Avec la multitude de protections et de droits renforcés introduits pour les individus en ce qui concerne la protection de leurs données personnelles, une approche prudente est devenue courante pour les organisations qui effectuent des traitements de données et envisagent la propriété des données. Ainsi, des questions ont été soulevées sur ce qu’il advient de ces données lorsqu’un individu est décédé, où des difficultés peuvent survenir pour accorder ces droits et protections.
Contrats et solutions en service – des testaments numériques ?
Google et Facebook ont mis en place des outils techniques « d’héritage », qui permettent aux utilisateurs de choisir de supprimer ou de transférer des actifs numériques après leur décès. Ces outils ont l’avantage d’offrir un contrôle post-mortem sur les données personnelles et les actifs numériques aux utilisateurs qui ne feront peut-être jamais de testament, ainsi qu’un accès facile aux bénéficiaires désignés, mais ils peuvent également affecter le processus traditionnel d’administration des successions.
En 2013, Google a introduit le gestionnaire de compte inactif (« IAM »), qui permet aux utilisateurs de partager « certaines parties des données de leur compte, ou d’avertir quelqu’un s’ils ont été inactifs pendant une certaine période ». L’utilisateur peut désigner des contacts de confiance pour recevoir des données si l’utilisateur a été inactif pendant une période choisie (de trois à 18 mois). Les contacts de confiance sont, après vérification de leur identité, autorisés à télécharger les données que l’utilisateur leur a laissées (par exemple, des photos, des fichiers dans Google Drive, des e-mails, etc.) L’utilisateur peut également décider de n’informer que ces contacts de l’inactivité, et de faire ensuite supprimer toutes les données.
De même, la solution proposée par Facebook dans ses conditions d’utilisation et sa politique de confidentialité prévoit trois grandes options pour le traitement des biens présents sur son site (posts, photos, vidéos, etc.) :
- la mémorisation ;
- la suppression ou la désactivation ;
- L’option « Legacy Contact ».
La mémorisation a pour effet d’empêcher toute personne de se connecter au compte, même si elle possède des informations de connexion et un mot de passe valides. Tout utilisateur peut envoyer un message privé à un compte commémoré. Le contenu que le défunt a partagé, de son vivant, reste visible pour les personnes avec lesquelles il a été partagé (les paramètres de confidentialité restent inchangés). En fonction des paramètres de confidentialité, les amis confirmés peuvent toujours publier des messages sur la timeline du défunt. Les comptes qui sont commémorés n’apparaissent plus dans les suggestions « personnes que vous connaissez peut-être » ou dans d’autres suggestions et notifications. La mémorialisation empêche le marquage du défunt dans les futures publications Facebook, les photographies ou tout autre contenu. Facebook offre la possibilité de supprimer le compte d’une personne décédée, mais avec des déclarations très générales et des critères vagues. L’option n’est disponible que pour les « membres de la famille immédiate vérifiés » ou un exécuteur testamentaire, et le lien avec la personne décédée doit être vérifié. Facebook promet seulement qu’il « traitera » ces demandes, sans donner une promesse ferme de satisfaire les demandes spéciales.
Depuis février 2015, Facebook permet à ses utilisateurs de désigner un ami ou un membre de leur famille comme contact privilégié, qui s’apparente à un « exécuteur testamentaire de Facebook » et qui peut gérer leur compte après leur décès. Le contact privilégié dispose d’un nombre limité d’options : rédiger un message qui sera affiché en haut de la ligne de temps commémorative, répondre aux demandes de nouveaux amis et mettre à jour la photo de profil et la photo de couverture d’un utilisateur décédé. En outre, un utilisateur « peut donner à son contact héréditaire la permission de télécharger une archive des photos, des publications et des informations de profil qu’il a partagées sur Facebook ». Le contact héréditaire ne pourra pas se connecter au compte ni voir les messages privés du défunt. Tous les autres paramètres resteront les mêmes qu’avant la mémorisation du compte. Enfin, une option est prévue qui permet à l’utilisateur de supprimer définitivement son compte après son décès.
En avril 2019, Facebook a introduit une section « hommage », dans le but de recalibrer la mémorialisation et de doter le contact Legacy de certains nouveaux pouvoirs. La partie hommage du profil du défunt coexiste avec sa timeline. Le contact pour l’héritage peut modifier la visibilité de l’hommage et le modérer de diverses manières. Facebook a également modifié sa politique pour permettre aux parents qui ont perdu des enfants mineurs de demander à devenir leur contact privilégié.
