PARTIE III – La mort dans le monde numérique

Chapitre introductif – Prolégomènes : La mort à l’aune du droit de la protection des données

1357 Le droit de la protection des données est le fruit d’une histoire récente (Section I) ayant défini des notions juridiques nouvelles (Section II).

Section I – Un peu d’histoire du droit de la protection des données

1358 La législation de la protection des données est une construction internationale d’origine largement française (Sous-section I). Celle-ci ne s’est intéressée à la mort numérique que tardivement et à l’échelon national (Sous-section II).

Sous-section I – Les textes français, européens et internationaux

1359 Historiquement, un attachement biséculaire aux libertés publiques et une histoire nationale douloureuse en matière de fichiers (même simplement manuels)⁵⁵² avaient sensibilisé la France à la collecte et l’exploitation de données personnelles, des vivants bien avant les morts.

Plus récemment, une commission parlementaire déjà intitulée « Informatique et libertés » avait rendu un rapport⁵⁵³ en réaction au projet de création d’un fichier interconnecté dénommé Safari⁵⁵⁴, qui avait notamment conduit le journal Le Monde à titrer Safari ou la chasse au Français sous la plume du journaliste Philippe Boucher.

Ces préoccupations ont conduit la France à élaborer, dès 1978, aux débuts des applications de masse de l’informatique, une première et large loi de protection individuelle en la matière : la loi informatique et libertés⁵⁵⁵ ⁵⁵⁶.

Cette motivation apparaît dès le premier article de la loi qui dispose que : « L’informatique doit être au service de chaque citoyen. (…) Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques »⁵⁵⁷.

1360 Le législateur français s’est montré très précurseur sur ce sujet puisqu’il a ensuite inspiré :

les Lignes directrices du 23 septembre 1980 (révisées en 2013) de l’Organisation de coopération et de développement économiques (OCDE) sur la protection de la vie privée et les flux transfrontières de données de caractère personnel ;

la convention du 28 janvier 1981 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel (premier instrument juridique international sur ce sujet, ratifié à ce jour par cinquante-cinq États, même non européens)⁵⁵⁸ ;

les Principes directeurs du 14 décembre 1990 des Nations unies pour la réglementation des fichiers informatisés⁵⁵⁹ ;

la directive 95/46/CE du 24 octobre 1995 du Parlement européen et du Conseil⁵⁶⁰ ;

et, après deux nouvelles décennies, le règlement n^o 2016/679 du 27 avril 2016 du Parlement européen et le Conseil, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, couramment dénommé « règlement général sur la protection des données », par abréviation « RGPD », et la directive 2016/680 du Parlement européen et du Conseil du 27 avril 2016, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, couramment appelée « directive Police/Justice ».

1361 Parallèlement, le droit français s’est également adapté. La loi informatique et libertés a été complétée à plusieurs reprises pour renforcer les prérogatives des individus sur leurs données et leur exploitation, notamment en 2004⁵⁶¹, et plus largement en 2016 avec la loi pour une République numérique⁵⁶².

Elle a finalement été complètement remaniée par la loi du 20 juin 2018⁵⁶³, puis par l’ordonnance du 12 décembre 2018⁵⁶⁴prise sur habilitation du gouvernement à cette réécriture législative, pour adapter la loi française aux dispositions européennes sur la protection des données.

Enfin, un décret du 29 mai 2019⁵⁶⁵ est venu parachever l’harmonisation législative, pour tenir compte de l’ensemble de ces textes.

Sous-section II – Et la mort dans cette histoire ?

1362 – Un long désintérêt pour le sort des données numériques des défunts. – Jusque très récemment, le droit n’avait pas régulé la question de la mort numérique.

Au niveau européen, la directive de 1995 était également restée silencieuse, même si le Conseil de l’Union et la Cour de justice avaient dit que les États membres pouvaient en étendre les dispositions au-delà de son champ d’application, dans la mesure où cette extension poursuivait un intérêt légitime et n’était pas incompatible avec d’autres dispositions communautaires⁵⁶⁶.

Le règlement général sur la protection des données (RGPD) du 27 avril 2016 est quant à lui resté totalement étranger à cette question, s’en remettant expressément aux États membres⁵⁶⁷.

Fruit de longues années de négociations entre les différentes instances européennes, avec des vues divergentes pour certaines, sous pression de lobbys de toutes sortes, ce texte constitue à la fois une consolidation des règles précédentes, quelques avancées et une uniformisation des règles européennes. Cette dernière était visée par le choix de la forme d’un règlement d’application immédiate plutôt que d’une directive que chaque État aurait eu à transcrire dans sa législation, comme en 1995 où il avait en outre fallu neuf ans à la France pour sa propre transcription.

Les conditions compliquées d’élaboration de ce texte, de surcroît en différentes langues, ont tout de même laissé des traces dans sa forme, dont la lecture n’est pas facile, surtout lorsque l’on y ajoute les textes étonnamment pris pour l’application d’un règlement. Ce constat avait conduit Paul-Olivier Gibert, président de l’Association française des correspondants à la protection des données à caractère personnel (AFCDP), à déclarer : « La pratique de la Kabbale est une bonne préparation à la lecture du règlement européen sur la protection des données ».

1363 En France, la prise en compte du sort des données des défunts était absente de la loi informatique et libertés dans ses diverses rédactions antérieures à la loi pour une République numérique du 7 octobre 2016, hors le cas particulier des données de santé qui, en raison de leurs spécificités, ne sont pas abordées dans ces lignes⁵⁶⁸.

Tout au plus l’article 40 de la loi du 6 janvier 1978, dans sa rédaction issue de sa révision de 2004, restée en vigueur jusqu’en 2016, prévoyait que : « Les héritiers d’une personne décédée justifiant de leur identité peuvent, si des éléments portés à leur connaissance leur laissent présumer que les données à caractère personnel la concernant faisant l’objet d’un traitement n’ont pas été actualisées, exiger du responsable de ce traitement qu’il prenne en considération le décès et procède aux mises à jour qui doivent en être la conséquence ». Une prise en compte très embryonnaire.

1364 – Une conception personnaliste des données personnelles (versus réaliste)⁵⁶⁹. – En l’absence de dispositions légales précises, deux pistes principales avaient été envisagées sur le sort des données personnelles des défunts.

Une disparition de ces données, en considérant leur traitement désormais inadéquat, alors que la directive de 1995 avait posé le principe que des données ne pouvaient être traitées qu’à la condition d’être « adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et pour lesquelles elles sont traitées ultérieurement »⁵⁷⁰ et le RGPD à sa suite à condition d’être « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) »⁵⁷¹. Le décès de la personne concernée priverait ainsi en lui-même le traitement de ses données personnelles de base légale.

À l’inverse, une transmission automatique, à titre de droits numériques, à l’image des droits extranumériques, successoraux ou moraux, selon qu’ils étaient envisagés sous un angle patrimonial ou extrapatrimonial.

