La France est l’un des rares pays à ne pas encore admettre la transmission des droits de la personnalité après le décès de leur titulaire.
Stéphan Denoyes, avocat aux barreaux de Paris et de Lyon. |
Pour qui est croyant, la vie ne s’arrête pas à ce monde terrestre. Pour qui ne l’est pas, au contraire, elle se termine sous terre. Mais chaque individu aspire à laisser une trace, même infime, à ceux qui suivront. “Nous entrerons dans la carrière / Quand nos aînés n’y seront plus, / Nous y trouverons leur poussière, / Et la trace de leurs vertus“, dit la chanson. En tout état de cause, notre enveloppe corporelle viendra se fondre dans l’Univers. Quant à notre âme, c’est une autre question.
Mais qu’en est-il de notre identité numérique, celle que nous déclinons à longueur de journée sur ce nouveau territoire extraterritorial composé d’une écorce binaire memoirophage et qui semble conserver à jamais, si ce n’est la trace de notre vie terrestre, à tout le moins celle du passage de notre vie numérique.
Dans la vie réelle, l’identité d’un individu est unique
Protégée par l’État elle est composée de divers attributs qui naissent, sauf exception, avec l’individu, lui conférant personnalité juridique : année, jour, heure et lieu de naissance, nom, prénoms, sexe, nationalité. Ces éléments sont inscrits sur les registres d’état civil. La loi relative à la protection de l’identité a d’ailleurs figé strictement les éléments devant être contenus dans la carte nationale d’identité : le nom de famille, le ou les prénoms, le sexe, la date et le lieu de naissance du demandeur, le nom dont l’usage est autorisé par la loi (si l’intéressé en a fait la demande) ; son domicile ; sa taille et la couleur de ses yeux ; ses empreintes digitales, sa photographie. Il est d’ailleurs intéressant de noter que certains parlementaires, à l’image d’Alain Moyne-Bressand ou d’Alain Verchère, souhaitent ajouter respectivement un numéro d’identification nationale et le groupe sanguin.
Il est d’ailleurs d’ordre public que toute personne vivant habituellement en France soit pourvue d’un état civil. Il est également très difficile de changer d’identité, de prénom, de nom voire de sexe dans la vie réelle. Et tout changement d’état civil obéit à des règles très strictes et très contrôlées.
À cette identité légale propre s’ajoutera, au fil des ans, le fruit de nos origines, de nos expériences, de nos choix de vie, pour former notre identité expérientielle, personnelle. Cette expérience forge-t-elle notre identité ? Assurément oui, répondraient les partisans du docteur Freud. Mais Freud est mort et enterré, et ses descendants veillent sans doute scrupuleusement au respect de son identité et de son œuvre, et militent probablement contre le droit à l’oubli.
Quoi qu’il en soit, dans la vie numérique, l’identité ne revêt à ce jour aucune consistance juridique. À notre connaissance, aucun texte légal, aucune décision de justice n’est venu définir les contours de notre corps numérique. La réglementation européenne est muette, se contentant de faire référence à une “identité physique, physiologique, psychique, économique, culturelle ou sociale“. Tout au plus, l’article premier de la loi “Informatique et Libertés“ évoque-t-il la notion d’“identité humaine“, bien plus vaste que les seuls contours physiques et légaux, qui pourraient se confondre avec l’identité personnelle.
L’identité numérique se détermine donc en France à travers un faisceau de critères posés par la loi Informatique et Libertés, selon laquelle : “Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne.“
L’identité numérique est donc composée d’éléments épars pouvant varier, ou pas, d’un site Internet à une autre, d’un individu à un autre : S’agit-il de son patronyme ? De son adresse électronique ? De son domicile ? De son pseudonyme ? De son numéro de téléphone ? De son adresse IP ? De son e-reputation ? De son identifiant et son mot de passe ? De ses photos (plus ou moins retouchées) ou vidéos, de son avatar ?
Conscient des risques de l’Internet pour la notion d’identité, le législateur a créé le délit d’usurpation d’identité sans pour autant définir les contours de cette identité. Lors de l’examen en première lecture à l’Assemblée nationale de la loi dite LOPPSI 2, le rapporteur du texte, Éric Ciotti, estimait que : “Le terme “identité“ retenu au présent article doit être considéré comme recouvrant tous les identifiants électroniques de la personne, c’est-à-dire à la fois son nom, mais aussi son surnom ou son pseudonyme utilisé sur Internet.“
De son côté, le rapporteur du texte au Sénat, le sénateur Courtois, précisait même dans son rapport que “la notion, retenue pour la rédaction de ce délit, de “données de toute nature permettant de l’identifier“ aura un champ plus large que la notion de données à caractère personnel définie à l’art. 2 de la loi “Informatique et Libertés“ du 6 janvier 1978“. Cette problématique ne semble d’ailleurs pas résolue puisque, dans les deux dernières années, ce sont pas moins de quatre propositions de loi qui ont été déposées à l’Assemblée nationale.
