Un testament du patrimoine numérique ou un testament données personnelles ? 

Lorsque l’on évoque la protection des données à caractère personnel, on sous-entend la protection des données formant l’identité numérique de personnes naturelles vivantes. On adresse moins la situation de ce patrimoine numérique qui tend vers une immortalité numérique de fait.

Puisque la personne concernée ne dispose pas d’un droit de propriété en tant que tel sur ses données personnelles, celles-ci sont exclut du champ d’application du droit patrimonial.
La question de la gestion des données personnelles après la mort de la personne concernée est d’autant plus légitime qu’une étude de la CNIL, en date de 2014, montre que sur le seul réseau social Facebook, 13 millions de profils appartiennent à des personnes décédées, soit environ 1 profil sur 100. Cette proportion est en croissance constante puisque toutes les minutes, environ 3 utilisateurs de Facebook décèdent dans le monde.

Si le Règlement européen n°2016/679 du 27 avril 2016 dit « RGPD » octroie une batterie de droits aux personnes concernées sur leurs données personnelles (articles 15 à 21 du Règlement), ces droits sont cependant intimement liés à la personnalité juridique et s’éteignent donc au décès de leur titulaire. Ainsi, contrairement au patrimoine universel, les héritiers ne pourront pas prolonger fictivement la personnalité juridique du défunt, afin de mettre en œuvre le droit d’accès aux données personnelles, par exemple.

En outre, par une décision rendue le 8 juin 2016, le Conseil d’Etat a considéré que les données personnelles figurant sur « le compte de messagerie ou d’un compte sur un réseau social sur Internet confère à son titulaire des droits personnels. Il s’agit du droit au respect à la vie privée, qui comprend […] le droit au secret des correspondances, et du droit à l’image ». Le Conseil d’Etat en conclut que la nature strictement personnelle des données figurant sur ces comptes exclu leur accès, à la mort de la personne concernée, à toute tierce personne, même un membre de la famille.

Afin de répondre à cette inquiétude croissante des internautes et au vide juridique en la matière, la loi n°2016-1321 du 6 octobre 2016 pour une République numérique a mis en place un cadre juridique permettant à la personne concernée d’anticiper la gestion de ses données personnelles. Cette gestion repose sur le système des directives anticipées.
L’article 62 de la loi pour une République Numérique a inséré l’article 40-1 au sein de la loi n°78-17 Informatique et Libertés du 6 janvier 1978. Cette disposition permet à la personne concernée de choisir entre deux options :

  • Rédiger une directive générale,
  • Rédiger une directive particulière.

Ces directives tiennent lieu de testament du patrimoine numérique de la personne concernée et peuvent prévoir la conservation, l’effacement ou la communication de ses données après le décès de la personne concernée. 

L’article 40-1 exige par ailleurs que « tout service de communication en ligne » informe les utilisateurs des procédures mises en place pour la gestion de leurs données après leur mort, notamment quant à la communication (ou non) de leurs données à une personne de confiance, désignée par leurs soins. En pratique, cette mention d’information figure au sein des CGU de la plateforme.

Les directives générales 

Les directives générales portent sur l’ensemble des données personnelles de la personne concernée.
Ces directives doivent être enregistrées auprès d’un tiers de confiance numérique certifié par la CNIL. Ce tiers de confiance doit consigner les directives générales dans un registre numérique unique. Les conditions d’accès à ce registre sont strictes puisqu’elles sont fixées par décret en Conseil d’Etat, après avis de la CNIL. 

Les directives particulières 

Les directives particulières portent sur des données personnelles dont la communication entraine également transmission de données personnelles de tiers.
Ce cas se rencontre facilement sur les réseaux sociaux lorsque les personnes concernées partagent des contenus photo ou vidéo entre amis. La communication de telles données devra faire l’objet d’un contrôle tout particulier afin que le respect de la vie privée ainsi que le droit au secret des communications des tiers ne soit pas impacté de manière disproportionnée ou injustifiée.

Les directives sont modifiables ou révocables à tout moment par la personne concernée. 

Mise en œuvre des directives 

Afin de mettre en œuvre ces directives, la personne concernée peut, de son vivant, désigner un tiers qui sera chargé de leur exécution. 

La mise en œuvre de ce testament du patrimoine numérique suppose de s’adresser au responsable du traitement des données personnelles visées dans les directives comme Facebook, Twitter, LinkedIn, Instagram, etc. Par conséquent, ces réseaux sociaux doivent prévoit des procédures et espaces accessibles aux utilisateurs, leur permettant ainsi d’exiger la communication, la suppression ou la mise à jour d’informations personnelles du défunt.  