Ce débat sur la nature réaliste ou personnaliste des droits numériques sur les données personnelles semble aujourd’hui presque refermé, en tous cas dans la législation et la jurisprudence, par la prééminence acquise par la seconde. Même s’il continue à animer la doctrine⁵⁷². Dans le but commun de protéger les droits des personnes concernées sur leurs données, les deux conceptions s’étaient courtoisement affrontées. L’une estimant que le droit de propriété était de nature à protéger leur « auteur ». L’autre estimant que le caractère personnel et donc inaliénable des données y parviendrait mieux.

1365 La qualification personnaliste était plus conforme aux premières conceptions des données numériques, liées à la personne, à sa vie privée, à sa liberté, bien avant que l’idée qu’elles puissent avoir une valeur économique n’émerge. Elle avait donc « une longueur d’avance ». Lors de l’émergence de l’idée de valeur des données personnelles, il est apparu que le déséquilibre économique et juridique entre les personnes concernées et les responsables de traitement – un particulier face à une Gafa – ne pouvait conduire à leur patrimonialisation, laquelle aboutirait inévitablement à leur captation, à l’occasion d’un rapport de force complètement déséquilibré, et finalement à leur spoliation, ainsi que le relevait le Conseil d’État en 2014⁵⁷³.

Avec quelques maladresses rédactionnelles, la loi pour une République numérique, après le RGPD lui-même, a confirmé le choix pour une conception personnaliste des droits des personnes concernées sur leurs données.

Ce choix de principe ne doit cependant pas écarter la valeur patrimoniale de toutes les données, notamment de celles précisément désignées sous le terme de « biens numériques » en raison de leur caractère appropriable et valorisable, protégés par ailleurs au titre, par exemple, du droit d’auteur.

1366 – Une intervention législative nationale récente. – C’est finalement la loi pour une République numérique du 7 octobre 2016, à l’issue d’un processus participatif inédit, qui est venue combler l’absence de toute disposition concernant les défunts dans son article 63, modifiant l’article 40 de la loi informatique et libertés, renuméroté 84 et suivants par l’ordonnance de réécriture du 12 décembre 2018.

Alimenté par les contributions du Conseil national du numérique (CNNum), le projet de loi pour une République numérique avait été soumis à une consultation citoyenne au moyen d’une plateforme internet (republique-numerique.fr) ayant donné lieu à vingt et une mille participations et plus de huit mille contributions. L’ensemble des articles proposés ont été accueillis favorablement à 80 %. Dix nouveaux articles ont été créés, dont cinq nés de la consultation, et près de quatre-vingt-dix contributions ont été intégrées. Pour la première fois, un projet de loi a été co-créé avec des citoyens, internautes en l’occurrence, lors d’un processus salué à l’époque mais qui ne s’est pas renouvelé depuis ; sauf à observer le sort qui sera effectivement réservé aux propositions faites par la Convention citoyenne pour le climat en juin 2020.

Ainsi, peu à peu, des notions et règles juridiques nouvelles ont été élaborées.

Section II – Les définitions du droit de la protection des données

1367 Dans le dernier état du droit, c’est le RGPD, immédiatement après avoir indiqué ses objectifs et ses champs d’application matériel et territorial, qui définit dès son article 4 ce que sont un « fichier », un « traitement », un « responsable de traitement » et des « données à caractère personnel ». Très incidemment, il le fait aussi pour les « personnes concernées ».

Sous-section I – Un « fichier »

1368 – Définition. – Il est défini comme un ensemble structuré, accessible par des critères déterminés, centralisé ou non, réparti de manière fonctionnelle ou géographique.

Ceci écarte les simples masses de documents ou informations non organisés, ne permettant pas d’y accéder individuellement, et ainsi, en fait, non exploitables⁵⁷⁴. Mais avec l’informatique, spécialement avec les moyens actuels de lecture optique ayant la particularité de rendre exploitables de nombreux supports, cette exception semble finalement théorique.

Ainsi c’est la possibilité d’un traitement qui réalise finalement la définition d’un fichier.

Sous-section II – Un « traitement » de données à caractère personnel

1369 – Un « traitement » automatisé ou non. – Un traitement est caractérisé par toute opération appliquée à des données personnelles, effectuée ou non avec un procédé automatisé, avec, entre autres exemples, la collecte, la structuration, l’utilisation, la modification, la communication… mais aussi la limitation et l’effacement.

On pourrait s’étonner de ce que la notion de « traitement » ne soit pas limitée aux traitements automatisés, dans une législation établie à l’occasion du développement de l’informatique, par inspiration de la loi française informatique et libertés qui, en 1978 pourtant, limitait déjà son périmètre aux seuls traitements automatisés⁵⁷⁵.

Cela est d’autant plus surprenant si l’on considère le caractère aujourd’hui largement inconcevable, ou alors inopérant, d’un traitement qui prétendrait désormais être réalisé sans aucun automatisme et donc sans informatique.

Mais cette définition était déjà celle de la directive du 24 octobre 1995⁵⁷⁶, sur laquelle le RGPD n’est pas revenu, même vingt ans plus tard. Et la directive avait finalement conduit à modifier la rédaction de la loi française, pour l’étendre aux traitements non automatisés, lors de la modification de 2004⁵⁷⁷.

Un traitement est initié par un responsable, qui peut confier sa réalisation matérielle à un sous-traitant.

Sous-section III – Un « responsable de traitement »

1370 – Définition du responsable de traitement. – Le responsable est l’entité (personne physique, ou morale, autorité, service, organisme, etc.) qui, seule ou avec d’autres, détermine les finalités et les moyens du traitement⁵⁷⁸.

Le RGPD avait ouvert la possibilité de précisions nationales de cette définition. Le législateur français n’en a pas fait usage ; la loi informatique et libertés est restée silencieuse sur cette définition, n’y apportant en conséquence aucun complément.

1371 – Responsabilité du responsable de traitement. – Le RGPD comme la loi informatique et libertés écartent judicieusement du champ d’application de cette législation les activités personnelles et domestiques des personnes physiques, épargnant aux particuliers cette qualification et cette responsabilité⁵⁷⁹.

Il faut relever une forme de solidarité dans l’endossement de cette responsabilité de traitement. Il suffit d’avoir participé à la création ou à l’organisation d’un traitement, même avec d’autres, sur un pied d’égalité ou pas, pour être individuellement qualifié de responsable de traitement, avec toutes les obligations et charges qui découlent de cette qualification. Cette responsabilité peut néanmoins faire l’objet d’une répartition conventionnelle entre les responsables de traitement, sans que celle-ci soit toutefois opposable aux personnes concernées⁵⁸⁰.

Si l’on ajoute que nombre de responsabilités sont régulièrement attribuées tant au(x) responsable(s) de traitement qu’à ses (leurs) sous-traitants, nombreux seront les intervenants à un traitement à qui des comptes pourront être demandés dans la mise en œuvre de la protection des données personnelles.

