Et la mort dans cette histoire ?

– Un long désintérêt pour le sort des données numériques des défunts. – Jusque très récemment, le droit n'avait pas régulé la question de la mort numérique.

Au niveau européen, la directive de 1995 était également restée silencieuse, même si le Conseil de l'Union et la Cour de justice avaient dit que les États membres pouvaient en étendre les dispositions au-delà de son champ d'application, dans la mesure où cette extension poursuivait un intérêt légitime et n'était pas incompatible avec d'autres dispositions communautaires Cons. UE, PV n^o 4730/95, Ad. art. 2a et CJCE, 6 nov. 2003, aff. C-101/2001, Lindqvist, pt 98. .

Le règlement général sur la protection des données (RGPD) du 27 avril 2016 est quant à lui resté totalement étranger à cette question, s'en remettant expressément aux États membres PE et Cons. UE, règl. (UE) n^o 2016/679, 27 avr. 2016, consid. 27 : « Le présent règlement ne s'applique pas aux données à caractère personnel des personnes décédées. Les États membres peuvent prévoir des règles relatives au traitement des données à caractère personnel des personnes décédées » ; consid. 158 et consid. 160. .

Fruit de longues années de négociations entre les différentes instances européennes, avec des vues divergentes pour certaines, sous pression de lobbys de toutes sortes, ce texte constitue à la fois une consolidation des règles précédentes, quelques avancées et une uniformisation des règles européennes. Cette dernière était visée par le choix de la forme d'un règlement d'application immédiate plutôt que d'une directive que chaque État aurait eu à transcrire dans sa législation, comme en 1995 où il avait en outre fallu neuf ans à la France pour sa propre transcription.

Les conditions compliquées d'élaboration de ce texte, de surcroît en différentes langues, ont tout de même laissé des traces dans sa forme, dont la lecture n'est pas facile, surtout lorsque l'on y ajoute les textes étonnamment pris pour l'application d'un règlement. Ce constat avait conduit Paul-Olivier Gibert, président de l'Association française des correspondants à la protection des données à caractère personnel (AFCDP), à déclarer : « La pratique de la Kabbale est une bonne préparation à la lecture du règlement européen sur la protection des données ».

En France, la prise en compte du sort des données des défunts était absente de la loi informatique et libertés dans ses diverses rédactions antérieures à la loi pour une République numérique du 7 octobre 2016, hors le cas particulier des données de santé qui, en raison de leurs spécificités, ne sont pas abordées dans ces lignes Pour une analyse récente de ce sujet, C. Béguin-Faynel, La protection des données personnelles et la mort, in Regards sur le nouveau droit des données personnelles, Ceprisca, coll. « Colloques », 2019, p. 45 et s. (79-10-97323-05-9. hal-02357967). .

Tout au plus l'article 40 de la loi du 6 janvier 1978, dans sa rédaction issue de sa révision de 2004, restée en vigueur jusqu'en 2016, prévoyait que : « Les héritiers d'une personne décédée justifiant de leur identité peuvent, si des éléments portés à leur connaissance leur laissent présumer que les données à caractère personnel la concernant faisant l'objet d'un traitement n'ont pas été actualisées, exiger du responsable de ce traitement qu'il prenne en considération le décès et procède aux mises à jour qui doivent en être la conséquence ». Une prise en compte très embryonnaire.

– Une conception personnaliste des données personnelles ( versus réaliste) Également dénommées « extrapatrimoniale versus patrimoniale ». . – En l'absence de dispositions légales précises, deux pistes principales avaient été envisagées sur le sort des données personnelles des défunts.

Une disparition de ces données, en considérant leur traitement désormais inadéquat, alors que la directive de 1995 avait posé le principe que des données ne pouvaient être traitées qu'à la condition d'être « adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et pour lesquelles elles sont traitées ultérieurement » PE et Cons. UE, dir. 95/46/CE, 24 oct. 1995, art. 6, c). et le RGPD à sa suite à condition d'être « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) » PE et Cons. UE, règl. (UE) n^o 2016/679, 27 avr. 2016, art. 5, c). . Le décès de la personne concernée priverait ainsi en lui-même le traitement de ses données personnelles de base légale.

