Le 7 octobre 2016, la France s'est dotée d'une loi dite « pour une République numérique » (LOI n° 2016-1321).
Cette loi a l'ambition de préparer le pays aux enjeux de la transition numérique et tend à permettre de développer l’économie de demain.
Elle envisage notamment de nouveaux droits au profit des internautes et des consommateurs.
Selon la loi, les droits sur les données à caractère personnel sur internet s'éteignent au décès de leur titulaire.
Toutefois, toute personne peut définir des directives relatives à la conservation, à l'effacement et à la communication de ses données à caractère personnel après son décès.
Ainsi la loi prévoit que tous les sites internet doivent informer leurs utilisateurs du sort des données qui les concernent à leur décès et leur permettent de choisir de communiquer ou non leurs données à un tiers qu'ils désignent.
Ces directives sont générales ou particulières.
Les directives générales concernent l'ensemble des données à caractère personnel se rapportant à la personne concernée et peuvent être enregistrées auprès d'un tiers de confiance numérique certifié par la Commission nationale de l'informatique et des libertés.
Les références des directives générales et le tiers de confiance auprès duquel elles sont enregistrées et sont inscrites dans un registre unique.
Les directives particulières concernent les traitements de données à caractère personnel mentionnées par ces directives.
Elles sont enregistrées auprès des responsables de traitement concernés.
Elles font l'objet du consentement spécifique de la personne concernée et ne peuvent résulter de la seule approbation par celle-ci des conditions générales d'utilisation.
Les directives générales et particulières définissent la manière dont la personne entend que soient exercés, après son décès, ses droits sur internet.
Le respect de ces directives est sans préjudice des dispositions applicables aux archives publiques comportant des données à caractère personnel.
La personne peut modifier ou révoquer ses directives à tout moment.
Les directives peuvent aussi désigner une personne chargée de leur exécution.
Celle-ci a alors qualité, lorsque la personne est décédée, pour prendre connaissance des directives et demander leur mise en œuvre aux responsables des sites internet concernés.
A défaut de désignation ou, sauf directive contraire, en cas de décès de la personne désignée, ses héritiers ont qualité pour prendre connaissance des directives au décès de leur auteur et demander leur mise en œuvre aux responsables des sites internet concernés.
Toute clause contractuelle des conditions générales d'utilisation d'un site internet portant sur des données à caractère personnel limitant les prérogatives reconnues à la personne en vertu du présent article est réputée non écrite.
En l'absence de directives ou de mention contraire dans lesdites directives, les héritiers de la personne concernée peuvent exercer, après son décès, les droits précités dans la mesure nécessaire :
- à l'organisation et au règlement de la succession du défunt : à ce titre, les héritiers peuvent accéder aux traitements de données à caractère personnel qui le concernent afin d'identifier et d'obtenir communication des informations utiles à la liquidation et au partage de la succession. Ils peuvent aussi recevoir communication des biens numériques ou des données s'apparentant à des souvenirs de famille, transmissibles aux héritiers ;
- à la prise en compte de son décès par les sites internet : à ce titre, les héritiers peuvent faire procéder à la clôture des comptes utilisateurs du défunt, s'opposer à la poursuite des traitements de données à caractère personnel le concernant ou faire procéder à leur mise à jour.
Lorsque les héritiers en font la demande, le responsable du site internet doit justifier, sans frais pour le demandeur, qu'il a procédé aux opérations exigées.
Les désaccords entre héritiers sur l'exercice des droits sont portés devant le tribunal de grande instance compétent.
Lorsqu'un site internet ne respecte pas ses obligations légales, le président de la Commission nationale de l'informatique et des libertés (CNIL) peut le mettre en demeure de faire cesser le manquement constaté dans un délai qu'il fixe.
En cas d'extrême urgence, ce délai peut être ramené à vingt-quatre heures.
Si le site internet ne se conforme pas à la mise en demeure qui lui est adressée, la formation restreinte de la CNIL peut prononcer, après une procédure contradictoire, les sanctions suivantes :
- Un avertissement ;
- Une sanction pécuniaire ;
- Une injonction de cesser le traitement.
Toutefois, lorsque le manquement constaté ne peut faire l'objet d'une mise en conformité dans le cadre d'une mise en demeure, la formation restreinte de la CNIL peut prononcer des sanctions, sans mise en demeure préalable, après une procédure contradictoire.
Le montant de la sanction pécuniaire doit être proportionné à la gravité du manquement commis et aux avantages tirés de ce manquement.
La formation restreinte de la Commission nationale de l'informatique et des libertés peut ainsi prendre en compte, notamment :
- le caractère intentionnel ou de négligence du manquement ;
- les mesures prises par le responsable du traitement pour atténuer les dommages subis par les personnes concernées ;
- le degré de coopération avec la commission afin de remédier au manquement et d'atténuer ses effets négatifs éventuels ;
- les catégories de données à caractère personnel concernées ;
- et la manière dont le manquement a été porté à la connaissance de la commission ;
Le montant de la sanction ne peut excéder 3 millions d'euros.
On est donc loin des 20 millions d'euros de sanction prévus par le droit européen en cas de violation de la protection des personnes physiques à l'égard du traitement des données à caractère personnel.
Je suis à votre disposition pour toutes informations et actions en cliquant sur "Services" en haut de page.
Anthony Bem
Avocat à la Cour
27 bd Malesherbes - 75008 Paris
01 40 26 25 01
abem@cabinetbem.com
