L'immortalité numérique - Lena Collado

“L’immortalité numérique” de Lena Collado

Droit à l’oubli - RGPD - Mort numérique - Droit à la vie privée - LOPD - Protection des données personnelles

 

La mort est le commencement de l’immortalité” soulignait l’avocat et politique Robespierre aux temps de la Révolution française. Cette affirmation n’a jamais autant résonné que dans notre société actuelle, où le partage des données personnelles dans l’ère numérique a été banalisée. Celui-ci se fait de manière explicite lorsque les utilisateurs partagent leurs données sur les réseaux sociaux notamment, les blogs etc. Mais il se fait également de manière tacite, avec l’acceptation des cookies, le partage de ces données par des tiers, leur apparition dans des recherches, etc. Or lorsque cet utilisateur décède, il entre dans l’ère de son immortalité numérique. Ses données deviennent permanentes une fois partagées sur internet, à moins que celui-ci ait envisagé leur suppression. Est ce que cela doit se faire par l’utilisateur lui-même avant son décès ou par un tiers après le décès ? Qu’en disent le droit européen et les droits nationaux, notamment en France et en Espagne ? Une décision du Tribunal Suprême espagnol rendu en mars de cette année aborde en ce sens des éléments de réponse.

Dans les faits de la décision étudiée1, l’héritier d’un commandant militaire espagnol franquiste, José Millán Astray, souhaite agir dans l’intérêt du défunt. Après que l’Agence Espagnole de Protection des Données ait déclaré son incompétence2, il s’est dirigé vers la voie judiciaire. Il est débouté de sa première demande en 2020, et interjette appel, ce qui donnera lieu à une deuxième décision défavorable, en date du 17 juin 20223. L’objet de sa demande est le suivant: les données divulguées sur internet sont diffamatoires et entachent le droit à l’honneur, à l’intimité personnelle et à l’image de son père défunt. Il demande donc à ce que les 18 URLS concernées soient supprimées et que Google LLS soit sanctionné pour ne pas avoir répondu à son devoir de suppression de contenu
diffamatoire. La question de droit sous-jacente est la suivante; les données personnelles numérisées sont-elles vouées à rester publiques au delà de la mort d’un individu ? Dans le cas d’espèce, elle est d’autant plus controversée que le défunt est un personnage public, acteur important du parti militaire franquiste durant la guerre civile espagnole (1933-1936) et pendant la dictature qui en a découlé. Il y a d’une part une question d’intérêt personnel pour le défunt et sa famille, et d’autre part la liberté d’expression des auteurs de ces URLS et la liberté d’information du reste de la société, qui est d’intérêt général.

En se fondant sur la décision en question, on se demandera si les données personnelles numérisées sont destinées à rester publiques au delà de la mort d’un individu.

I - La protection des données personnelles est également un droit fondamental pour les personnes défuntes

En principe, le Règlement Général sur la Protection des Données (RGPD) ne s’applique pas aux personnes décédées (A) mais celui-ci renvoie la compétence aux États Membres, qui s’inspirent du règlement et de son droit à l’oubli pour l’appliquer aux défunts (B).

        A. Le RGPD renvoie la compétence aux États Membres

 
Dans la décision du 4 mars 2024, le demandeur invoque une violation des articles 17 et 89 du RGPD. Ce Règlement, qui prévoit un traitement légal et proportionné des données personnelles au sein de l’Union, développe la notion de droit à l’effacement, ou droit à l’oubli (article 17) lorsque l’utilisation de ces données personnelles est contraire aux principes généraux du règlement. Notamment, si elles ont fait l’objet d’un traitement illicites, que la personne concernée s’oppose au traitement, qu’elle n’y a pas consenti,... il devient alors obligatoire pour la personne responsable du traitement de ces données de les supprimer dans les meilleurs délais.