Un document de travail de la Commission numérique de l’Assemblée nationale, installée le 11 juin 2014, donne également une orientation. La Commission se propose en effet d’“analyser le statut juridique de l’identité numérique, regroupant l’ensemble des traces laissées par un individu (adresses IP, cookies), ses coordonnées d’identification, les contenus qu’il publie ou partage en ligne (blogs, avis, discussions, contributions à des sites collaboratifs, jeux), ses habitudes de consommation sur Internet ou sa e-réputation“. L’identité numérique est donc appréhendée de manière extensive sur la toile tandis que, dans la vie réelle, elle est envisagée de manière restrictive. Dans la vie réelle, il est interdit de monnayer son identité. La chose est hors du commerce, au même titre que les souvenirs de famille.
Récemment, un jeune étudiant, en manque de moyen pour financer ses études, a pourtant mis en vente aux enchères sur eBay son identité numérique, sous réserve “que son intégrité morale soit préservée“. Son identité était composée de 2 comptes Google, de profils Facebook, Viadeo, LinkedIn, d’appleID. Il a trouvé preneur pour 20 000 €. Il y avait accord sur la chose et sur le prix. Le contrat était formé. L’identité numérique est donc monétisable. Dans la vie réelle, une telle transaction aurait été considérée comme nulle pour absence de cause, l’identité n’étant pas dans le commerce.
Si une telle vente a pu être possible sans que personne ne s’en émeuve, c’est parce que la donnée est aujourd’hui un objet juridique non identifié, dépourvu de régime juridique clair, et de possibilités d’appropriation. Les multinationale du traitement de données ne s’y sont pas trompées, qui s’enrichissent “à l’insu du plein gré“ des internautes.
En février 2013, un autre, étudiant américain, Nicolas Zannier, partant du constat que “In 2012, advertising revenue in the United States was around $30 billion. That same year, I made exactly $0 from my own data“ ("En 2012, le revenu publicitaire aux États-Unis était autour de 30 milliards de $. Cette même année, j'ai fait exactement 0 $ de mes propres données"), a décidé de vendre ses données personnelles pour 2 dollars la journée, proposant même des forfaits à 5, 25, 50 ou 200 dollars pour 7 GB de ses données : adresses des sites qu’il a visités, webcam, les mouvements de sa souris, les endroits dans lesquels il s’est rendu physiquement… En quelques jours, il a récolté 2 733 dollars.
Un autre site propose même d’estimer le revenu généré sur le marché par nos données. Selon une étude du Boston Consulting Group, le seul marché européen des données personnelles pourrait valoir 1 000 milliards d’euros en 2020. De son côté, la Commission Fédérale du Commerce (FTC) américain estime que le commerce de données aux États-Unis rapporterait plusieurs milliards de dollars. Selon sa présidente : “La précision de déterminer le profil d’un consommateur est telle qu’un marchand de données en connaît autant - et parfois plus - sur nous, que notre famille et nos amis.“
Cette analyse est d’ailleurs confirmée sous la plume d’un journaliste des Échos : “Tout d’abord, les marques construisent la connaissance de leurs clients en centralisant dans une fiche unique des informations éparses : réseaux sociaux, base de données de l’entreprise, cookies, clics, “likes“, e-mails, numéros de téléphone, cartes de fidélité…“ On obtient ainsi une vue à 360° du client, qui aboutit à une segmentation classique, qui indique quelle offre pousser à quel client (…)“. De fait, la donnée n’est pas “patrimonialisée“, comme peut l’être par exemple le droit à l’image ou le droit d’auteur.
