Les faits

CE 10ème – 9ème chambres réunies, 7 juin 2017 N° 399446

À la suite d’un accident de circulation, une procédure judiciaire a été engagée afin de déterminer la réparation du préjudice subi par Mme B…, laquelle est entre-temps décédée. Son fils, a demandé à la mutuelle, de lui donner accès aux traitements informatisés concernant les suites de cet accident et comportant des informations concernant sa mère, sa sœur ou lui-même. La mutuelle lui a transmis un tableau résumant la teneur des courriers, courriels et appels téléphoniques relatifs à ce sinistre.

M. B… estimant qu’il n’avait pas été répondu à sa demande a adressé une plainte auprès de la CNIL. Cette dernière a clôturé la plainte au motif que le droit d’accès conféré aux personnes physiques par la Loi Informatique et Libertés est un droit personnel limité à la « personne concernée » et qui ne se transmet pas aux héritiers. M. B… demande l’annulation de cette décision devant le Conseil d’État.

La décision

Le Conseil d’État relève en premier lieu que « la seule qualité d’ayant droit d’une personne à laquelle se rapportent des données ne confère pas la qualité de « personne concernée«  permettant l’exercice du droit d’accès ». Ceci est dans la droite ligne de la précédente décision prise presqu’exactement un an auparavant, le 8 juin 2016, par le Conseil d’État (voir notre article  Le droit d’accès aux données personnelles d’une personne décédée)

Le Conseil d’État indique ensuite qu’il en va différemment en cas d’action en réparation du préjudice. Sur le fondement du premier alinéa de l’article 724 du Code civil, selon lequel « Les héritiers désignés par la loi sont saisis de plein droit des biens, droits et actions du défunt » le Conseil d’État rappelle que « lorsque la victime d’un dommage décède, son droit à la réparation de ce dommage, entré dans son patrimoine, est transmis à ses héritiers ».

Par suite, lorsque la victime a engagé une action en réparation avant son décès ou lorsque ses héritiers ont ultérieurement eux-mêmes engagé une telle action, ces derniers doivent être regardés comme des « personnes concernées » au titre la loi du 6 janvier 1978 pour l’exercice de leur droit d’accès aux données à caractère personnel concernant le défunt. Cependant ce droit d’accès n’est effectif que « dans la mesure nécessaire à l’établissement du préjudice que ce dernier a subi en vue de sa réparation et pour les seuls besoins de l’instance engagée ».

Le Conseil d’État a donc annulé la décision de la CNIL

Perspectives et enjeux

Le nouveau Règlement européen, RGPD, ne s’applique pas aux données de personnes décédées et ne devrait donc pas influer sur cette jurisprudence. Il renvoi sur cette question à la règlementation des États membres.

La loi pour une République numérique a modifié la Loi Informatique et Libertés en prévoyant à l’article 40-1 que la personne concernée peut donner des « directives relatives à la conservation, à l’effacement et à la communication de ses données à caractère personnel après son décès ».  La loi prévoit aussi qu’ « en l’absence de directives données de son vivant par la personne décédée, les héritiers auront la possibilité d’exercer certains droits ». (voir notre article Loi numérique : modification de la loi informatique et libertés)

Comme nous l’évoquions déjà, en dehors de la transmission du droit à réparation, d’autres situations peuvent se présenter dans lesquelles il y aurait un intérêt légitime à ce que les droits d’accès, de rectification ou d’effacement, d’une personne décédée soient transférés aux ayants-droits (par exemple des informations génétiques ou médicales, peuvent être d’une importance vitale pour les héritiers). Gageons que cet arrêt n’a pas épuisé le sujet.
Contact : stephanie.faber@squirepb.com