📍82 Boulevard Haussmann, 75008 Paris

Demandez votre démo

Données personnelles post mortem : comment gérer les données après un décès ?

Actualités RGPD

Sommaire

La mort met fin à la vie, mais pas forcément aux données.

Dans un monde de plus en plus numérique, le décès d’une personne ne fait pas disparaître toutes les traces qu’elle laisse derrière elle : dossiers médicaux, comptes bancaires, contrats d’assurance, historiques de navigation, photos, messages ou profils en ligne.
Toutes ces informations subsistent, souvent sans que l’on sache vraiment comment les gérer.

Chaque jour, environ 8 000 utilisateurs de Facebook décèdent dans le monde, laissant une empreinte numérique considérable.
Les responsables de traitement doivent donc comprendre leurs obligations légales et éthiques concernant la gestion de ces données sensibles.
Car au-delà de la conformité juridique, la question des données post mortem touche aussi au respect de la mémoire du défunt et de ses proches.

Le RGPD ne s’applique pas aux personnes décédées : quel cadre juridique en France ?

Le Règlement général sur la protection des données (RGPD) ne s’applique qu’aux personnes vivantes.
Le considérant 27 précise en effet que le texte « ne s’applique pas aux données à caractère personnel des personnes décédées ».
Toutefois, il laisse à chaque État membre la possibilité de définir des règles nationales.

En France, la Loi pour une République numérique du 7 octobre 2016 a complété la Loi Informatique et Libertés en y ajoutant un article spécifique : l’article 85, qui encadre le traitement des données personnelles après décès.
Ce dispositif, unique en Europe, permet à toute personne de déterminer à l’avance le sort de ses données après sa mort, tout en accordant certains droits aux héritiers lorsque rien n’a été prévu.

Les directives anticipées : principe et fonctionnement

L’article 85 permet à chacun de fixer des directives relatives à la conservation, à l’effacement ou à la communication de ses données après son décès.
Ces directives garantissent un contrôle post mortem sur ses informations et assurent le respect de ses volontés.

Cet article pourrait aussi vous intéresser :Droit à l’effacement : comment traiter les demandes de suppression de données ?

Deux types de directives existent :

Les directives générales

Elles concernent l’ensemble des données personnelles.
Elles peuvent être enregistrées auprès d’un tiers de confiance numérique certifié par la CNIL, dont le nom figure dans un registre unique.
Toutefois, ce registre et le système de certification n’ont jamais été mis en œuvre par décret.
En pratique, il reste possible de déposer ses directives chez un notaire, en attendant que le dispositif soit pleinement opérationnel.

Exemple : la personne souhaite que tous ses comptes soient supprimés après son décès

Les directives particulières

Elles s’appliquent à des traitements précis.
Elles sont enregistrées directement auprès du responsable de traitement.
La loi impose un consentement explicite, distinct des conditions générales d’utilisation, afin de garantir que la personne a bien réfléchi à la gestion de ses données après son décès.

Exemple : la personne souhaite que son compte Facebook soit maintenu mais que son compte GMail soit supprimé.

Ce que peuvent prévoir les directives anticipées

Les directives anticipées peuvent définir :

  • la conservation de certaines données, pour une durée déterminée ou non ;
  • leur effacement immédiat ou différé ;
  • la communication des données à des proches ou tiers désignés ;
  • la désignation d’un exécuteur testamentaire numérique, chargé de veiller à leur application.

Ces directives peuvent être modifiées ou annulées à tout moment, pour s’adapter à l’évolution de la vie ou des technologies.

En l’absence de directives : quels droits pour les héritiers ?

Lorsque le défunt n’a pas laissé de directives, les héritiers peuvent exercer certains droits, de manière limitée:

  • accéder à des données utiles à la succession (partage, souvenirs numériques, etc.) ;
  • demander la fermeture des comptes en ligne ;
  • s’opposer à la poursuite du traitement des données du défunt ;
  • mettre à jour certaines informations (signalement du décès, par exemple).

En revanche, l’accès complet aux comptes personnels reste interdit, en raison du secret des correspondances.
Les héritiers ne peuvent consulter les messages ou contenus privés que si le défunt l’avait expressément autorisé.

Cet article pourrait aussi vous intéresser : Le droit d’accès aux données personnelles : un outil clé pour reprendre le contrôle sur sa vie numérique

Les obligations des responsables de traitement concernant les données post mortem

Les responsables de traitement (entreprises, administrations, associations) ont plusieurs obligations lorsqu’ils gèrent les données personnelles d’une personne décédée.

Obligation d’information

Les responsables de traitement doivent informer les utilisateurs du devenir de leurs données après leur décès.
Cette information doit être claire et visible (dans la politique de confidentialité, par exemple). 

Elle doit préciser :

  • comment définir des directives anticipées,
  • comment les enregistrer, modifier ou supprimer,
  • les droits des héritiers si aucune directive n’a été donnée,
  • la procédure à suivre pour exercer ces droits.

Obligation de recueillir et respecter les directives

Les utilisateurs doivent pouvoir :

  • enregistrer leurs directives en toute sécurité,
  • les modifier ou les supprimer à tout moment.

Le responsable de traitement doit ensuite respecter scrupuleusement ces directives après le décès.

Obligation de répondre aux héritiers

S’il n’existe pas de directives, les responsables de traitement doivent :

  • vérifier l’identité et la qualité d’héritier (acte de décès, certificat d’hérédité, etc.),
  • traiter les demandes dans un délai raisonnable,
  • respecter les limites légales (secret des correspondances, données sensibles).