Sous-section IV – Des « données à caractère personnel »

1372 – Définition des données personnelles ou données à caractère personnel. – La loi informatique et libertés les dénommait à l’origine « informations nominatives »⁵⁸¹. Cette appellation était conforme à l’usage de l’époque, mais était inconfortablement réductrice. Les autorités de contrôle et juridictions se sont très tôt affranchies de ce cadre un peu trop étroit, étendant son application à tout élément se rapportant à une personne.

Le développement de l’informatique et des outils de communication qu’il a permis a conduit à considérer que les données personnelles allaient finalement bien au-delà des seules informations rattachées au nom d’une personne, pour s’étendre à son image, sa voix, ses activités de toutes natures, etc., en fait tout ce qui se rattache à sa personne en particulier.

La directive de 1995 a donc opté pour le terme de « données à caractère personnel » repris dans la loi informatique et libertés dans sa rédaction issue de sa transposition de 2004⁵⁸².

Il faut tout d’abord noter que cette définition va bien au-delà de celle, d’origine proche et souvent parallèlement évoquée, de vie privée ; des données publiques pouvant néanmoins être personnelles.

1373 Il faut aussi remarquer que cette définition présume que la personne concernée est vivante, au motif qu’une personne décédée n’est plus une personne physique⁵⁸³. De sorte que, lorsqu’une personne décède, ses données ne sont plus « à caractère personnel » et perdent leur protection à l’égard du défunt⁵⁸⁴. Mais elles peuvent conserver ces qualification et protection à l’égard d’autres personnes physiques vivantes qu’elles peuvent concerner par ailleurs.

Les « données à caractère personnel », également dénommées « données personnelles » sont définies comme toute information se rapportant à une personne physique identifiée ou identifiable, avec la précision qu’une personne physique est rendue identifiable par un numéro d’identification, des données de localisation ou tout élément physique, physiologique, génétique, psychique, économique, culturel ou social qui lui est propre.

1374 – Mais toutes ces données sont-elles forcément personnelles ? – Des données patronymiques constituent-elles des données personnelles, alors que des parents ou alliés peuvent être titulaires des mêmes, sans parler des homonymes ? Des informations génétiques sont-elles forcément des données personnelles, à ce titre protégées, alors que des gènes identiques peuvent se trouver chez de nombreuses personnes, parentes ou pas ? À partir de quand une donnée seule ou un ensemble de données identifient-ils suffisamment une ou plusieurs personnes physiques pour leur accorder la qualification de données personnelles et leur ouvrir le droit à en revendiquer la protection ? La doctrine des autorités de contrôle et la jurisprudence des juridictions nationales et européennes sont à l’œuvre, volumineuses et anciennes, avec une marge d’appréciation accrue par le RGPD qui considère qu’une personne est identifiée ou identifiable si des moyens raisonnables, en coût, temps et moyens techniques, le permettent⁵⁸⁵.

1375 – Sort des données personnelles en cas de pseudonymisation ou anonymisation. – L’on comprendra, pour la suite des présents développements, que pour la définition de « données personnelles », l’identification ou la possibilité de l’identification d’une personne physique seront les critères primordiaux de l’application de la protection de ces données. Celles-ci perdent toute protection, et les personnes concernées perdent tous leurs droits sur elles en cas d’anonymisation⁵⁸⁶ des données, c’est-à-dire en cas de suppression du lien entre les données et les personnes qu’elles concernent.

Il est bien question de la perte irrémédiable du lien entre les personnes et leurs données, et non d’une simple atténuation, qualifiée de pseudonymisation⁵⁸⁷, consistant simplement à dissimuler l’identité d’une personne concernée ou à la séparer du stockage de ses données. Cette dernière est insuffisante à la rupture du lien entre les personnes et leurs données et n’écarte donc pas les règles de leur protection.

C’est précisément par ces deux aspects que la législation sur les données personnelles gère le paradoxe de la protection et de la libre circulation des données numériques (une fois anonymisées), pour reprendre le titre même du RGPD.

Pour être personnelles, des données doivent donc pouvoir être attribuées à des « personnes concernées ».

Sous-section V – Des « personnes concernées »

1376 La législation a octroyé, et à chaque étape historique renforcé les droits des « personnes concernées », expression sans référence juridique connue, d’apparence peu technique, et sans définition textuelle précise.

Pourtant, ces « personnes concernées » étant les titulaires des droits institués, cette définition est essentielle à leur mise en œuvre, puisqu’elle détermine le champ d’application de cette législation.

Or, le législateur a singulièrement et constamment évité toute définition précise des personnes auxquelles il attribuait ces droits.

1377

Pour aller plus loin : Petit historique législatif des personnes concernées

Une recherche législative chronologique permet de constater cette absence obstinée de définition, en France, comme au niveau européen :

En France :

Dans l’article 3 de la loi informatique et libertés, dans sa rédaction en vigueur du 23 juillet 1978 au 7 août 2004, il est indiqué que : « Toute personne a le droit de connaître et de contester les informations et les raisonnements utilisés dans les traitements automatisés dont les résultats lui sont opposés ».

Dans l’article 2 de la loi informatique et libertés, dans sa rédaction en vigueur du 7 août 2004 au 1^er juin 2019, une phrase, au dernier alinéa, énonce que : « La personne concernée par un traitement de données à caractère personnel est celle à laquelle se rapportent les données qui font l’objet du traitement ».

Dans l’article 1^er de la loi informatique et libertés :

dans sa rédaction en vigueur du 9 octobre 2016 au 1^er juin 2019 (issue de la loi pour une République numérique), le second alinéa dispose que : « Toute personne dispose du droit de décider et de contrôler les usages qui sont faits des données à caractère personnel la concernant, dans les conditions fixées par la présente loi » ;

dans sa rédaction en vigueur depuis le 1^er juin 2019 (issue de l’ordonnance de refonte rédactionnelle n^o 2018-1125 du 12 décembre 2018), le second alinéa dispose que : « Les droits des personnes de décider et de contrôler les usages qui sont faits des données à caractère personnel les concernant (…) s’exercent (…) ».

Ce n’est donc qu’à compter de 2004 que l’article 2 de la loi informatique et libertés du 6 juillet 1978 a apporté une définition peu convaincante des personnes titulaires des droits qu’elle instituait ; définition qui a finalement été retirée de la loi par l’ordonnance de 2018 révisant la loi informatique et libertés, pour laisser place au RGPD.

Au niveau européen, les définitions ne sont systématiquement qu’incidentes :

la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 :

dans son considérant 26 : « considérant que les principes de la protection doivent s’appliquer à toute information concernant une personne identifiée ou identifiable ; (…) que les principes de la protection ne s’appliquent pas aux données rendues anonymes d’une manière telle que la personne concernée n’est plus identifiable ; (…) »,

puis dans son article 2 portant de nombreuses définitions et en premier lieu celle des « données à caractère personnel » : « toute information concernant une personne physique identifiée ou identifiable (personne concernée) ; est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale ; » ;

le RGPD, qui consacre pourtant tout son article 4 à des définitions assez nombreuses et précises, n’aborde lui aussi celle du titulaire des droits qu’il institue au niveau européen qu’incidemment :

« Aux fins du présent règlement, on entend par :

« données à caractère personnel », toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée « personne concernée ») ; est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ; ».