Il n’existe en France aucun droit de propriété privée sur les données. Le Conseil National du Numérique (CNN) s’est d’ailleurs lui-même prononcé contre la création d’un droit de propriété privée sur les données personnelles. Pour d’autres : “La vie privée a cessé d’être un droit individuel pour devenir une négociation collective (…). Parce qu’elle est basée sur la recherche d’un accord entre plusieurs parties, plus que sur une régulation émanant d’une seule d’entre elles, cette vision de la vie privée est assimilable à une négociation collective.“
Pour l’étudiant qui a cédé son identité numérique, il est évident qu’elle s’apparente au droit à l’image ou au droit d’auteur, avec leur droit moral, perpétuel, inaliénable, imprescriptible et insaisissable, et leur droit patrimonial qui permet de monnayer l’exploitation commerciale de l’image.
Au mieux existe-t-il un droit de contrôle et d’accès sur les traitements qui sont réservés à nos données. Le Conseil d’État lui-même, dans un récent rapport, considère qu’il convient d’écarter la “logique patrimoniale dans la protection des données personnelles“, prônant un “droit à l’autodétermination“. La directive européenne de 1995 précitée a pourtant bien prévu un droit à l’effacement, mais entendu comme un sous-droit d’accès aux données.
L’individu est en effet doté de divers droits de la personnalité qui ne peuvent être exercés que par la personne à laquelle ils se rapportent, droits qui naissent et s’éteignent en même temps que leur titulaire (de leur auteur pourrait-on presque dire). Le droit sur les données à caractère personnel, c’est-à-dire de plus en plus sur les données numériques, est un droit personnel. La loi Informatique et Libertés indique que : “La personne concernée par un traitement de données à caractère personnel est celle à laquelle se rapportent les données qui font l’objet du traitement.“
Pour le droit prospectif de l’Union européenne, la personne concernée devrait être : “Une personne physique identifiée ou une personne physique qui peut être identifiée, directement ou indirectement, par des moyens raisonnablement susceptibles d’être utilisés par le responsable du traitement ou par toute autre personne physique ou morale, notamment par référence à un numéro d’identification, à des données de localisation, à un identifiant en ligne ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.“ Se mêlent donc ici des éléments de l’identité légale et de l’identité personnelle, expérientielle.
Le considérant 23, issu d’un amendement no 6, explique qu’“il y a lieu d’appliquer les principes de protection des données à toute information concernant une personne physique identifiée ou identifiable“. Si je suis enterré, a fortiori si je suis incinéré, techniquement, je ne suis plus un personne physique.
La section 3, intitulée “Rectification et Effacement“, contient un art. 17 modifié par le Parlement européen qui concerne spécifiquement le “Droit à l’oubli numérique et à l’effacement“. Il indique que “la personne concernée a le droit d’obtenir du responsable du traitement l’effacement de données à caractère personnel la concernant et la cessation de la diffusion de ces données, et elle peut obtenir de tiers l’effacement de tous les liens vers ces données, ou de toute copie ou reproduction de celles-ci, pour l’un des motifs suivants“, et énumère 5 motifs, desquels le décès est absent.
Le lecteur constatera que le règlement mentionne d’une part le droit à l’oubli et d’autre part le droit à l’effacement, indiquant ici clairement que ces deux notions ne se confondent pas. Et si l’on prend soin de le mentionner expressément dans le nouveau projet de règlement, c’est bien que tout n’était pas si clair. De plus, à aucun moment de la proposition de règlement il ne sera mentionné la question des héritiers. Il eût été pourtant facile d’inclure dans cet art. 17 un nouvel alinéa “e : par ses héritiers lorsque la personne concernée est décédée“. Mais tout cela n’est pas encore gravé dans le marbre (funéraire) de notre tombe numérique.
En France, la question n’est pas plus tranchée
L’art. 38 de la loi Informatique et Libertés prévoit que : “Toute personne physique a le droit de s’opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l’objet d’un traitement.“ Il est donc impératif d’une part d’être la personne concernée et d’autre part de justifier de motifs légitimes, laissés au passage à la libre appréciation du responsable. Où Google se transforme en juge de l’opportunité. Mais le mot effacement est totalement absent de loi de 1978 (contrairement à la directive de 1995).
Jusqu’à il y a peu de temps, de nombreux sites s’abritaient derrière la non-application du droit local, entendez le doit national français et/ou européen, pour ne pas faire droit aux demandes des internautes. La France comme l’Union européenne ont donc été contraintes de “tordre“ la loi ou la directive de 1995 pour tenter de soumettre ses sites à la réglementation autochtone. La cour d’appel de Pau a initié le mouvement en considérant que le contrat passé entre un internaute et Facebook relevait du droit français en considérant que la société Facebook “assure à distance, et par voie électronique, la fourniture du services en France d’une manière stable et durable à destination d’internautes français“.
