La loi "pour une République numérique" du 7 octobre 2016 apporte un grand nombre de nouveautés dans toutes sortes de domaines, et notamment sur les questions purement numériques du droit à l'oubli numérique pour les mineurs et de ce qui a été nommé par commodité "mort numérique". 

1. Le contexte législatif

La loi "pour une République numérique" du 7 octobre 2016 apporte un grand nombre de nouveautés dans toutes sortes de domaines. Témoin : les nouvelles dispositions pour le droit à l'image des œuvres d'architecte et des sculptures exposées dans un lieu public.

Nous évoquons ici les questions purement numériques du droit à l'oubli numérique pour les mineurs, et de ce qui a été nommé par commodité « mort numérique ».

Ces deux dispositifs, relevant de la réglementation des données à caractère personnel, ont été intégrés à la loi du 6 janvier 1978 modifiée, relative à l'informatique, aux fichiers et aux libertés (articles 40, point II et 40-1 nouveaux).

2. Un droit à l’oubli spécifique pour les mineurs

  • La règle de base

On connaît l'inconscience des adolescents prompts à « partager » sur les réseaux sociaux toutes sortes d'informations les concernant ou concernant leurs amis ou ennemis, afin d'en faire profiter leur entourage, sans se rendre compte que ces informations sont visibles de la planète entière. C'est donc dans un souci de protection des mineurs, même au-delà de leur minorité, que se place la législation française, à l'instar de la loi californienne en vigueur depuis le 1er janvier 2015 et instituant une sorte de « droit au regret » selon la belle expression de Thierry Noisette de notre confrère ZDNet. Il s'agit donc de permettre à un jeune, notamment devenu majeur, de faire jouer un droit à l'effacement d'informations qu'il juge après coup gênantes.

L'article 40-II alinéa 1er de la loi Informatique, fichiers et libertés dispose à présent : « Sur demande de la personne concernée, le responsable du traitement est tenu d'effacer dans les meilleurs délais les données à caractère personnel qui ont été collectées dans le cadre de l'offre de services de la société de l'information lorsque la personne concernée était mineure au moment de la collecte ».

Quelques observations sur le périmètre de cette disposition :

  1. La loi couvre toute donnée « collectée » ; peu importe que ce soit le mineur qui l'ait publiée ou un tiers mineur ou majeur. Ce qui assure une protection maximum.
  2. La loi n'impose pas que le mineur soit devenu majeur, mais seulement qu'il ait été mineur à l'époque de la collecte ; peu importe qu'il le soit encore. Dans ce cas, l'autorité parentale demandera l'effacement.
  3. Une difficulté se posera inévitablement – à laquelle Les Infostratèges ont déjà été confrontés pour un client – : celle d'apporter la preuve de la minorité de l'intéressé au moment où les données (nom, prénom, mais surtout, faits, images…) ont été publiées.
  • Délais et recours possible

L'alinéa 2 du même article précise qu'en cas de non-exécution de l'effacement des données, ou en cas de non-réponse à une demande de suppression, sous un délai d'un mois à compter de la demande, l'intéressé pourra saisir la Cnil qui disposera alors de trois mois à compter du moment où elle est saisie pour statuer.

  • Des limites au droit à l'effacement

Le même article 40-II dispose enfin (al.3) que ce droit à l'effacement ne joue pas dans les cas suivants :

  • exercice du droit à la liberté d'expression et d'information ;
  • respect d'une obligation légale de collecte (hypothèse classique d'un procès-verbal de police constatant une infraction commise par un mineur) ;
  • motifs d'intérêt public dans le cadre de la santé ;
  • finalités archivistiques, de recherche scientifique ou historique et de statistiques ;
  • constatation, exercice ou défense de droits en justice.

Dans cette série d'exceptions, assez courante, le premier point, celui de la liberté d'expression et d'information va devenir sans aucun doute le nid à contentieux dans l'application de cette disposition. Si la liberté d'expression et d'information est un des droits de l'homme garanti par de nombreuses déclarations (notre Déclaration des droits de l'homme et du citoyen de 1789, Déclaration universelle de l'Onu de 1948 et Convention de sauvegarde des droits de l'homme et des libertés fondamentales du Conseil de l'Europe de 1950), l'usage qui en est fait peut mettre gravement en échec les droits individuels de chacun à refuser que des données strictement personnelles soient étalées au vu et au su de tous, au nom de la liberté d'information du public.

