son décès, soit elle n’a laissé aucune instruction, auquel cas les héritiers prennent le relais.
D’une part, les instructions générales peuvent être enregistrées auprès d’un tiers de confiance et numérique certifié par la CNIL. D’autre part, les instructions spécifiques sont données à un responsable de traitement spécifique qui a préalablement reçu le consentement de la personne qui les formule. Ce consentement doit être spécifique et ne peut être déduit d’une acceptation globale de conditions générales.
En l’absence d’instructions laissées par le défunt, ses héritiers reprennent l’exercice des droits qui lui sont reconnus par l’article 85 en ce qui concerne ses données personnelles. Après avoir dûment informé les responsables du traitement du décès de la personne, les héritiers peuvent fermer les comptes utilisateurs du défunt, s’opposer au traitement des données personnelles du défunt ou les faire mettre à jour. Ils peuvent également accéder au traitement des données personnelles concernant le défunt afin d’identifier et d’obtenir la communication des informations utiles à la liquidation et au partage de la succession.

3. La protection fournie dans le domaine de la santé

Le mécanisme de l’article 85 montre que le décès d’une personne n’entraîne pas la perte de la protection et de l’exercice de ses droits sur ses données personnelles. Cette logique de conservation guide également la protection des dossiers médicaux des personnes décédées ; le Code de la santé publique français restreint l’accès des héritiers aux informations médicales au nom du secret médical et du droit à la vie privée du défunt. L’article L1110-4 soumet cet accès aux conditions suivantes :

  • la personne décédée ne doit pas avoir fait opposition avant son décès
  • le demandeur doit être un ayant droit de la personne décédée ;
  • la demande d’accès doit être fondée sur les motifs suivants : connaître les causes du décès ; défendre la mémoire du défunt ; permettre au demandeur de faire valoir ses droits.

La Commission d’accès aux documents administratifs (CADA) peut également être saisie pour avis de toute forme de contestation relative à une demande d’accès à un dossier médical formulée par une personne autre que le titulaire. Cette autorité administrative indépendante est chargée de veiller à la liberté d’accès aux documents administratifs dans le respect de la réglementation en vigueur. Cette mission peut donc la conduire à agir en faveur de la préservation des données personnelles d’un défunt.

4. L’expression du droit à la vie privée de l’individu

La protection des données d’une personne décédée rencontre certaines limites concernant les prérogatives accordées à celle-ci et à ses héritiers.
Le législateur français accorde au défunt un certain nombre de droits alors même qu’il n’a plus la capacité juridique du fait de son décès. Cette ambiguïté pose la question de savoir si l’identité numérique issue d’Internet peut offrir à un individu des droits similaires à ceux de son identité physique, qui définit également sa capacité juridique.
En 2016 et 2017, le Conseil d’État français rappelle dans deux arrêts que les héritiers ne sont pas autorisés à se substituer à un défunt dans l’exercice de ses droits relatifs aux données personnelles. Le Conseil d’État ne les considère pas comme étant concernés par l’exercice de ces droits. Dans les deux arrêts, il a confirmé les décisions prises par la CNIL limitant l’accès des héritiers aux données personnelles d’une personne décédée. Dans la première affaire, la CNIL avait été saisie par les héritiers suite au refus de l’employeur d’un défunt de transmettre l’enregistrement des appels téléphoniques effectués par ce dernier. Dans la seconde affaire, la CNIL s’est prononcée sur le refus d’une mutuelle d’accorder au fils d’une personne décédée dans un accident de voiture l’accès au dossier de cette dernière contenant ses données personnelles.
Au-delà de ces limites, la protection des données personnelles d’une personne décédée peut être considérée comme l’expression de son droit à la vie privée en tant qu’individu. Ce droit est garanti au plus haut niveau dans l’ordre juridique français. Dans une décision de 1995, le Conseil constitutionnel a confirmé la valeur suprême de ce droit, qui est consacré par l’article 66 de la Constitution française mais aussi par l’article 12 de la Déclaration universelle des droits de l’homme des Nations unies. Cette base juridique justifie donc pleinement la mise en œuvre de cette protection dans l’intérêt du défunt.

Si vous avez des questions concernant la protection des données et la confidentialité dans les sciences de la vie, contactez-nous.

Benoit Morel

Data Protection Manager

Si vous souhaitez nous contacter

Contactez nous