De son côté, la Cour de justice de l’Union européenne a rendu une décision similaire en considérant que : “L’affichage même de données à caractère personnel sur une page de résultats d’une recherche constitue un traitement de telles données. Or, ledit affichage de résultats étant accompagné, sur la même page, de celui de publicités liées aux termes de recherche, force est de constater que le traitement de données à caractère personnel en question est effectué dans le cadre de l’activité publicitaire et commerciale de l’établissement du responsable du traitement sur le territoire d’un État membre, en l’occurrence le territoire espagnol. Dans ces conditions, il ne saurait être accepté que le traitement de données à caractère personnel effectué pour les besoins du fonctionnement dudit moteur de recherche soit soustrait aux obligations et aux garanties prévues par la directive 95/46, ce qui porterait atteinte à l’effet utile de celle-ci et à la protection efficace et complète des libertés et des droits fondamentaux des personnes physiques qu’elle vise à assurer (voir, par analogie, arrêt L’Oréal e.a., EU : C : 2011 : 474, points 62 et 63), notamment celui au respect de leur vie privée, à l’égard du traitement des données à caractère personnel (…).“
En d’autres termes, dès lors qu’un exploitant d’un moteur de recherche dispose dans un État membre d’une filiale ou d’une succursale dont l’objectif est de proposer des services aux habitants de cet État, alors il doit respecter la réglementation de cet État. Enfonçant le clou et prenant le pas sur celui de la Cour et pour ne pas laisser les tribunaux légiférer, les ministres européens chargés de la Justice qui se retrouvaient pour la deuxième journée du Conseil “Justice et affaires intérieures“ (JAI) le 6 juin dernier ont confirmé que les futures règles européennes s’appliqueraient à toutes les compagnies étrangères exerçant des activités sur le sol de l’UE et/ou prestant des services pour les consommateurs européens : “Toutes les entreprises opérant sur le sol européen doivent respecter les règles (...) Le moment est venu pour les ministres européens de donner une réponse positive au cri d’alarme d’Edward Snowden“, a déclaré Viviane Reding, commissaire européen à la Justice, lors de la conférence de presse qui s’en est suivie.
Cette décision “Google Spain“ contient également un tout autre apport : la Cour précise qu’un traitement initialement licite de données exactes peut devenir, “avec le temps, incompatible avec la directive lorsque ces données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées. Tel est notamment le cas lorsqu’elles apparaissent inadéquates, qu’elles ne sont pas ou plus pertinentes ou sont excessives au regard de ces finalités et du temps qui s’est écoulé“.
Conscient, Google a tenté de réagir en proposant un formulaire “Droit à l’oubli“ pour “supprimer les résultats de recherche qui incluent leur nom“, pour autant que lesdits résultats soient “inadéquats, pas ou plus pertinents ou excessifs au regard des finalités du traitement“. Toutefois, ce droit n’est en rien absolu, puisque le moteur de recherche explique qu’il va se livrer à une véritable enquête afin de déterminer si oui ou non il se décide à vous oublier. Dans les faits, donc, rien ne change. On vous oublie si on veut.
Un jugement néerlandais rendu en septembre 2014 est venu confirmer cela. Il a en effet considéré qu’il n’y a pas lieu de supprimer les liens URL renvoyant vers des informations relatives à une condamnation pénale récente pour instigation au meurtre : le meurtre étant récent et ayant donné lieu à une large publicité, il est normal que l’Internet relaye cette information pendant un temps assez long. Ainsi, le juge met en balance les intérêts entre la liberté d’information et le droit à la vie privée de l’internaute concerné afin de répondre à ses diverses demandes. On le voit bien, les moyens pour gérer, protéger ou tenter de maîtriser ses identités numériques sont en réalité bien faibles et bien contraignants. De son vivant. Mais de notre mort, il devient quasiment impossible de maîtriser les identités numériques.
Théoriquement, la personnalité juridique prend fin avec le décès de l’individu. Le décès doit être constaté par un médecin, déclaré à l’état civil et enregistré dans un acte de décès. La personnalité peut toutefois se prolonger au-delà de la mort. Le défunt peut prévoir par testament le sort et l’affectation de ses biens. Si l’art. 724 du Code civil prévoit que “les héritiers, désignés pas la loi, sont saisis de plein droit des biens, des doits et action du défunt“, ceux-ci ne sont pas saisis de ce que l’on appelle les “Droits personnels“, c’est-à-dire ceux qui sont attachés à la personne même. Et qui donc disparaissent avec elle. Dès lors, pendant longtemps, l’accès aux données de leurs proches décédés leur était interdit. Ainsi, du droit d’agir pour le respect de la vie privée qui n’appartient qu’aux vivants. Il s’éteint avec l’individu et n’est pas transmis aux héritiers, même si par exemple les diffamations envers une personne décédée restent punissables.