La définition des « personnes concernées » apportée par le RGPD paraît minimaliste et la permanence de cette situation, comme son historique, écarte toute idée de carence involontaire.

1378 – Une définition minimaliste du RGPD. – La définition de la personne concernée apportée par le règlement général sur la protection des données dans le silence des textes français est la suivante : une personne physique identifiée ou identifiable à laquelle se rapportent des données, c’est-à-dire toute information à caractère personnel.

On notera tout d’abord que seules sont concernées les personnes physiques. Les personnes morales étant exclues du champ d’application de cette législation protectrice.

Une exception toutefois : le traitement de données d’une personne morale peut faire l’objet de l’exercice des droits d’une personne physique, lorsque les données personnelles de cette dernière figurent parmi celles d’une personne morale (essentiellement les informations personnelles relatives aux représentants d’une personne morale).

Pour le reste, cette imprécision est étonnante, alors qu’à bien la considérer, cette définition, bien que primordiale, n’est pas évidente. Elle est ainsi abandonnée à la jurisprudence, c’est-à-dire confiée à l’appréciation souveraine des juridictions.

1379 – Des définitions jurisprudentielles des personnes concernées. – Ainsi, cette imprécision étant ancienne, dès avant l’entrée en vigueur des récentes dispositions le Conseil d’État a eu à statuer sur l’octroi du statut de « personne concernée » dans diverses espèces :

Dans une espèce de 2011⁵⁸⁸, le Conseil d’État avait décidé que des héritiers « devaient être regardés, en leur qualité d’ayants droit héritant des soldes des comptes bancaires de leur tante, comme des personnes concernées au sens de l’article 39 de la loi du 6 janvier 1978 » (dans sa rédaction de l’époque) pour l’accès au fichier Ficoba⁵⁸⁹.

À l’inverse, en 2016, le même Conseil d’État⁵⁹⁰avait décidé qu’« il résulte de ces dispositions [articles 2 et 39 de la loi informatique et libertés dans leur rédaction du 7 août 2004 au 25 mai 2018] qu’elles ne prévoient la communication des données à caractère personnel qu’à la personne concernée par ces données ; qu’il suit de là que c’est à bon droit que la présidente de la Cnil, qui avait reçu délégation pour prendre la décision attaquée, a confirmé le refus opposé par la Banque de France à M^me et MM. D…, qui ne pouvaient, en leur seule qualité d’ayants droit, être regardés comme des « personnes concernées » » pour obtenir d’un employeur la communication du relevé des appels téléphoniques passés par une défunte depuis sa ligne professionnelle, dans le but de déterminer le nombre et la durée des échanges qu’elle avait eus avec le corps médical avant son décès.

Et dans le même sens, en 2017, le Conseil d’État, dans la même formation⁵⁹¹ avait décidé, statuant sur la demande d’héritier d’une personne décédée dans un accident de voiture, que « la seule qualité d’ayant droit d’une personne à laquelle se rapportent des données ne confère pas la qualité de « personne concernée » par leur traitement au sens des articles 2 et 39 de la loi du 6 janvier 1978 », mais que « lorsque la victime a engagé une action en réparation avant son décès ou lorsque ses héritiers ont ultérieurement eux-mêmes engagé une telle action, ces derniers doivent être regardés comme des « personnes concernées » au sens des articles 2 et 39 de la loi du 6 janvier 1978 pour l’exercice de leur droit d’accès aux données à caractère personnel concernant le défunt, dans la mesure nécessaire à l’établissement du préjudice que ce dernier a subi en vue de sa réparation et pour les seuls besoins de l’instance engagée ».

1380 Sur ces trois seuls exemples, on comprend la difficulté d’un législateur à inscrire dans un texte précis une règle satisfaisante. La tentation était donc grande de donner au juge une grille d’appréciation, pour lui permettre de déterminer le périmètre de cette législation, avec toutefois les risques de divergences nationales que cela implique, tempérées par les mécanismes de convergence prévus par le RGPD⁵⁹² et de renvoi préjudiciel à la Cour de justice de l’Union européenne, lorsque les juridictions nationales y recourent. Les tribunaux définiront ainsi les personnes concernées, titulaires de protections instituées, et finalement le périmètre de cette législation elle-même.

Cette question est d’autant plus sensible lorsque l’on considère en outre que les dispositions françaises de cette législation s’appliquent lorsqu’une personne concernée réside en France, quel que soit le lieu d’établissement du responsable de traitement⁵⁹³. Ainsi l’incertitude de la définition, ajoutée à celle de la législation nationale à appliquer, est source d’insécurité juridique.

Après avoir défini les acteurs et objets du droit de la protection des données personnelles, le RGPD a posé des principes et conditions au traitement de ces données.

Section III – Les principes du droit de la protection des données

1381 Le droit de la protection des données personnelles institue un droit à l’information des personnes concernées (Sous-section I), fixe des conditions au traitement de leurs données (Sous-section II), accorde aux premières le contrôle du second (Sous-section III), avant d’organiser enfin le sort des données des défunts (Sous-section IV).

Sous-section I – L’information des personnes concernées

1382 – De l’information pour des droits réels. – Plus pragmatique que l’adage Nemo legem ignorare censetur⁵⁹⁴, plus attaché à l’efficacité qu’aux principes, le législateur, pour assurer l’effectivité des droits qu’il a créés, s’est dès l’origine attaché à ce que les personnes concernées soient informées de la collecte de données réalisée et des droits en résultant pour elles⁵⁹⁵.

Aujourd’hui, le RGPD organise, à chaque étape de collecte et de traitement de données, l’information de la personne concernée :

par l’énoncé et l’organisation détaillée d’obligations de tous responsables de traitement⁵⁹⁶ ;

par la délivrance d’informations aux personnes concernées, lors de la collecte de leurs données⁵⁹⁷ ;

par leur information lors de la récupération de ces données par un tiers⁵⁹⁸ ;

et par leur accès permanent à ces données, où qu’elles se trouvent⁵⁹⁹.

Dans ce cadre, la méthode d’accès à ces droits doit être communiquée.

1383 – De l’information, toujours et encore. – Le premier article de la loi informatique et libertés qui aborde la question des données à caractère personnel relatives aux personnes décédées est relatif à l’information due à la personne concernée, lors de la collecte de ses données⁶⁰⁰. Après un simple et habituel renvoi aux dispositions du RGPD, la loi ajoute une obligation particulière d’information à la charge du responsable de traitement, sur le droit de définir des directives relatives au sort de ses données personnelles après sa mort. Plus loin dans sa rédaction⁶⁰¹, la loi renouvelle et étend cette obligation, en prévoyant, à la charge des prestataires de service de communication au public en ligne, une double information : sur le sort de ses données à son décès et sur le droit de les communiquer, ou non, à un tiers qu’il désigne.

Les responsables de traitement soumis à la loi française doivent donc ajouter à leurs obligations issues du RGPD une information spécifique sur le droit de prendre des directives post mortem.