À l'inverse, une transmission automatique, à titre de droits numériques, à l'image des droits extranumériques, successoraux ou moraux, selon qu'ils étaient envisagés sous un angle patrimonial ou extrapatrimonial.

Ce débat sur la nature réaliste ou personnaliste des droits numériques sur les données personnelles semble aujourd'hui presque refermé, en tous cas dans la législation et la jurisprudence, par la prééminence acquise par la seconde. Même s'il continue à animer la doctrine À titre de simple exemple, non exhaustif, A. Debet, La protection des données personnelles, point de vue du droit privé : RDP 2016, p. 17, I, A ; a contrario, 113^e Congrès des notaires de France, Lille, sept. 2017, ≠Familles ≠Solidarités ≠Numérique, 3^e commission, Prop. 2 « Pour une reconnaissance de la donnée numérique à caractère patrimonial ». . Dans le but commun de protéger les droits des personnes concernées sur leurs données, les deux conceptions s'étaient courtoisement affrontées. L'une estimant que le droit de propriété était de nature à protéger leur « auteur ». L'autre estimant que le caractère personnel et donc inaliénable des données y parviendrait mieux.

La qualification personnaliste était plus conforme aux premières conceptions des données numériques, liées à la personne, à sa vie privée, à sa liberté, bien avant que l'idée qu'elles puissent avoir une valeur économique n'émerge. Elle avait donc « une longueur d'avance ». Lors de l'émergence de l'idée de valeur des données personnelles, il est apparu que le déséquilibre économique et juridique entre les personnes concernées et les responsables de traitement – un particulier face à une Gafa – ne pouvait conduire à leur patrimonialisation, laquelle aboutirait inévitablement à leur captation, à l'occasion d'un rapport de force complètement déséquilibré, et finalement à leur spoliation, ainsi que le relevait le Conseil d'État en 2014 Conseil d'État, Étude annuelle 2014, p. 264 et s. « S'il convient en effet de renforcer la dimension de l'individu acteur dans le droit à la protection des données, c'est en envisageant celui-ci comme un droit à l'autodétermination plutôt que comme un droit de propriété ». .

Avec quelques maladresses rédactionnelles, la loi pour une République numérique, après le RGPD lui-même, a confirmé le choix pour une conception personnaliste des droits des personnes concernées sur leurs données.

Ce choix de principe ne doit cependant pas écarter la valeur patrimoniale de toutes les données, notamment de celles précisément désignées sous le terme de « biens numériques » en raison de leur caractère appropriable et valorisable, protégés par ailleurs au titre, par exemple, du droit d'auteur.

– Une intervention législative nationale récente. – C'est finalement la loi pour une République numérique du 7 octobre 2016, à l'issue d'un processus participatif inédit, qui est venue combler l'absence de toute disposition concernant les défunts dans son article 63, modifiant l'article 40 de la loi informatique et libertés, renuméroté 84 et suivants par l'ordonnance de réécriture du 12 décembre 2018.

Alimenté par les contributions du Conseil national du numérique (CNNum), le projet de loi pour une République numérique avait été soumis à une consultation citoyenne au moyen d'une plateforme internet (republique-numerique.fr) ayant donné lieu à vingt et une mille participations et plus de huit mille contributions. L'ensemble des articles proposés ont été accueillis favorablement à 80 %. Dix nouveaux articles ont été créés, dont cinq nés de la consultation, et près de quatre-vingt-dix contributions ont été intégrées. Pour la première fois, un projet de loi a été co-créé avec des citoyens, internautes en l'occurrence, lors d'un processus salué à l'époque mais qui ne s'est pas renouvelé depuis ; sauf à observer le sort qui sera effectivement réservé aux propositions faites par la Convention citoyenne pour le climat en juin 2020.

Ainsi, peu à peu, des notions et règles juridiques nouvelles ont été élaborées.