Conseil d’Etat 7 juin 2017, 10e et 9e ch. réunies, déc. n° 399446

Par un arrêt du 8 juin 2016, le Conseil d’Etat refusait aux héritiers la possibilité d’exercer le droit d’accès aux données d’une personne décédée, rappelant que ce droit était réservé à la « personne concernée », qualité dont les héritiers ne peuvent se prévaloir du simple fait de leur statut d’ayant droit. Tout juste un an après, le 7 juin 2017, le Conseil d’Etat a toutefois admis que, dans le cadre d’une action en réparation concernant la personne défunte, les héritiers pouvaient être regardés comme la « personne concernée » et demander ainsi l’accès à certaines de ses données.

En l’espèce, la victime d’un accident de la route était décédée après avoir engagé une action en justice aux fins d’obtenir la réparation de ses préjudices. L’un des héritiers, son fils, s’était alors engagé dans la poursuite de la procédure. Dans ce cadre, il avait demandé à la compagnie d’assurance de la défunte de lui donner accès aux données personnelles se rapportant à l’accident et concernant sa mère, lui-même ainsi que sa sœur. Estimant que la compagnie d’assurance n’avait pas entièrement satisfait à sa demande, il a adressé une plainte à la CNIL, qui a refusé de faire droit à sa demande au motif que le droit d’accès ne peut être exercé par un héritier.

Saisi d’un recours contre la décision de la CNIL, le Conseil d’Etat a tout d’abord rappelé le principe exprimé dans son arrêt de 2016. Toutefois, la haute juridiction a estimé que cette règle n’avait pas vocation à s’appliquer de la même manière dans le cadre d’une action en réparation des préjudices subis par la personne décédée.

En effet, le droit à réparation de la victime se transmet aux héritiers en application de l’article 724 du Code civil. Ceux-ci ont alors la possibilité de poursuivre, voire même d’engager, une action en justice à ce titre. Le Conseil d’Etat considère donc que les héritiers doivent en l’espèce être regardés comme les « personnes concernées » pour l’exercice du droit d'accès aux données concernant la défunte, mais seulement dans la mesure nécessaire à l'établissement du préjudice subi par celle-ci et pour les seuls besoins de l'instance engagée. Cette solution se comprend car il ne s’agissait pas ici d’une action intentée dans l’intérêt personnel des héritiers, ces derniers agissant au contraire en tant que continuateurs de la personne de la défunte qui, de son vivant, aurait pu demander l’accès à ses données.

Cet arrêt concerne des faits antérieurs au nouvel article 40-1 de la loi informatique et libertés permettant à une personne de définir des directives générales et particulières relatives au sort de ses données personnelles après sa mort. A défaut de désignation contraire, les héritiers seront chargés de l’exécution de ces directives et auront notamment la possibilité de demander l’accès aux différents traitements concernant la personne défunte, aux fins d’organisation et de règlement de la succession. En outre, ils pourront « recevoir communication des biens numériques ou des données s’apparentant à des souvenirs de famille, transmissibles aux héritiers ».

Cependant, les décrets d’application n’ont pas encore été publiés. D’autre part, l’on peut se demander si cet article survivra à l’entrée en application du RGPD qui ne prévoit pas de dispositif similaire (alors même que l’idée avait été évoquée, puis abandonnée lors de la négociation de ce texte).