Si le règlement emporte bien des règles consacrant le droit à l’oubli, il ne semble pourtant pas pertinent pour régler une question relative aux données d’une personne décédée, car le Tribunal Suprême rappelle un point crucial pour son application. Selon son vingt-septième considérant, ce règlement ne saurait s’appliquer aux personnes défuntes et renvoie donc aux États Membres (EM) pour le traitement de cette question. Le règlement assure donc la protection des données personnelles des personnes physiques mais au delà de leur décès, il laisse une marge de manoeuvre aux EM puisqu’il s’agit d’une question d’ordre public qui leur est propre. En effet, ce renvoi montre l’absence de consensus entre les États Membres sur la question, qui semble pourtant être un droit fondamental. Les fondements abordés par le demandeur ne peuvent donc être appliqués au cas d’espèce, mais ce sont des notions fondamentales que l’on retrouve dans certaines des règles nationales au sein de l’Union.

L’article 17 à l’alinéa 3.D du Règlement, précise que ces conditions du déréferencement ne s’appliquent pas à des fins archivistiques dans l’intérêt public, notamment à des fins de recherches historiques. Ce qui nous renvoie à l’article 89, invoqué par le demandeur, qui limite cet usage à un respect des garanties appropriées pour les droits et libertés de la personne concernée. Quand bien même le partage de ces données a un caractère fondamental pour l’intérêt public, celui-ci doit être mesuré et la personne qui les utilise doit toujours rechercher cet équilibre entre ces deux intérêts. Il est donc vrai que le règlement constitue une avancée majeure pour la protection des données personnelles, en consacrant un droit à l’oubli, mais il faut se tourner vers les législations nationales pour le déréférencement des personnes défuntes.

     B. Le droit à l’oubli pour les défunts est reconnu par la France et l’Espagne

En Espagne, la jurisprudence a confirmé l’existence d’un droit à l’oubli avant même sa consécration par le droit de l’Union européenne. Il naît du fameux arrêt Google Spain, Inc. / Agencia Española de Protección de Datos4, du 13 mai 2014. Cette décision est fondamentale pour les usagers car elle donne l’espoir d’une meilleure protection de leurs données personnelles. Désormais, ils pourront s’adresser directement aux exploitants afin de supprimer des liens internet comportant leurs données personnelles, et ce bien que la publication soit faite par des usagers tiers. La Cour rappelle ainsi que l’exploitant, ici Google, est tenu pour responsable car il détermine les finalités et moyens du traitement de ces données, qui ont été collectées et auxquelles les autres utilisateurs n’auraient pas eu accès sans ces moteurs de recherche.

Or cette première décision est soumise à certaines conditions, que nous verrons dans une deuxième partie, et interrogent sur son efficacité. D’autant plus que dans une deuxième décision sur le droit au déréferencement, du 24 septembre 20195, la CJUE a précisé le régime de cette première décision et  il en ressort que la Cour n’interdit pas ce traitement des données personnelles en dehors de l’Union. Quel est l’impact réel du droit à l’oubli si celui-ci n’est que partiel ? Il suffit que l’information ait été gardée par un utilisateur puis partagée à nouveau en dehors du territoire européen pour que la donnée se retrouve à nouveau perpétuellement sur la toile. Les conditions restrictives et cette dernière limite ont d’autant plus d’ampleur lorsqu’un utilisateur décède. Qu’advient-il de ses données ? Qui a intérêt à défendre son droit à l’oubli ? Et puisque le RGPD ne prévoit ce droit que pour les personnes physiques vivantes, il faut d’abord comprendre comment celui-ci est régulé par les États Membres, dans notre cas: la France et l’Espagne. Les deux pays ont fait le choix de recourir à la loi pour régler cette question.