Ainsi, du droit à l’image que seule la personne concernée ou son représentant légal est recevable à défendre. Lorsque le titulaire de ce droit est décédé, ses parents ne sont recevables à agir que pour autant que la mémoire de l’individu est mise en cause. L’art. 38 précité n’est évidemment pas applicable puisque, si notre enveloppe corporelle ne s’est pas encore totalement fondue dans la nature, force est de constater que nous n’avons plus la possibilité de manifester notre opposition au traitement, notre capacité juridique (et physique) ayant disparu avec nous.
Et comme finalement les lois de la nature sont bien faites, à moins que ce ne soit la loi Informatique et Libertés, il fallut attendre la loi du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel pour que les héritiers puissent, “si des éléments portés à leur connaissance leur laissent présumer que les données à caractère personnel la concernant faisant l’objet d’un traitement n’ont pas été actualisées, exiger du responsable de ce traitement qu’il prenne en considération le décès et procède aux mises à jour qui doivent en être la conséquence“. Et encore, les travaux préparatoires font ressortir que cette possibilité n’est ouverte que de manière restreinte, puisque “(…) les héritiers ne pourront effacer des précisions que, de son vivant, la personne décédée avait laissé figurer dans un fichier“. Le lecteur attentif notera que le mot “suppression“ est purement absent de ces articles. À moins qu’il ne soit sous-entendu par “prenne en considération le décès et procède aux mises à jour qui doivent en être la conséquence“. La mort n’est finalement qu’une mise à jour de notre vie.
D’aucuns considèrent que la loi de 1978 a pourtant bien prévu le droit à l’oubli à travers la notion de péremption des données, inscrite à l’art. 6 selon lequel les données “sont conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées“. Cela semble pourtant contredit par la pratique. Combien de lecteurs du présent article se sont vus informés de la durée du traitement dont leurs données font l’objet, et informés du prolongement de ce même traitement ?
De même n’est-ce pas faire peu de cas des pouvoirs publics que de considérer qu’en 35 ans, ils auraient été incapables de faire la moindre référence explicite dans la loi à ce droit à l’oubli, à l’effacement ou au droit de suppression. Il suffit de se rendre sur le site de la CNIL, dans la rubrique “Vos droits“, pour constater que ne sont cités que cinq droits : droit à l’information, droit d’accès et droit d’accès indirect, droit de rectification, droit d’opposition.
Point de droit à suppression. Point de droit à effacement. Point de droit à l’oubli. En réalité, le droit de suppression est considéré comme un “sous-droit“ d’opposition ou de rectification. Et le fameux arrêt “Google Spain“ précité de la CJUE, lui, ne contient en réalité qu’un droit à la désindexation des données, celles-ci ayant de toute façon été archivées, sur-archivées dans l’une des centaines de fermes numériques qui fleurissent un peu partout dans notre monde physique.
Il est déjà difficile d’envisager sa mort physique, pour ne pas avoir en plus à envisager sa mort numérique. On ne peut donc que la mettre à jour comme un programme devenu obsolète et qu’il convient donc “d’updater“. Il faudra attendre une proposition de loi adoptée par le Sénat visant à mieux garantir le droit à la vie privée à l’heure du numérique, pour qu’apparaisse pour la première fois la notion de "suppression“ des données. Mais avec des limites. Ainsi, par exemple, aux termes du 5o de l’amendement no 12, le droit de suppression ne peut être exercé “s’il porte atteinte à une liberté publique garantie par la loi“.
De là à affirmer que le droit de reposer en paix est une liberté publique empêchant tout droit de suppression, il n’y a qu’un pixel que d’aucuns n’hésiteront pas à programmer. Ce texte étant toutefois resté lettre morte, et, conscient des difficultés engendrées par une telle qualification, le Conseil d’État est venu étendre dans un important arrêt la notion de “personne concernée“ visée à l’art. 2 de la loi de 1978 en considérant que les héritiers “devaient être regardés, en leur qualité d’ayants droit héritant des soldes des comptes bancaires de leur tante, comme des personnes concernées au sens de l’art. 39 de la loi du 6 janvier 1978“.