Obligation de sécurité et de conservation

Les directives et données post mortem doivent être conservées de manière sécurisée, à l’abri de toute consultation non autorisée.

Le transfert des données post mortem

Le transfert imposé par la loi

Dans certains cas, la loi oblige le responsable de traitement à transmettre certaines données, indépendamment de la volonté du défunt ou des héritiers.

Exemples :

SecteurRègle légaleType de transfert
BanquesDéclaration automatique des comptes au FICOBA et blocage à la mort du titulaireLe transfert vers les héritiers ou cotitulaires est automatique pour régler la succession.
Assurances-vieLoi Eckert : l’assureur doit contacter les bénéficiaires identifiés dans les 15 joursTransfert automatique du capital décès aux bénéficiaires légaux.
EmployeursObligation d’informer les organismes de prévoyance pour le versement du capital décèsTransfert automatique des données nécessaires pour les démarches légales.
Établissements publics de prêt sur gageRestitution des biens mis en gage aux héritiersObligation légale de retrouver les héritiers et de restituer les biens.

Caractéristique clé :

  • L’héritier n’a rien à demander.
  • Le responsable de traitement agit par lui-même, parce que la loi l’y oblige.
  • Le transfert n’est pas facultatif ni soumis à la volonté du défunt.

Le transfert à la demande des héritiers

Dans d’autres cas, le responsable de traitement n’est pas obligé de transmettre les données automatiquement.

L’héritier doit donc faire une demande explicite pour accéder ou gérer les données. Ici, on parle de droit exercé par l’héritier (article 85 de la Loi Informatique et Libertés).

Exemples :

Type de serviceAction des héritiers
Réseaux sociaux (Facebook, Instagram, LinkedIn)Demande de transformation en page commémorative, fermeture ou récupération du compte
Messageries (Gmail, Outlook…)Demande d’accès ou de suppression des messages, sauf si un contact légataire a été désigné
Services cloud (Google Drive, iCloud…)Récupération ou suppression de fichiers
Sites de commerce (Amazon, eBay, Vinted…)Fermeture de compte ou récupération de contenu

Gestion des comptes des personnes décédées par les grandes plateformes

  • Facebook / Instagram : comptes transformés en pages mémorial, possibilité de désigner un contact légataire qui peut publier, répondre aux demandes d’amis, mettre à jour les photos.
  • LinkedIn : profil commémoratif ou fermeture du compte sur demande des proches.
  • X (Twitter) : suppression du compte sur demande avec justificatifs.
  • Google : gestionnaire de compte inactif, permet de désigner des contacts de confiance, programmer suppression ou transfert de données.
  • Microsoft / Outlook : options spécifiques pour accès à OneDrive et Outlook après décès.

Les dispositifs varient selon la plateforme, en termes de droits et de facilité d’accès.

Bonnes pratiques pour les entreprises

  1. Politique claire : définir procédures à suivre lorsqu’un client ou utilisateur décède, documents à demander aux héritiers, délais de traitement des demandes et responsables au sein de l’entreprise.
  2. Informer les utilisateurs : inclure une section dans la politique de confidentialité sur le devenir des données après décès(Possibilité de définir des directives anticipées, les modalités pratiques d’enregistrement des directives, droits des héritiers en l’absence de directives, 
  3. Faciliter l’enregistrement de directives : mécanisme simple pour enregistrer, modifier ou révoquer les directives et désigner un exécuteur.
  4. Former les équipes : service client, juridique et DPO formés au cadre légal applicable aux données post mortem et aux procédures.
  5. Documenter les traitements : enregistrer directives, conservation et réponses aux héritiers dans le registre RGPD.
  6. Vérification d’identité avant de communiquer des données ou de clôturer un compte : acte de décès, qualité d’héritier et absence de directives contraires.
  7. Respecter l’accès limité aux données sensibles : correspondances privées, données de santé, données impactant la vie privée de tiers.

Recours en cas de non-respect

  • CNIL : dépôt de plainte si directives ignorées, demandes non traitées, ou traitement illégal.
  • Recours judiciaire : si utilisation des données nuit à la réputation, à l’honneur ou cause un préjudice.
  • Protection de la vie privée des proches : action possible si diffusion de données du défunt affecte leur vie privée.

Conclusion : un devoir de mémoire… et de conformité

Les données post-mortem illustrent bien la complexité du numérique : nos traces numériques continuent d’exister, parfois bien après nous.
Pour les organismes traitant des données sensibles notamment les banques, assurances et hôpitaux il est essentiel d’adopter une approche éthique, transparente et conforme au droit français.

Le respect des volontés du défunt, la protection de la vie privée de la famille et la sécurité des systèmes d’information doivent rester au cœur des pratiques.

C’est aussi une belle occasion de renforcer la confiance numérique : car même après la mort, le respect de la donnée demeure une marque de respect de la personne.

Confiez-nous votre conformité
on saura la faire passer de 😡 à 😎
Prendre RDV maintenant
Partager le post

Articles connexes

Pauline Burgat
Pauline Burgat
Juriste spécialisée en protection des données, titulaire d’un Master 2 et d’un Master 1 en Droit du numérique. Animée par une véritable passion pour la conformité au RGPD et les enjeux liés à la protection de la vie privée.
Newsletter S'inscrire

Recevez nos derniers articles et actualités directement dans votre boîte de réception !

Votre e-mail est en sécurité 🔒. En entrant votre e-mail, vous acceptez de recevoir nos newsletter et des informations sur nos services. Vos données sont traitées conformément à notre Politique de Confidentialité et vous pouvez vous désinscrire à tout moment.