Concernant les données des défunts le cadre juridique est déterminé en France par la loi 2018-493 du 20 juin 2018 relative à la protection des données personnelles (et qui modifie la loi de 1978 relative à l’informatique, aux fichiers et aux libertés), et en Espagne par la loi 3/2018 du 5 décembre 2018 sur la protection des données personnelles et garantie des droits digitaux. Le droit à l’oubli pour la personne défunte est prévu respectivement par l’article 85 en France et l’article 3 en Espagne. On y différencie deux notions, plus clairement distinguées en droit français. D’une part, il y a l’accès aux comptes personnels du défunt, c’est à dire son “patrimoine” numérique, toutes les données que celui-ci a collecté sur les réseaux sociaux (Instagram, Twitter, Snapchat, Linkedin, Facebook,...) mais également tous les autres sites susceptibles de contenir des données personnelles (Messageries, iCloud, Google Drive,...), et la suppression de celles-ci. D’autre part, il y a la notion du traitement de ces données personnelles, qui pose problème notamment une fois que ces données se retrouvent dans des URL consultables d’autres utilisateurs. C’est surtout ce dernier aspect qui nous intéresse car c’est le cas d’espèce dans la décision du 4 mars 2024 du Tribunal Suprême espagnol; quelles sont les conditions pour empêcher que le traitement des données survivent à l’utilisateur concerné ?

II - La mise en oeuvre du droit à l’oubli par les héritiers du défunt est limitée par d’autres droits fondamentaux

Le droit à l’oubli demande une démarche active des utilisateurs puis de tiers en leur nom une fois celui-ci décédé (A) et n’est pas absolu puisqu’il se trouve limité par d’autres droits fondamentaux (B).

      A. L’action des tiers au nom des données personnelles du défunt

Dans le cas d’espèce de la décision étudiée, c’est le fils du défunt qui est défendeur à l’action. La notion de tiers recouvre plusieurs possibilités en France et en Espagne, et la règle générale et l’exception y sont inversées. En Espagne, la règle générale est que les tiers détenteurs de l’action sont les personnes ayant un lien de sang ou de fait (mariage, adoption,..) ainsi que les héritiers, c’est le cas d’espèce. Dans un second temps, l’action peut également être exercée par les personnes ou institutions désignées par l’utilisateur de son vivant. Dans le cas du décès d’un mineur ou d’une personne handicapée, il s’agira de ses représentants légaux ou du ministère public le cas échéant (article 3 LPDPGDD). En France, la règle générale permet à l’utilisateur de décider du sort de ses données à son décès : il peut adopter des directives générales et particulières. Pour cela, l’utilisateur doit se reporter à un “tiers de confiance numérique certifié par la Commission nationale de l'informatique et des libertés”. Ce n’est qu’en l’absence de ces directives que les héritiers auront le droit d’exercer pour le défunt le droit de suppression ou rectification des données (article 85 LPDP). Cette dernière approche est donc plus restrictive que la loi espagnole, puisqu’en l’absence de directive de la part du défunt, seuls ses héritiers auront droit à agir. Elle ne précise pas non plus ce qu’il advient des mineurs et des personnes handicapées, ce qui pose à nouveau un problème éventuel.

Cependant, les directives mises en place en France comme une condition générale sont plus bénéfiques pour le défunt qu’en Espagne. Elles permettent à l’utilisateur de consentir ou non à l’accès de ses données personnelles de son vivant, et au tiers de son choix, ce qui n’est pas le cas en Espagne. Cette absence de choix en Espagne représente une entrave à son intimité personnelle. Ici ce n’est pas le cas puisque le fils du défunt accède à des données publiques, mais la comparaison avec la France est tout de même intéressante. En effet, cet accès n’est permis en France que dans des cas d’exceptions, ce qui n’est pas le cas en Espagne; on peut donc se demander si le droit à la dignité d’un défunt est sur le même pied d’égalité que le droit à la vie privée de son vivant ? Or en France, la limite de ces dispositions générales se trouve dans son application pratique; combien d’utilisateurs sont informés sur le sort de leurs données personnelles après leur décès (et de leur vivant) ? Encore faut-il qu’ils fassent la démarche, une fois informés, afin de désigner un tiers numérique de confiance. Il faudrait que ces informations soient rendues plus accessibles pour tous les utilisateurs par des campagnes ou publicités publiques, transparentes et visibles afin qu’ils puissent faire des choix informés. En effet, la gestion de ce patrimoine numérique est peu visible, contrairement aux successions classiques de biens notamment, quand bien même elle reste un patrimoine considérable.