C’est donc de manière tout à fait officielle qu’une réponse ministérielle est venue ajouter à la loi un critère qu’elle ne contient pas en précisant que le motif légitime pour une personne décédée est “la réputation“ : “Ainsi, les héritiers qui souhaitent supprimer des données personnelles éparpillées sur différents sites doivent adresser leur demande au responsable de traitement de chaque site et justifier en quoi la publication de ce contenu nuit à la réputation du de cujus.“ Le simple décès ne nuit donc pas à la réputation du de cujus. Boris Vian n’ira donc plus “cracher sur vos tombes“ mais sur vos sites Internet. Ainsi, à défaut de justification valablement admise par le responsable du traitement, celui-ci sera libre d’ajouter la mention “décédé“ ou “mort sur la toile“ ou “mort dans la vraie vie“, sans pour autant supprimer les données.
C’est donc au bon vouloir des sites concernés de choisir, dans leur grande mansuétude, le sort post-mortem de nos données personnelles. Et ils ne s’y sont pas trompés, chacun y allant de ses propres conditions, convoquant ainsi les morts aux banquets des vivants. Google, par exemple, a créé un service “testament numérique“ intitulé “gestionnaire de compte inactif“, aux termes duquel les données sont éliminées soit car les comptes sont inactifs durant un certain temps, soit grâce au tiers de confiance désigné de son vivant par l’internaute. Google n’a pas prévu le cas où le tiers de confiance décéderait à son tour. De plus, le gestionnaire de compte inactif n’est pas activé par défaut. Il appartient donc à chaque utilisateur de le paramétrer. Or, Google ne fixe pas de durée maximale de conservation des données. Il semble donc que Google, sans rôle actif de l’utilisateur, conserve les données sans limite de temps, s’apparentant ainsi à un engagement perpétuel.
Or, les engagements perpétuels sont contraires à l’ordre public et, de ce fait, nuls de plein droit. Ainsi est nul un contrat d’exclusivité conclu par une société pour une durée supérieure à celle de son existence sans possibilité de résiliation.
La CNIL avait d’ailleurs précédemment averti Google du caractère illégal de sa politique de conservation des données. Elle a fini par prononcer “une sanction pécuniaire de 150 000 € à l’encontre de la société Google Inc., estimant que les règles de confidentialité mises en œuvre par celle-ci depuis le 1er mars 2012 ne sont pas conformes à la loi Informatique et Libertés“. Facebook, de son côté, a d’ailleurs bien compris l’intérêt de cette faille, puisqu’il est désormais possible grâce à son seul bon vouloir de demander la suppression du compte d’une personne décédée ou sa “transformation en compte de commémoration“. Au demeurant, le formulaire ne prévoit que la possibilité de transformer le compte en “Compte de Commémoration“, par l’intermédiaire d’une seule case à cocher. Ou comment respecter l’option en limitant le choix.
Il faut toutefois montrer patte blanche, puisque Google menace : “Sous peine de parjure, (ce formulaire) est réservé au signalement du journal d’une personne décédée à commémorer.“ Cette menace ne risque pas d’effrayer grand monde puisqu’en en France la parjure est absente du Code pénal. On peut donc mourir sur ses deux oreilles. Si Facebook va toutefois vérifier que la demande est valide, cette validité se fait à la discrétion de Facebook. Néanmoins, en matière de conservation des données, l’entreprise américaine ne précise pas non plus la durée pendant laquelle sont conservées les données, renvoyant à l’internaute le soin de définir la durée de conservation des données. Le site précise seulement que : “La durée de conservation des données varie selon leur catégorie. Il est donc possible que nous ne disposions pas de toutes vos données depuis que vous vous êtes inscrit(e) à Facebook. Vous ne trouverez aucune information ni aucun contenu que vous avez supprimé, car cela est supprimé des serveurs Facebook.“
En outre, Facebook indique non seulement conserver les données en cas de désactivation, mais aussi en cas de suppression. Ils précisent ainsi : “La plupart des informations associées à votre compte permettant de vous identifier sont supprimées de notre base de données. C’est notamment le cas des informations telles que votre adresse électronique et votre adresse postale. Certaines informations permettant de vous identifier peuvent subsister – ainsi, votre nom si vous avez envoyé un message à quelqu’un. Il se peut que des copies de certains documents (photos, articles, etc.) demeurent sur nos serveurs pour des raisons techniques, mais ces éléments ne sont plus associés à aucun identifiant personnel et sont complètement inaccessibles par les autres utilisateurs de Facebook.“ Sauf en cas de piratage, bien sûr.