1384 – Une information concise, transparente, compréhensible, aisément accessible, rédigée en termes clairs et simples⁶⁰². – Trop d’information tue l’information. Loin d’échapper à cet adage, l’information dans le monde numérique en général⁶⁰³ et la protection des données en particulier pourrait en être l’illustration.

Pourtant, le RGPD institue l’obligation de fournir aux personnes concernées des informations accessibles. Et les autorités de contrôle insistent sur leur clarté.

À cet effet, le RGPD ne fait l’économie d’aucun moyen, en prévoyant par exemple l’usage d’icônes normalisées⁶⁰⁴, qui pourraient faciliter la compréhension des informations transmises. Il fait même de la définition de celles-ci une prérogative de la Commission européenne et du Comité européen de la protection des données⁶⁰⁵.

Il faut toutefois regretter que leur usage ne semble pas mis en œuvre à ce jour. La tâche est peut-être ardue à l’échelle de toute l’Union !

1385 – Une information largement connue. – La clarté des droits conférés, la publicité faite au RGPD puis à la loi pour une République numérique, tant lors de leur adoption qu’à l’occasion de leur entrée en vigueur, les démarches engagées auprès des personnes concernées par les responsables de traitement lors de leur mise en conformité, les avertissements régulièrement délivrés lors de toute collecte, etc., ont induit une forme de culture de la protection des données, à laquelle chacun est aujourd’hui sensibilisé, à défaut de s’y intéresser réellement.

Un sondage réalisé par l’Ifop pour la Cnil en novembre 2018⁶⁰⁶ indiquait déjà que les Français savaient à 80 % pouvoir s’opposer au traitement de leurs données, à 77 % pouvoir les faire rectifier, et à 75 % pouvoir les faire effacer.

Ainsi, même si le secteur du divertissement amuse son public en réalisant des comédies sur l’absence de contrôle des données personnelles⁶⁰⁷, les citoyens savent qu’il ne s’agit que de fictions.

Mais la connaissance n’est pas l’usage : les taux de connaissance de ces droits contrastent singulièrement avec ceux de leur usage.

Malgré ces efforts louables de communication, le climat de maîtrise et de protection qu’ils cultivent, il faut bien reconnaître que les droits des personnes concernées sont peu utilisés⁶⁰⁸. L’information, même simplifiée, demeure par nature complexe. L’exercice de droits personnels n’est pas dans la culture générale. L’examen du contentieux de la protection des données démontre qu’il est le plus souvent le fait de personnes ayant les moyens (pas seulement financiers) et les réflexes de protéger leurs droits.

Ainsi, au-delà de la seule information des personnes concernées sur leurs droits, la protection des données personnelles a appelé l’institution de principes protecteurs à leur traitement.

Sous-section II – Le traitement des données

1386 Pour limiter le traitement des données personnelles, la réglementation a fixé un double principe lié à la limitation des données collectées (principe de minimisation) et aux circonstances de collecte (la nécessité d’une base légale).

1387 – Un principe de minimisation. – Dès son chapitre II, le RGPD fixe les principes et conditions de licéité de traitement de données personnelles.

Au titre des principes, les données doivent être « limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées⁶⁰⁹.

Au titre de la licéité, le RGPD fixe une liste limitative de bases légales au traitement de données personnelles et dispose que « le traitement n’est licite que si, et dans la mesure où » le traitement remplit une de ces conditions⁶¹⁰.

Il faut remarquer l’énoncé cumulatif : « si » et « dans la mesure où ». Ce cumul fonde notamment le principe de minimisation de la collecte de données. Une collecte peut être licite par principe, puis ne plus l’être lorsqu’elle devient excessive par l’importance des données collectées, qui finit par dépasser les nécessités de l’objectif légitime initial.

À cet égard, il faut rappeler que les autorités de contrôle exercent spontanément une surveillance, notamment sur le respect de ce principe de minimisation, c’est-à-dire de la limitation de la collecte aux données qui sont adéquates, pertinentes et strictement nécessaires au regard des finalités du traitement. À ce titre, une durée de conservation doit également leur être assignée et un mécanisme d’archivage ou d’effacement mis en place. Ce principe n’est pas théorique, puisqu’il conduit à des sanctions tangibles en cas d’infraction⁶¹¹.

1388 – Un consentement au traitement… ou d’autres bases légales. – Dans l’énumération des bases légales d’un traitement de données personnelles, le consentement de la personne concernée est énoncé en premier⁶¹². Peut-être pour cette raison, ce consentement a initialement été considéré par nombre de responsables de traitement comme le fondement idéal : le consentement avait été recueilli, le traitement était licite. Il n’était pas nécessaire de faire l’effort de caractériser une autre base légale. Ainsi, lors de l’entrée en vigueur du RGPD, tous les utilisateurs d’internet ont vu se multiplier les fenêtres informatiques de recueil de consentement, dès leur accès à la moindre page web.

Pourtant la lecture de la définition du consentement au titre de la protection des données⁶¹³ aurait dû inviter les responsables de traitement à la prudence : « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».

Et même si les conditions de recueil de ce consentement paraissent souples⁶¹⁴ (simples cases cochées, tant qu’elles ne le sont pas par défaut, déclaration orale, etc.), la forme, même simplifiée n’allège pas le fond. Car recueillir un consentement ne suffit pas, puisqu’il appartient au responsable de traitement de pouvoir justifier qu’il a été libre (pourtant, combien de consentements sont contraints par l’impossibilité d’accéder à un service à défaut de l’accorder ?), spécifique (pourtant, combien se trouvent noyés dans toute une série de démarches ?), éclairé (pourtant, combien sont recueillis en des termes inintelligibles), etc.

1389 Aujourd’hui, avec le recul de l’expérience et la pédagogie des autorités de contrôle, le seul consentement a retrouvé la place mesurée qui aurait dû rester la sienne, un fondement marginal de la licéité d’un traitement de données, sauf en cas de traitement de données particulières ou sensibles, dont le traitement suppose à la fois un intérêt légitime et un consentement de la personne concernée⁶¹⁵.

La licéité de la plupart des traitements est déjà assurée par d’autres bases légales : la nécessité de l’exécution d’un contrat auquel la personne était partie, les intérêts légitimes poursuivis par le responsable de traitement⁶¹⁶ ou par un tiers, dans la mesure où le traitement ne porte pas atteinte aux intérêts, libertés et droits fondamentaux de la personne concernée.

Pour une protection efficace, l’information des personnes concernées et la limitation du traitement de leurs données ont été complétées de divers moyens de contrôle qui leur ont été accordés.

Sous-section III – Les contrôles de l’usage des données

1390 Avant d’en envisager les restrictions⁶¹⁷, le contrôle du traitement de ses données personnelles suppose d’en mesurer l’usage par l’ouverture d’un droit d’accès, la pertinence par un droit de rectification, et la récupération par un droit de portabilité.