Avec environ 8.000 décès par jour recensés sur Facebook, il est devenu essentiel que les utilisateurs se posent la question de la survie de leurs données après leur décès. S’ils peuvent l’anticiper, il est tout de même rare qu’ils le fassent. L’alinéa 3 de l’article 85 de la loi française impose que les prestataires de service de communication au public en ligne (réseaux sociaux notamment) informent les utilisateurs de l’utilisation qui sera faite de leurs données à leur décès. Celles-ci seront communiquées à un tiers de leur choix, qui auront le droit de les rectifier ou supprimer en cas de décès seulement. L’utilisateur accepte ou non ces conditions, selon l’article. Or en réalité, il est courant que ces conditions apparaissent parmi une centaine d’autres clauses, dans les conditions d’utilisation d’un réseau social par exemple. Elles ne sont donc pas entièrement transparentes ou lisibles pour l’utilisateur, et donc souvent peu lues. De plus, l’acceptation de ces conditions est généralement une condition sine qua none pour pouvoir utiliser le réseau social, et c’est ainsi que l’utilisateur accepte de partager ses données personnelles au delà même de sa mort.

Dans le cas d’espèce de la décision espagnole, l’action des tiers peut également avoir un résultat controversé car certains héritiers peuvent tenter de supprimer ou rectifier des données personnelles rendues publiques afin de lisser l’image du défunt, et par ailleurs la leur. C’est notamment le cas ici d’un fils tentant de supprimer de nombreuses URL mentionnant le passé franquiste de son père, et dont il allègue que les propos sont diffamatoires. L’appréciation souveraine du juge est donc cruciale puisqu’elle permet d’établir un contrôle de proportionnalité entre les différentes libertés fondamentales en jeu.

     B. La pondération jurisprudentielle entre les différents droits fondamentaux ; une appréciation au cas par cas

Comme dans le cadre du RGPD, le droit à l’oubli concernant les données d’un défunt n’est pas absolu. La Cour reprend une approche classique en recherchant un équilibre entre ces deux libertés en étudiant la place de l’utilisateur, dont les données sont concernées, dans la vie publique. Ensuite, elle recherche l’intérêt de ces informations pour les autres utilisateurs et le caractère sensible et privé de celles-ci. Elle établie en ce sens un contrôle de proportionnalité: le caractère privé des données personnelles est primordial et la volonté des utilisateurs de les supprimer, de la même manière qu’ils les ont partagées, doit être respectée au delà de leur mort. Mais la liberté d’expression et le droit à l’information des autres utilisateurs intervient alors, puisque selon la Cour européenne, ces droits ne peuvent être entravés par le caractère sensible de ces informations personnelles, lorsqu’elles ont un intérêt pour le public.

C’est cette dernière notion qui explique le sens de la décision du Tribunal Suprême espagnol. Le caractère public, dont l’intérêt est politique, historique, scientifique, ou de quelconque apport pour la société de l’État Membre en question, fait que les données doivent être maintenues publiquement et numériquement pour en faciliter l’accès. Dans le travail de mémoire historique sur le passé franquiste de l’Espagne, la décision prend tout son sens. Bien que le fils du défunt ait un intérêt direct à vouloir mettre en oeuvre le droit à l’oubli du passé militaire de son père, entraver la liberté d’expression des responsables du traitement de ses données serait une atteinte bien plus grave car elle nuirait à l’intérêt du public et à leur droit de s’informer.

Dans la Déclaration des Droits de l’Homme et du Citoyen, la notion de vie privée par exemple n’apparait pas (on la retrouve à l’article 9 du Code Civil, mais elle n’a pas une valeur constitutionnelle), tandis que l’article 11 affirme que “la libre communication des pensées et des opinions est un des droits les plus précieux de l’homme”. Dans la constitution espagnole de 1978 et ses droits et libertés fondamentaux, on retrouve à l’article 18 le droit à l’intimité personnelle, à l’honneur et à l’image et dans son article 20 la liberté d’expression et d’information. Or l’Espagne comme la France respectent également les articles 8 et 10 de la Convention Européenne de sauvegarde des droits de l'homme et des libertés fondamentales.

