1. Aux termes de l’article 39 4° de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés :
I.-Toute personne physique justifiant de son identité a le droit d’interroger le responsable d’un traitement de données à caractère personnel en vue d’obtenir :
[…]
4° La communication, sous une forme accessible, des données à caractère personnel qui la concernent ainsi que de toute information disponible quant à l’origine de celles-ci ;
Par une décision de chambre réunies du 8 juin 2016 (Conseil d’Etat, CHR., 8 juin 2016, requête numéro 386525, publié au recueil) le Conseil d’Etat précise que le droit à communication ne s’étend pas aux ayants droits de la personne.
2. Les ayants droits de Madame E. souhaitaient avoir communication, par son dernier employeur la Banque de France, de ses relevés téléphoniques afin semble-t-il de démontrer l’existence de relations téléphoniques avec le corps médical avant son décès.
Se voyant opposer un refus par la Banque de France, les ayants droits ont saisi la CNIL d’une « plainte » comme le prévoit l’article 11 de la loi de 1978 sur l’informatique et les libertés.
La présidente de la CNIL adopta une décision de rejet, soumise à la censure du juge administratif.
Le Conseil d’Etat juge, après avoir rappelé les termes de l’article 39 4°
qu’il résulte de ces dispositions qu’elles ne prévoient la communication des données à caractère personnel qu’à la personne concernée par ces données ; qu’il suit de là que c’est à bon droit que la présidente de la CNIL, qui avait reçu délégation pour prendre la décision attaquée, a confirmé le refus opposé par la Banque de France à Mme et MMD…, qui ne pouvaient, en leur seule qualité d’ayants droit, être regardés comme des » personnes concernées «
3. Par une décision du 29 juin 2011 (Conseil d’Etat, SSR., 29 juin 2011, Ministre du Budget, requête numéro 339147, mentionnée aux tables), le Conseil d’Etat avait déjà eu à connaître d’une demande de communication faite par les ayants droits d’une personne décédée. La demande concernait la liste des comptes bancaires faite au centre des services informatiques (cellule FICOBA) du ministère de l’économie, des finances et de l’industrie. Dans sa décision du 29 juin 2011, le Conseil d’Etat considérait les données comme communicables et donné raison au TA de Meulun qui avait ordonné leur communication en considérant
qu’en jugeant, pour annuler la décision implicite de l’administration rejetant la demande des consorts A, que ceux-ci devaient être regardés, en leur qualité d’ayants droit héritant des soldes des comptes bancaires de leur tante, comme des personnes concernées au sens de l’article 39 de la loi du 6 janvier 1978, et bénéficiaient, sur ce fondement, de la possibilité d’accès qu’il prévoit, le tribunal administratif de Melun n’a pas commis d’erreur de droit
La différence entre les deux espèces tient au fait que dans la décision du 29 juin 2011, les ayants droits avaient un intérêt direct à l’accès à la liste des comptes bancaires. Dans l’espèce du 8 juin 2016, les données téléphoniques de la personne décédée n’avaient pas de lien direct avec les droits patrimoniaux des ayants droits.
4. La distinction entre les deux espèces peut être techniquement comprise.
Dans l’affaire de 2011, les héritiers avaient des droits sur les comptes bancaires en qualité d’ayants droits et en demandaient la liste pour pouvoir régler la succession. Dans l’affaire de 2016, la liste des appels téléphoniques ne concernaient que les données personnelles de la personne défunte. Or le décès éteint le droit d’accès aux données personnelles, qui ne sont donc pas transmissibles. Le Conseil d’Etat a laissé la question de côté dans son rapport annuel pour 2014 « Le numérique et les droits fondamentaux ». Mais la CNIL, publiant un billet sur la « mort numérique », considérait que « La loi ne prévoit pas la transmission des droits du défunt aux héritiers : un héritier ne peut donc, sur le fondement de la loi Informatique et Libertés, avoir accès aux données d’un défunt » (https://www.cnil.fr/fr/mort-numerique-ou-eternite-virtuelle-que-deviennent-vos-donnees-apres-la-mort-0).
Les sources étaient donc ténues et l’on comprend l’importance de la décision du 8 juin 2016 dans ce contexte : c’est semble-t-il la première fois que le Conseil d’Etat se prononce clairement sur le point de la non-transmissibilité des données personnelles du défunt.
5. Si la distinction peut être techniquement comprise (même si son énoncé en des termes juridiques précis laisse à désirer), la frontière pouvant justifier la différence de traitement peut être discutée.
Il semble possible en effet que l’accès aux données téléphoniques de la personne décédée dans l’affaire de 2016 avait pour but d’établir la preuve d’une faute médicale ou de l’état de santé d’un assuré. Ces données peuvent en tout cas avoir une importance pour établir la preuve d’un droit. Les aspects patrimoniaux et, probablement, des questions d’image numérique, viendront de manière croissante troubler le personnalisation absolue du rapport entre le défunt et ses données.