1391 – Le contrôle par l’exercice du droit d’accès. – Après avoir été informées de la collecte de leurs données, avoir consenti à leur traitement dans les cas où il le fallait, les personnes concernées peuvent contrôler l’usage qui en est fait par les responsables de traitement. Pour cela, elles doivent tout d’abord pouvoir accéder aux informations traitées qui les concernent⁶¹⁸, pour avoir connaissance de leur nature, de leur ampleur, de leur usage, de la durée de celui-ci ; ou même à l’indication qu’il n’en est pas traité.

Avant le RGPD, nombre d’accès ne pouvaient être exercés qu’indirectement, par l’intermédiaire de la Cnil, opérant un filtre. Depuis le RGPD, l’accès indirect est devenu exceptionnel, réservé aux traitements qui intéressent la sûreté de l’État, la défense, la fiscalité…

1392 – Le contrôle par l’exercice du droit de rectification. – Le contrôle des personnes concernées peut également s’opérer par l’exercice d’un droit de rectification⁶¹⁹. Avec le droit d’accès, il s’agit là des premiers droits qui avaient été accordés aux personnes concernées par la loi informatique et libertés dans sa rédaction d’origine⁶²⁰. Plus qu’un véritable contrôle, il s’agit d’éviter l’usage ou la diffusion d’informations incomplètes ou inexactes. Le responsable de traitement destinataire de la demande de rectification doit alors corriger son fichier, et transmettre la correction à tous ceux avec qui il a pu le partager, sauf si cette transmission paraît d’une complexité démesurée.

L’exercice de ces droits s’accomplit dans les conditions décrites ci-après pour la limitation, l’opposition ou l’effacement des données personnelles.

1393 – Le contrôle par l’exercice du droit à la portabilité. – Les données personnelles peuvent aussi désormais faire l’objet de l’exercice d’un droit à la portabilité. À la différence du droit d’accès et de rectification, aussi ancien que la législation sur la protection des données, le droit à la portabilité est une création récente du RGPD⁶²¹, quarante ans plus tard.

Il s’agit pour la personne concernée de récupérer les données qu’elle a déposées sur une plateforme ou qui sont issues de son activité sur celle-ci, traitées sur la base de son consentement ou de l’exécution d’un contrat, pour elle-même ou au profit d’un nouveau responsable de traitement, dans un format structuré, exploitable automatiquement. Le périmètre de cette prérogative est donc significativement plus restreint que le droit d’accès par exemple, lequel peut porter sur toutes les données personnelles concernant le demandeur, sans se limiter aux seules données recueillies sur son consentement ou l’exécution d’un contrat.

Au-delà des seules personnes vivantes, le temps passant, le sort des données des défunts est devenu une préoccupation.

Sous-section IV – Le sort des données des défunts

1394 La conception personnaliste des données personnelles⁶²² a induit le principe de leur extinction avec la personne concernée elle-même, simplement tempéré par un maintien provisoire, pour en traiter le sort, dans un champ imprécisément défini.

1395 – Le principe de l’extinction. – Le sort des données personnelles des personnes décédées est fixé par les articles 84 à 86 de la loi informatique et libertés. Leur construction est parfaitement classique, par l’énoncé d’un principe, l’extinction des droits, puis d’une exception, leur maintien temporaire⁶²³.

Ainsi, l’article 84, alinéa 2 de la loi informatique et libertés dispose dans sa première phrase : « Les droits mentionnés au chapitre II [art. 48 à 56] s’éteignent au décès de la personne concernée ». Il s’agit des droits à l’information (art. 48), à l’accès (art. 49), à la rectification (art. 50), à l’effacement (art. 51), à la limitation (art. 53), à la portabilité (art. 55) et à l’opposition (art. 56).

L’inspiration du principe d’extinction n’est pas seulement la protection de la vie privée, attribut de la personne physique, laquelle s’éteint ainsi avec la personne concernée. La Cnil rappelle que la protection des données personnelles en est indépendante, et va ainsi au-delà de celle-ci, en la forme d’un droit moral distinct, plus proche, s’il fallait le comparer, de la propriété intellectuelle⁶²⁴.

1396 – L’exception du maintien temporaire. – Ce même article 84, alinéa 2 de la loi informatique et libertés dispose dans la seconde phrase de son second alinéa : « Toutefois, ils peuvent être provisoirement maintenus dans les conditions fixées à l’article 85 ».

Ce maintien est donc exceptionnel et temporaire, ce qu’aucune règle ne vient cependant borner, quelles que soient ses modalités, légales ou volontaires, en l’absence ou en présence de directives. La question se pose alors de savoir qui pourra tirer argument de leur caractère par principe provisoire : un responsable de traitement pour s’affranchir des droits des héritiers, en les considérant prescrits ? Un ayant droit ne bénéficiant par ailleurs d’aucune prérogative ? Un tiers ? Dans quelles conditions et limites ? Toutes ces questions supplémentaires devront attendre un complément législatif, improbable, ou la réponse de la jurisprudence, lente et incertaine.

1397 – Un champ probablement large. – L’article 85 de la loi informatique et libertés prévoit ensuite : « Toute personne peut définir des directives relatives à la conservation, à l’effacement et à la communication de ses données à caractère personnel après son décès ».

Il peut tout d’abord sembler paradoxal de lire que des droits voués à l’extinction, mais temporairement maintenus, peuvent servir à la conservation de données.

Il est également regrettable que la loi, après avoir prévu le principe de l’extinction de droits précisément énumérés et définis, ouvre la possibilité de directives sur des notions différentes et imprécises de « conservation » et « communication ».

Cependant, après ce premier alinéa introductif de l’article 85, son alinéa 5 permet de nouveau des directives relatives à l’exercice, après décès, « des droits mentionnés au chapitre II du présent titre ».

Les juridictions devront encore une fois résoudre cette apparente contradiction, lorsqu’elles seront saisies, ce qui n’est ni probable ni prochain tant les cas de directives semblent encore rares, avec une faible probabilité de contentieux à leur égard.

1398 Sous cette réserve, il est certain que les directives sont possibles dans le périmètre des droits à l’information, à l’accès, à l’effacement, voire à l’opposition. Au titre de l’accès, la nature numérique des données du défunt permettra par exemple leur récupération. À l’opposé, au titre du droit à l’opposition et à l’effacement, les directives permettront la clôture des comptes et la suppression des données.

Il est en revanche incertain qu’elles puissent porter sur l’exercice du droit à la rectification, à la limitation et à la portabilité. Les deux premiers étant toutefois ouverts aux héritiers en l’absence de directives⁶²⁵, il serait paradoxal que des directives du défunt aient un champ plus restreint que les droits des héritiers en leur absence.

1399 – Quelques exceptions traditionnelles. – Comme toujours, des limites sont prévues à l’exécution des directives des personnes concernées :

les dispositions relatives aux archives publiques ;

les droits des tiers pouvant être également concernés par des données dont la communication serait prévue.

Sous ces seules réserves et dans le champ déterminé, la liberté de prendre de telles dispositions est voulue absolue. Elle ne devrait pas être limitée par des clauses contractuelles d’utilisation des traitements de données, qui seraient réputées non écrites⁶²⁶.