C’est sur la base de cette convention notamment que la Cour de Cassation a recherché l’équilibre entre le 6 droit à la vie privée d’un utilisateur décédé et la liberté d’expression des responsables du traitement de ces données, rendues publiques. Dans ce cas d’espèce, une page internet dénonce une infraction pénale d’un représentant d’une société pharmaceutique et annonce son décès. La Cour a décidé que cela portait atteinte à sa vie privée, quand bien même il s’agissait d’une infraction pénale, puisque la décision le rendant coupable avait été annulée. Il semble donc que dans les deux décisions, et de manière générale, le juge fasse prévaloir la vie privée du défunt lorsque l’information partagée sur internet n’est pas cruciale pour le public. Lorsque ces informations ont un intérêt pour l’ordre public, et permet la liberté d’expression et d’information des citoyens, alors elle prévaut sur l’intérêt personnel du défunt et de ses héritiers. En ce sens là, l’appréciation souveraine des juges est cruciale afin de veiller à la proportionnalité des différents droits fondamentaux.

Celle-ci pourrait être accompagnée d’une meilleure sensibilisation sur le traitement des données personnelles des utilisateurs, au delà de leur mort, et des possibilités qui s’offrent à eux pour décider du sort de celles-ci de leur vivant. Il s’agit d’une pratique récente, imparfaite, qui n’est pas absolue, et qui comporte encore des imperfections. L’accès à ces données personnelles par des tiers porte également atteinte à la dignité et à l’intimité du défunt et interroge sur le consentement de celui-ci à ces tiers lorsqu’il ne l’avait pas explicitement anticipé avant son décès.

 

1Décision du 4 mars 2024 STS 1401/2024 - Tribunal Suprême espagnol 
2Recours NoRR/00717/2019, Agence Espagnole de Protection des Données 

3Sentence du 17 juin 2022 SAN 3660/2022, Audience Nationale espagnole

4CJUE, 13 mai 2014, Google Spain, Google Inc/ Agencia Española de Protección de Datos, Mario Costeja González, C-131/12

5Arrêt de la Cour de Justice de l'Union européenne du 24 septembre 2019 dans l'affaire C-136/17

6Cour de Cassation, première chambre civile, 17 février 2021, 19-24.780

 

Bibliographie

Articles

“Le droit à l’oubli : vers un nouveau droit fondamental de l’individu ?” de Marie Ranquet, Communications 2019/1 (no104), p. 149 à 159

“Le droit à l’oubli (droit au déréférencement), condition d’un avenir ouvert”, Seltana Aballache-Zerari, Revue Française d’éthique appliquée 2020/2 (no10), p. 84 à 98

Textes constitutionnels

Déclaration des Droits de l’Homme et du Citoyen, 1798
Constitution Espagnole, 1978

Jurisprudence de la CJUE

Décision du 13 mai 2014, Google Spain, Google Inc / Agencia Española de Protección de Datos, Mario Costeja González, C-131/12
Décision du 24 septembre 2019, G.C. / CNIL, affaire C-136/17

Jurisprudence espagnole

Sentence du 17 juin 2022 SAN 3660/2022 - Audience Nationale espagnole
Décision du 4 mars 2024 STS 1401/2024 - Tribunal Suprême espagnol

Jurisprudence française

Cour de cassation, civile, Chambre civile 1, 17 février 2021, 19-24.780, Publié au bulletin

Législation espagnole

Loi 3/2018, du 5 décembre, de Protection des Données Personnelles

Législation française

Loi 2018-493 20 juin 2018, relative à la protection des données personnelles, modifie loi de 1978 relative à l’informatique, aux fichiers et aux libertés

Règlements

Règlement Général sur la Protection des Données 2016/679 (RGPD)

Résolution de l’Agence Espagnole de Protection des Données

Recours NoRR/00717/2019