Le principal problème de ces outils est que leurs dispositions peuvent entrer en conflit avec un testament (éventuellement rédigé plus tard dans la vie) ou les règles de la succession ab intestat. Par exemple, un ami peut être bénéficiaire de Google IAM, mais il ne sera pas l’héritier qui héritera des droits d’auteur sur les photos du défunt. Je trouve personnellement que les conditions de service sont aussi intrinsèquement contradictoires, et que les fournisseurs de services doivent faire plus d’efforts pour les clarifier et les rendre plus solides et cohérents. Enfin, à mon avis, il y a un manque de transparence, car je ne trouve aucune indication sur la manière dont les Britanniques et les autres consommateurs utilisent ces services et dans quelle mesure.
Vie privée post mortem et protection des données
Une question distincte concernant l’héritage numérique est l’identité numérique post-mortem, c’est-à-dire la protection des données personnelles du défunt27. En général, le droit britannique, comme de nombreux systèmes juridiques, ne protège pas la vie privée post-mortem. Les protections de la personnalité et de la vie privée accordées par l’abus de confiance, la protection des données et la diffamation, toutes ne s’appliquent pas au défunt en droit britannique28. En droit anglais, le principe est traditionnellement actio personalis moritur cum persona, ce qui signifie que les causes d’action personnelles meurent avec la personne (voir Baker v. Bolton)29. Ce principe a été révisé par la législation dans de nombreux contextes, principalement pour des raisons de politique sociale, mais il persiste en ce qui concerne la vie privée et la protection des données. Des lois similaires s’appliquent également aux États américains et à de nombreux pays européens.
Les règles relatives à la protection des données et de la vie privée ont également beaucoup suivi cette ligne. En général, l’article 8 de la Convention européenne des droits de l’homme ne s’applique, comme les autres droits de l’homme, qu’aux personnes vivantes (à quelques exceptions près), et le règlement général sur la protection des données (règlement (UE) 2016/679) (« RGPD ») protège les données à caractère personnel des « personnes physiques », ou des personnes vivantes32. Le considérant 27 du GDPR permet aux États membres d’introduire une sorte de protection des données des défunts, et certains États membres ont déjà prévu cette protection (par exemple, la France, la Hongrie et l’Espagne).
En France, l’article 63(2) du projet de loi pour une République numérique 2016 stipule que toute personne peut définir des directives générales ou spécifiques pour la conservation, l’effacement et la communication de ses données personnelles après sa mort. Ces directives seraient enregistrées auprès d’un tiers certifié (pour les directives générales) ou auprès du prestataire de services qui détient les données (par exemple Facebook et Google comme expliqué ci-dessus). Cette solution favorise donc le respect de la vie privée post-mortem. Dans une affaire française récente, le Tribunal de grande instance de Paris (« le Tribunal ») s’est prononcé sur les dispositions des conditions de service de Facebook.
Conclusion
Ce qui est commun à la plupart des actifs numériques, c’est qu’ils comprennent une myriade de relations juridiques, qui se manifestent différemment selon les actifs.
Par exemple :
- le droit d’auteur pourrait être plus important dans un actif qui comprend un certain nombre de photographies, de poèmes ou d’histoires ;
- la propriété peut être en cause pour les bibliothèques musicales ou les jeux ; et
- la vie privée post-mortem est une préoccupation plus évidente pour les biens qui sont intrinsèquement liés à une personne.
Tous ces actifs sont régis principalement par des contrats d’intermédiaire, et l’absence de lois et de réglementation donne la prévalence aux dispositions contractuelles dans de nombreux pays.
Des solutions innovantes ont été trouvées dans des pays comme la France, mais il reste encore du travail à faire pour les mettre en pratique et les tester au fur et à mesure que la technologie se développe. D’autres pays, comme le Royaume-Uni, ont encore un long chemin à parcourir, et il est donc important que les législateurs et les régulateurs britanniques suivent les bons exemples et clarifient ce domaine confus. Une réforme législative globale au niveau de l’UE pourrait également être une bonne solution, car elle pourrait permettre d’harmoniser tous les différents domaines du droit dans les États membres et de les clarifier pour les fournisseurs de services et les utilisateurs dans l’UE. Toutefois, cette tentative se heurterait au problème des compétences de l’UE dans les domaines du droit des successions, de la propriété et des contrats, par exemple. Il est également assez irréaliste d’espérer des modifications du GDPR qui prévoiraient une protection harmonisée des données du défunt dans un avenir proche. La technologie est l’une des solutions, mais là encore, les options innovantes des prestataires de services peuvent ne pas être suivies de réformes législatives, et entrent souvent en conflit avec certains principes juridiques anciens du droit des successions, de la propriété intellectuelle, de la vie privée ou de la propriété.