Une hésitation toutefois : le texte proscrit toute limitation à la liberté de prendre de telles dispositions dans « toute clause contractuelle des conditions générales d’utilisation ». Est-ce à dire qu’en dehors desdites conditions générales il serait possible de prévoir de telles restrictions contractuelles ? Cette question aussi risque de demeurer sans réponse, tant l’hypothèse de conditions non générales est peu probable pour des applications grand public. Mais elle pourrait se poser en dehors de ce périmètre, des données personnelles pouvant être traitées en dehors de ce seul champ, dans des contrats particuliers, pour des données personnelles singulières.

Si les droits pouvant faire l’objet de directives semblent peu limités, les données à caractère personnel pouvant faire l’objet de directives ne le sont pas du tout. Il s’agit de toutes les données numériques habituelles : écrits, sons, images, etc.

Ces rappels préalables faits, il est désormais possible d’aborder les droits des personnes concernées d’apporter des restrictions au traitement de leurs données personnelles.

552) Des premiers fichiers de police du XIX^e siècle jusqu’aux fichages réalisés avant la Seconde Guerre mondiale et utilisés durant celle-ci pour réaliser des déportations.

553) www.cnil.fr/sites/default/files/atoms/files/rapport_tricot_1975_vd.pdf

554) « Système automatisé pour les fichiers administratifs et le répertoire des individus ».

555) L. n^o 78-17, 6 janv. 1978, relative à l’informatique, aux fichiers et aux libertés.

556) Il faut toutefois citer la loi n^o 70-539 du 24 juin 1970, relative à la centralisation de la documentation relative à la circulation routière, une réglementation plus large du Land de Hesse en Allemagne en 1970 (reprise par la loi fédérale allemande en 1976), de la Suède en 1973, des États-Unis en janvier 1974 (Privacy Act), etc.

557) L. n^o 78-17, 6 janv. 1978, relative à l’informatique, aux fichiers et aux libertés, art. 1.

558) Cons. Europe, conv. STE n^o 108, 28 janv. 1981.

559) AG ONU, rés. 45/95, 14 déc. 1990, Principes directeurs pour la réglementation des fichiers informatisés contenant des données à caractère personnel.

560) PE et Cons. UE, dir. 95/46/CE, 24 oct. 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.

561) L. n^o 2004-801, 6 août 2004, relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel, transposant, près de dix ans plus tard, la directive de 1995.

562) L. n^o 2016-1321, 7 oct. 2016, pour une République numérique.

563) L. n^o 2018-493, 20 juin 2018, relative à la protection des données personnelles.

564) Ord. n^o 2018-1125, 12 déc. 2018, prise en application de l’article 32 de la loi n^o 2018-493 du 20 juin 2018 relative à la protection des données personnelles et portant modification de la loi n^o 78-17 du 6 janvier 1978, relative à l’informatique, aux fichiers et aux libertés et diverses dispositions concernant la protection des données à caractère personnel.

565) D. n^o 2019-536, 29 mai 2019, pris pour l’application de la loi n^o 78-17 du 6 janv. 1978 relative à l’informatique, aux fichiers et aux libertés.

566) Cons. UE, PV n^o 4730/95, Ad. art. 2a et CJCE, 6 nov. 2003, aff. C-101/2001, Lindqvist, pt 98.

567) PE et Cons. UE, règl. (UE) n^o 2016/679, 27 avr. 2016, consid. 27 : « Le présent règlement ne s’applique pas aux données à caractère personnel des personnes décédées. Les États membres peuvent prévoir des règles relatives au traitement des données à caractère personnel des personnes décédées » ; consid. 158 et consid. 160.

568) Pour une analyse récente de ce sujet, C. Béguin-Faynel, La protection des données personnelles et la mort, in Regards sur le nouveau droit des données personnelles, Ceprisca, coll. « Colloques », 2019, p. 45 et s. (79-10-97323-05-9. hal-02357967).

569) Également dénommées « extrapatrimoniale versus patrimoniale ».

570) PE et Cons. UE, dir. 95/46/CE, 24 oct. 1995, art. 6, c).

571) PE et Cons. UE, règl. (UE) n^o 2016/679, 27 avr. 2016, art. 5, c).

572) À titre de simple exemple, non exhaustif, A. Debet, La protection des données personnelles, point de vue du droit privé : RDP 2016, p. 17, I, A ; a contrario, 113^e Congrès des notaires de France, Lille, sept. 2017, ≠Familles ≠Solidarités ≠Numérique, 3^e commission, Prop. 2 « Pour une reconnaissance de la donnée numérique à caractère patrimonial ».

573) Conseil d’État, Étude annuelle 2014, p. 264 et s. « S’il convient en effet de renforcer la dimension de l’individu acteur dans le droit à la protection des données, c’est en envisageant celui-ci comme un droit à l’autodétermination plutôt que comme un droit de propriété ».

574) PE et Cons. UE, règl. (UE) n^o 2016/679, 27 avr. 2016, consid. 15.

575) L. n^o 78-17, 6 janv. 1978, art. 3 : « Toute personne a le droit de connaître et de contester les informations et les raisonnements utilisés dans les traitements automatisés dont les résultats lui sont opposés ».

576) PE et Cons. UE, dir. 95/46/CE, 24 oct. 1995, consid. 27 et art. 2, b).

577) L. n^o 2004-801, 6 août 2004, relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel et modifiant la loi n^o 78-17 du 6 janvier 1978, relative à l’informatique, aux fichiers et aux libertés, art. 1.

578) PE et Cons. UE, règl. (UE) n^o 2016/679, 27 avr. 2016, art. 4, 7).

579) PE et Cons. UE, règl. (UE) n^o 2016/679, 27 avr. 2016, art. 2, c) et L. n^o 78-17, 6 janv. 1978, art. 2, al. 1.

580) PE et Cons. UE, dir. 95/46/CE, 24 oct. 1995, art. 26.

581) L. n^o 78-17, 6 janv. 1978, relative à l’informatique, aux fichiers et aux libertés, art. 4 ancien « … les informations qui permettent, sous quelque forme que ce soit, directement ou non, l’identification des personnes physiques auxquelles elles s’appliquent… » Que la loi était bien écrite à l’époque, sans bavardage inutile et dans des termes intemporels !

582) Pour l’anecdote, les termes historique de « informations nominatives » et transitionnel de « données nominatives » demeurent dans les têtes de chapitres des art.s abrogés lors de la réécriture de la loi.

583) Groupe de travail « Article 29 » sur la protection des données (établi par l’article 29 de la directive 95/46/CE, organe consultatif indépendant de l’Union européenne sur la protection des données et de la vie privée), avis 4/2007 sur le concept de données à caractère personnel, p. 24 et s.

584) Ce principe d’extinction de droits au décès se retrouve aujourd’hui dans les dispositions de la loi informatique et libertés issues de la loi pour une République numérique, art. 84 et s.