Il ne s'agit pas d'une hypothèse d'école : nous rencontrons régulièrement ces difficultés pour protéger l'image d'une personne qui aurait par exemple été mêlée à une affaire judiciaire (sans même parler de condamnation) : les décisions de justice doivent être anonymisées sur internet, mais pas les articles de presse ayant couvert l'événement pour satisfaire à l'information du public… éternellement sur internet. Il risque d'en être de même pour des données sur les mineurs si l'on invoque à tout propos l'intérêt du public à rester informé…

3. Le dispositif de mort numérique

  • L'enjeu

Avec le développement du numérique, spécialement depuis que chacun peut créer ses propres sites, pages et comptes sur les réseaux sociaux, nombreux sont les individus à être ainsi présents un peu partout sur le net. Mais que se passe-t-il si ces personnes viennent à décéder ? Nul n'avait pensé juridiquement à cette question dans les premiers temps du web et c'est seulement depuis une petite décennie que la question se pose sous cet angle.

Des dispositions fleurissent ainsi dans divers pays ; la France n'est pas en reste, suivant en cela les prescriptions du Règlement général sur la protection des données de mai 2016, qui entrera pleinement en vigueur le 25 mai 2018.

  • Des directives pour après sa mort ou "cybertestament"

Un article 40-1 est ajouté dans la loi Informatique, fichiers et libertés pour définir ce qu'il adviendra des données propres à une personne physique après son décès.

Le principe est que les droits à la protection des données (droits d'opposition, d'accès, de rectification et de suppression – articles 38, 39 et 40 de la loi) deviennent caducs à la mort de l'intéressé (article 40-1, I). Toutefois, la personne « peut définir des directives relatives à la conservation, à l'effacement et à la communication de ses données à caractère personnel après son décès », directives qui peuvent être générales ou particulières (article 40-1, II, al 1er). Ces directives aménagent la manière dont les droits à la protection des données seront gérés après la mort de l'intéressé (même article, al.4). Ce dernier peut les modifier ou les révoquer à tout moment (al.6). Tout comme pour un testament, il est possible de désigner une personne chargée de leur exécution. À défaut ce sont les héritiers légaux qui exercent ces droits (al.7).

  • Un registre unique des directives générales

Toute personne peut donc définir des directives pour l'ensemble des données la concernant sur le net qu'elle enregistrera auprès d'un tiers de confiance numérique certifié par la Cnil. L'existence de ces directives et le tiers de confiance qui les a recueillies seront consignés dans un registre unique dont l'organisation sera définie par un décret en Conseil d'État, attendu pour mars 2017 (même article, al.2). Le système fonctionne donc comme le fichier national des testaments qui enregistre toutes les dispositions testamentaires déposées devant notaire (ici tiers de confiance). Comme l'adjectif « générales » le suggère, il s'agit là de directives qui vaudront pour toute donnée personnelle qui resterait en ligne après la mort de l'intéressé.

  • Les responsables des traitements gardiens des directives particulières

Les « directives particulières », elles, ne visent que certains types de traitements (par exemple mon compte Facebook). Il appartient dans ce cas aux responsables des traitements (ici Facebook) d'enregistrer ces directives et bien sûr de les respecter en cas de décès.

  • En l'absence de directives...

Le III de l'article 40-1 précise que dans ce cas les héritiers du défunt peuvent exercer les droits à sa place, dans la limite des besoins de liquidation de la succession, mais aussi pour prendre en compte ce décès sur internet, par exemple demander la mise à jour des informations ou s'opposer à leur maintien en ligne.

  • Obligation d'information des prestataires

Le IV du même article 40-1 précise que tout prestataire « informe l'utilisateur du sort des données qui le concernent à son décès et lui permet de choisir de communiquer ou non ses données à un tiers qu'il désigne ». On devrait donc voir apparaître sur tous les réseaux sociaux et plateformes de blogs une rubrique d'information et de choix sur le devenir de ses propres données et créations.

4. Sanctions

Ce sont logiquement les sanctions de la loi Informatique, fichiers et libertés qui s'appliquent : sanctions de la Cnil : articles 45 à 49 bis de la loi ; sanctions pénales des articles 50 à 52, code pénal : articles 226-16 à 24 (5 ans de prison et 300 000 € d'amende) et articles R.625-10 à 13 (1500 € d'amende).