Une partie des données collectées par Facebook restera donc toujours en sa possession. Il semble ainsi que Facebook ne conserve pas les données effacées, mais qu’il conserve uniquement les données non supprimées, et ce, pour une durée inconnue. Twitter, pour sa part, mentionne dans sa “Politique de confidentialité“ conserver les données, mais ne fournit aucune information quant à leur étendue ou quant à la durée de la conservation. Il est toutefois possible d’écrire à San Francisco, par fax ou par courrier postal, à Twitter “en cas de décès d’un utilisateur“ afin de demander la suppression du compte.
Pour Yahoo, le compte “n’est pas transférable et tous les droits liés à votre identifiant Yahoo ou contenus présents dans votre compte seront supprimés à réception de la copie de l’acte de décès du titulaire du compte Yahoo, et ce compte pourra être désactivé et l’intégralité de son contenu effacé de façon définitive“.
Comme la plupart des autres réseaux sociaux, LinkedIn conserve également un certain nombre de données personnelles, sans préciser de durée pour la conservation desdites données. Viadeo pratique une politique analogue. Se pose également la question de la propriété des comptes sur ces différents réseaux sociaux. Facebook ne donne que peu d’informations sur ce sujet, précisant seulement que : “Le contenu et les informations que vous publiez sur Facebook vous appartiennent, et vous pouvez contrôler la façon dont nous partageons votre contenu, grâce aux paramètres de confidentialité et des applications“ . Mais rien n’est indiqué quant à la propriété du compte.
À l’inverse, Twitter indique qu’il conserve la propriété exclusive des comptes (à l’exclusion des contenus) précisant qu’il ne fournira pas “les informations de connexion du compte, quel que soit le lien de parenté de la personne qui les demande avec le défunt“. Il en va de même pour LinkedIn et Viadeo, qui conservent la propriété intellectuelle du site, mais pas des contenus publiés par les utilisateurs sur celui-ci. Serpent de mer qui s’est mordu la queue et s’est noyé, le droit à l’oubli risque donc d’être porté disparu sous le poids des majors de l’Internet. Il aura droit à un enterrement avec les honneurs avec comme épitaphe : “Mort sur le champ de bataille numérique“.
Dès 1977, Jacques Thyraud, rapporteur au nom de la Commission des lois sur la loi Informatique et Libertés, écrivait “L’informatique [...] a introduit [...] une capacité de mémorisation considérable au point que certains peuvent craindre qu’elle ne porte atteinte à l’un des droits les plus fondamentaux de l’être humain : le droit à l’oubli“. Pour le Gouvernement, ce droit “se définit en fait essentiellement par sa finalité : il s’agit d’écarter tout risque qu’une personne soit durablement atteinte par l’utilisation, à son insu, de données la concernant, qu’elles figurent sur la toile à son initiative ou à celle d’un tiers“. Pour le législateur, le droit à l’oubli se fond avec le droit à la suppression des données. Et comme toujours, la justice ayant horreur du vide, il revient à la jurisprudence de préciser les choses.
Ainsi, “si l’oubli procédait jadis des faiblesses de la mémoire humaine, de sorte qu’il n’y avait pas à consacrer un droit à l’oubli, la nature y pourvoyant, la société numérique, la libre accessibilité des informations sur Internet, et les capacités sans limites des moteurs de recherche changent considérablement la donne et justifient pleinement qu’un tel droit soit aujourd’hui revendiqué, non comme un privilège qui s’opposerait à la liberté d’information, mais comme un droit élémentaire à l’heure de la société de conservation et d’archivage numérique sans limite de toute donnée personnelle, et de l’accessibilité immédiate et globalisée à l’information, qui caractérisent les technologies contemporaines et la fascinante insouciance qu’elles suscitent“, et d’ajouter que “le droit à l’oubli, contrairement à ce que soutient le demandeur, n’a aucune reconnaissance légale et ne saurait prévaloir sur le droit du public à l’information exhaustive et objective comme au cas d’espèce“.
Pour la CNIL, il “est inacceptable et dangereux que l’information mise en ligne sur une personne ait vocation à demeurer fixe et intangible, alors que la nature humaine implique, précisément, que les individus changent, se contredisent, bref, évoluent tout naturellement“. La nature humaine n’implique donc par la mort. Le droit à l’oubli numérique doit donc permettre, dans le temps, simplement de “changer de vie“.