585) PE et Cons. UE, règl. (UE) n^o 2016/679, 27 avr. 2016, consid. 26 et application par le Conseil d’État dans son dernier avis rendu le 20 septembre 2020 au sujet de l’utilisation de drones par les autorités publiques (www.conseil-etat.fr/ressources/avis-aux-pouvoirs-publics/derniers-avis-publies/avis-relatif-a-l-usage-de-dispositifs-aeroportes-de-captation-d-images-par-les-autorites-publiques).

586) Cf. PE et Cons. UE, règl. (UE) n^o 2016/679, 27 avr. 2016, consid. 26.

587) Ibid.

588) CE, 29 juin 2011, n^o 339147, Cts A.

589) Ouvert, depuis l’article L. 151, B, 1, alinéa 2 du Livre des procédures fiscales (issu de la loi n^o 2014-617 du 13 juin 2014), aux ayants droit en vue du règlement d’une succession.

590) CE, 10^e et 9^e ss-sect. réunies, 8 juin 2016, n^o 386525, M^me D. : RLDI 1^er nov. 2016, n^o 131, note P.-D. Vignolle.

591) CE, 10^e et 9^e ss-sect. réunies, 7 juin 2017, n^o 399446, M. A.B.

592) PE et Cons. UE, règl. (UE) n^o 2016/679, 27 avr. 2016, consid. 2 et art. 63 et s.

593) L. n^o 78-17, 6 janv. 1978, art. 3, II.

594) « Nul n’est censé ignoré la loi. ».

595) L. n^o 78-17, 6 janv. 1978, art. 27 d’origine.

596) PE et Cons. UE, règl. (UE) n^o 2016/679, 27 avr. 2016, art. 12.

597) PE et Cons. UE, règl. (UE) n^o 2016/679, 27 avr. 2016, art. 13.

598) PE et Cons. UE, règl. (UE) n^o 2016/679, 27 avr. 2016, art. 14.

599) PE et Cons. UE, règl. (UE) n^o 2016/679, 27 avr. 2016, art. 15.

600) L. n^o 78-17, 6 janv. 1978, art. 48, al. 3.

601) L. n^o 78-17, 6 janv. 1978, art. 85, III.

602) Expression très récurrente dans le RGPD : consid. 39, 58, art. 12, etc.

603) Qui lit les conditions d’utilisation des logiciels, applications numériques, etc., hormis quelques associations de protection de consommateurs ou internautes qui en font mission ?

604) PE et Cons. UE, règl. (UE) n^o 2016/679, 27 avr. 2016, consid. 60 art. 12, 7 ; D. n^o 2019-536, 29 mai 2019, art. 80.

605) PE et Cons. UE, règl. (UE) n^o 2016/679, 27 avr. 2016, consid. 166, art. 12, 8 et 70, 1, r) ; le CEPD est l’organe qui a succédé au groupe de l’art. 29 (G29) dans l’harmonisation de l’action des autorités de contrôle nationales.

606) www.cnil.fr/sites/default/files/atoms/files/18ifop.pdf

607) Par ex., le film « Effacer l’historique » de Gustave Kervern et Benoît Delépine, avec Blanche Gardin, Denis Podalydès et Corinne Masiero, sorti en salle le 26 août 2020.

608) Cnil, Rapport annuel 2019 : seulement 14 137 plaintes, néanmoins en augmentation de 27 % en un an.

609) PE et Cons. UE, règl. (UE) n^o 2016/679, 27 avr. 2016, art. 5.

610) PE et Cons. UE, règl. (UE) n^o 2016/679, 27 avr. 2016, art. 6.

611) Cnil, délib. n^o SAN-2020-003, 28 juill. 2020, concernant la société Spartoo SAS, prononçant une amende de 250 000 € et décidant de rendre publique cette sanction.

612) PE et Cons. UE, règl. (UE) n^o 2016/679, 27 avr. 2016, art. 6, 1, a) ; L. n^o 78-17, 6 janv. 1978, art. 5, 1^o.

613) PE et Cons. UE, règl. (UE) n^o 2016/679, 27 avr. 2016, art. 4, 11) et avant lui PE et Cons. UE, dir. 95/46/CE, 24 oct. 1995, art. 2, h).

614) PE et Cons. UE, règl. (UE) n^o 2016/679, 27 avr. 2016, consid. 32 et art. 7, 1, 2 et 4.

615) PE et Cons. UE, règl. (UE) n^o 2016/679, 27 avr. 2016, art. 9 ; L. n^o 78-17, 6 janv. 1978, art. 6.

616) PE et Cons. UE, règl. (UE) n^o 2016/679, 27 avr. 2016, art. 6.

617) V. infra, n^o 1401.

618) PE et Cons. UE, règl. (UE) n^o 2016/679, 27 avr. 2016, consid. 63, art. 15 ; L. n^o 78-17, 6 janv. 1978, art. 49.

619) PE et Cons. UE, règl. (UE) n^o 2016/679, 27 avr. 2016, art. 16 et 19 ; L. n^o 78-17, 6 janv. 1978, art. 50 et 54.

620) L. n^o 78-17, 6 janv. 1978, anciens art. 27 et 34 et s.

621) PE et Cons. UE, règl. (UE) n^o 2016/679, 27 avr. 2016, art. 20.

622) § 6 : « Une conception personnaliste des données personnelles (vs réaliste) ».

623) L. n^o 78-17, 6 janv. 1978, art. 84, al. 2 : « Les droits mentionnés au chapitre II s’éteignent au décès de la personne concernée. Toutefois, ils peuvent être provisoirement maintenus dans les conditions fixées à l’article 85 ».

624) E. Geffray, Le point de vue du secrétaire général de la Commission nationale informatique et libertés : RDP janv. 2016, p. 35 et s.

625) L. n^o 78-17, 6 janv. 1978, art. 85, II, 2^o pour s’opposer à la poursuite du traitement de données… et faire procéder à leur mise à jour.

626) L. n^o 78-17, 6 janv. 1978, art. 85, I in fine.

CGV – CGU

Thème 1 : Protéger la personne et le citoyen dans le monde numérique

LES AUTEURS

PARTIE I :

Les droits fondamentaux de la personne face au numérique

Chapitre I : L'état des lieux de la dématérialisation de la vie sociale

Chapitre II : L'identification des risques pour les citoyens

Chapitre I : Les innovations technologiques et techniques au service des citoyens

Chapitre II : L'assistance humaine au service des citoyens

Chapitre I : La notion de données personnelles

Chapitre II : La protection des données personnelles et le notariat

PARTIE II :

Les attributs numériques de la personne

Chapitre I : Les éléments d'identification

Chapitre II : Les éléments de localisation

Chapitre I : Le titre d'identité numérique

Chapitre II : La signature dématérialisée

PARTIE III :

La mort dans le monde numérique

Chapitre INTRODUCTIF : Prolégomènes : La mort à l'aune du droit de la protection des données

Chapitre I : Les différentes restrictions au traitement des données personnelles

Chapitre II : La mise en œuvre des restrictions au traitement des données

Chapitre I : Le droit à l'effacement (ou « le droit à l'oubli »)

Chapitre II : Les règles d'effacement propres aux mineurs