Par exemple, Le réseau social Facebook permet, depuis 2015, à la personne concernée de désigner un « contact légataire » qui pourra, au décès de la personne concernée, gérer le profil transformé en « compte de commémoration ». Le contact légataire pourra effectuer plusieurs actions :

  • Épingler une publication sur le profil de la personne,
  • Répondre aux nouvelles demandes d’ajout à la liste d’amis,
  • Modifier la photo de profil ou de couverture,
  • Demander la suppression du compte de la personne concernée,
  • Si la personne concernée l’en autorise, le contact légataire pourra télécharger une copie des informations personnelles détenues par Facebook.

Facebook ne donne cependant pas un accès complet au profil du défunt à la personne de confiance désignée. En effet, la personne de confiance ne pourra pas se connecter au compte, supprimer ou modifier des publications du journal, lire les messages reçus, envoyer ou répondre à des demandes d’amis ou encore ajouter un contact légataire.
La procédure mise en place par Facebook semble donc conforme à la décision du Conseil d’Etat tout en permettant à la personne de confiance désignée de récupérer les souvenirs digitaux du défunt.


Les responsables de traitement des réseaux sociaux sont en position de force. Car sans leur coopération, la mise en œuvre de ces directives serait compromise. Par conséquent, et pour éviter certains abus, le Législateur a prévu que toute clause figurant dans les CGU et en vertu de laquelle l’utilisateur affirme, par l’acceptation de ces dernières, renoncer à la mise en place de ces directives sera réputée non écrite. 

Que se passe-t-il lorsque le défunt ne laisse pas d’instructions ?

L’article 40-1 III de la loi Informatique et Libertés prévoit également le cas ou la personne concernée n’a pas rédigé de directives ou a rédigé des directives sans désigner d’exécuteur du testament du patrimoine numérique.  Dans ce cas, et sauf mention contraire dans les directives, les héritiers de la personnes concernées pourront les mettre en œuvre ou exercer les droits conférés au II dudit article : les héritiers pourront également exiger la clôture des comptes utilisateurs du défunt, s’opposer à la poursuite du traitement des données personnelles de ce dernier ou au contraire, procéder à la mise à jour de ses données. De plus, si les héritiers le demandent, le responsable de traitement devra justifier et ce, sans frais pour les héritiers, que les demandent ont bien été prises en compte.

Enfin, dans le cadre de la liquidation et du partage du patrimoine du défunt, les héritiers pourront avoir accès aux traitements de données personnelles « afin d’identifier et d’obtenir communication des informations utiles à la liquidation et au partage de la succession. Ils peuvent aussi recevoir communication des biens numériques ou des données s’apparentant à des souvenirs de famille ».
Cette formulation est très imprécise et floue. Cela permet toutefois de s’appliquer à toutes les situations et à toutes les technologies. On pourrait par exemple imaginer que le défunt ait légué des Bitcoins à ses héritiers. Ces derniers auront donc besoin d’avoir accès aux informations de la plateforme concernée afin de procéder au partage. Autre exemple, un album photo en ligne peut s’apparenter à un souvenir de famille et pourra, en vertu de cette disposition, être communiqué aux héritiers. 

Ainsi, l’article 40-1 de la loi Informatique et Libertés consacre une certaine forme du « droit à l’oubli » prévu par l’article 17 du RGPD. Cette « mort numérique » de la personne concernée a un double effet positif. D’une part, la gestion d’une partie des données personnelles du défunt, en conférant la possibilité à la personne de confiance ou aux héritiers de clôturer les comptes utilisateurs. D’autre part, la « mort numérique » de la personne concernée facilite facilite le « deuil numérique » de la famille et des proches du défunt qui peuvent récupérer les biens immatériels ayant une composante sentimentale forte. A l’ère digitale, les photos souvenirs sont souvent plus souvent conservées sur disque dur qu’accrochées aux murs.

Ce testament du patrimoine numérique montre que le statut juridique des données personnelles n’est pas très clair. Lucien Lastex, de l’Université Sorbonne Nouvelle considère d’ailleurs que l’ « on est à la frontière entre droits personnalistes et droit patrimonial ». 

Sarah Catalan
Master 2 Cyberjustice – Promotion 2018-2019

Sources :
https://www.village-justice.com/articles/Comment-organiser-mort-numerique-advient-nos-donnees-apres-notre-deces,24553.html
https://www.cnil.fr/fr/loi-78-17-du-6-janvier-1978-modifiee
https://www.lemonde.fr/idees/article/2018/02/05/nos-donnees-nous-appartiennent-monetisons-les_5251774_3232.html?xtmc=monetisons&xtcr=2
https://www.zdnet.fr/blogs/social-media-club/l-homme-eternel-est-ne-social-media-et-data-center-une-nouvelle-vie-apres-la-mort-39865674.htm
https://hal.archives-ouvertes.fr/hal-01575171
https://www.numerama.com/politique/179392-organiser-lheritage-de-ses-donnees-personnelles-ce-que-la-loi-prevoit.html

A propos de