Et l’“Habeas corpus numérique“ annoncé, le 6 février 2012, par le candidat Hollande à l’occasion de son discours de campagne consacré à la justice, maintes fois repris par Fleur Pellerin, alors ministre chargée des PME et de l’Économie numérique, puis par sa remplaçante Axelle Lemaire, est toujours attendu et ne sera pas, c’est certain, examiné avant la fin de l’année. Au mieux est-il espéré pour le printemps 2015 sous la forme d’un “Habeas data“, c’est-à-dire la “consécration de droits constitutionnels numériques, sous la forme d’une charte constitutionnelle (habeas data) prenant acte de l’obsolescence du bloc de constitutionnalité actuel face aux réseaux numériques“.
Mais, au train d’enfer où vont les choses, la génération née sous Giscard avec la loi Informatique et Libertés n’aura plus la mort aux trousses informatiques depuis longtemps. La mort, elle, n’attend pas que le monde, que l’Union européenne et que la France et sa commission numérique, ensemble ou séparément, parviennent à un consensus sur la définition d’un statut juridique de la donnée (et donc notamment de la composition de l’identité numérique), bien incorporel auquel peuvent s’attacher un peu de droit de propriété, un peu de droit de la propriété intellectuelle, un peu de droit à l’image, un peu de patrimoine immatériel.
La France est l’un des rares pays à ne pas encore admettre la transmission des droits de la personnalité après le décès de leur titulaire. Alors, dans l’attente d’une mort certaine dont le terme est inconnu, il est important de penser de son vivant au respect de sa mort privée, à moins de ne vouloir devenir une sorte de mort-vivant des temps modernes. Car il est une évidence qu’une fois mort (le plus souvent par surprise) et enterré ou réduit en cendres, il est bien impossible à l’être doté d’une ou plusieurs identités numériques de gérer ou faire gérer ladite ou lesdites identités, de supprimer ses boîtes aux lettres électroniques, ses comptes Facebook et autres LinkedIn, Twitter, Viadeo, Snapchat, Instagram, eBay, PayPal, Apple, Amazon, FNAC...
Ainsi, comme on peut le lire dans le récent rapport du Conseil d’État précité : “Les sites de partage de photographies, les réseaux sociaux ou les messageries électroniques constituent aujourd’hui des réceptacles pour les souvenirs des individus et il est légitime pour ces derniers de s’opposer à un effacement systématique. La question se pose même de la conservation des données après le décès de la personne concernée et des droits qu’ont ses proches sur ces données. La loi du 6 janvier 1978 est aujourd’hui muette à ce sujet, seule la personne concernée ayant des droits sur ses données. Si cette question n’est pour l’instant à l’origine que de peu de litiges, en raison du caractère récent des usages numériques, elle devrait se poser avec une fréquence croissante dans les années à venir. La CNIL a décidé d’inscrire cette question à son programme de travail depuis 2014.“
Preuve que le législateur n’a jamais pris en compte la mort numérique, comme le reconnaît implicitement la CNIL dans une adresse publiée sur Internet à l’occasion du 1er novembre 2014, en indiquant que : “Le droit des contrats ainsi que le droit des successions devront sans doute évoluer pour répondre à ces nouveaux besoins exprimés par les utilisateurs, et anticiper la problématique de la mort en ligne.“
Pourtant de manière étonnante, malgré l’invitation de la CNIL, le projet de loi sur le numérique actuellement examiné au Parlement ne prévoit pas dans son art. 32 de dispositions propres ni en termes de droit des contrats, ni en termes de droit des successions. Au mieux, à ce stade de l’examen du texte, l’internaute pourra donner à un tiers, de son vivant, des directives concernant ses données personnelles, directives limitée à la “conservation, à l'effacement et à la communication de ses données à caractère personnel après son décès“.
Aujourd’hui comme demain, il existe peu de moyens de se protéger, chaque internaute doit mettre en place de son vivant un processus de gestion, de diffusion, de protection et de transmission de ses données afin qu’au-delà de cette vie terrestre ses héritiers soient en mesure de maîtriser les données de leur propre passé.
Stéphan Denoyes
Avocat aux barreaux de Paris et de Lyon
Stéphan Denoyes, avocat à la Cour, dirige la société Éponyme. Inscrit aux barreaux de Paris et de Lyon, il a été collaborateur de ministres et d'élus locaux (maires, président de conseil général) et conseiller parlementaire de députés. Le cabinet assure :
|
Suivez-nous sur les réseaux sociaux :