rechtstexte

8

rechtstexte 8

Protection des données personnelles de personnes décédées

rechtstexte nr. 8

Protection des données personnelles de personnes décédées

Perspectives européenne et suisse face aux enjeux de la numérisation de la société

Yann Conti

Autor*innen
Yann Conti, titulaire du brevet d’avocat, doctorant au département de droit civil de la Faculté de droit de l’Université de Genève, collaborateur scientifique à la Faculté de droit de l’Université de Zurich, yann.conti@uzh.ch. La présente contribution repose sur une base de données en matière de protection des données de personnes décédées constituée en collaboration avec M. Marko Stilinovic, docteur en droit de l’Université de Zagreb (Croatie), sans la collaboration duquel cette réflexion n’aurait pu être menée ; qu’il en soit ici chaleureusement et sincèrement remercié. L’auteur remercie également M. Valentin Conrad, juriste senior à l’École Polytechnique Fédérale de Lausanne, pour sa relecture critique de la contribution. Enfin, et surtout, l’auteur exprime sa reconnaissance à l’éditeur, le Prof. Dr. iur. Walter Boente, pour la rigueur de sa relecture et la qualité des remarques formulées, lesquelles ont contribué de manière déterminante à l’amélioration du texte. Toute erreur demeure exclusivement du fait de l’auteur. Cette contribution est d’initiative personnelle et ne représente l’avis d’aucune institution à laquelle l’auteur est affilié.
Herausgeber
Prof. Dr. iur. Walter Boente.
URL
rechtstexte.online/8
DOI
https://doi.org/10.58591/rt.8
Lizenz
Creative Commons Namensnennung 4.0 International
Zitiervorschlag
Yann Conti, Protection des données personnelles de personnes décédées – Perspectives européenne et suisse face aux enjeux de la numérisation de la société, rechtstexte nr. 8, https://doi.org/10.58591/rt.8, N.

La protection des données personnelles de personnes décédées est une thématique qui s’impose progressivement dans le contexte de la numérisation de la société. Tandis que l’élaboration d’un tel régime est désormais à l’agenda du législateur européen dans le cadre de la transformation numérique européenne, la Suisse a renoncé à introduire une disposition correspondante dans le cadre de la révision récente de sa Loi fédérale sur la protection des données. Une analyse des derniers développements au sein des droits nationaux de protection des données des Etats Membres met en évidence certains des grands enjeux qui se poseront dans la mise en œuvre d’un régime de protection des données post mortem : la nature de la titularité des droits conférés, la prise en compte de la volonté de la personne défunte exprimée de son vivant et l’exercice des droits par les survivants. Tandis qu’il est probable que l’Union européenne réglemente la problématique directement dans son droit de la protection des données, la Suisse semble, pour l’heure, préférer opter pour une solution consacrée directement dans son droit des successions, lequel est toujours en cours de révision. Le risque existe que la Suisse fasse cavalier seul sur cette question alors que la question d’une coordination avec le RGPD se posera inévitablement.

Table des matières

Introduction

Cette contribution se consacre à la protection des données personnelles1 de personnes décédées, avec un regard particulier sur les évolutions nécessaires du fait des enjeux de la numérisation de la société.

Le but d’un tel régime consiste à protéger la vie privée de la personne concernée2 au-delà de sa vie biologique. On saisit d’emblée la difficulté conceptuelle liée à une telle protection : l’absence – tant biologique que juridique – du titulaire du droit est presque un contre-sens puisqu’un régime de protection des données protège, en droit suisse, la personne physique (nécessairement vivante3) dont les informations personnelles font l’objet d’un traitement.4

Dans le contexte de la numérisation de la société, l’individu génère des quantités considérables de données personnelles sur Internet sous forme de données numériques5. Ces données continuent d’être conservées après le décès par le responsable du traitement, souvent de manière pérenne, sans que les proches survivants ne puissent intervenir ou en reprendre la maîtrise.6 La perte de contrôle, déjà notable du vivant de l’utilisateur, est accentuée au décès. Cette dégradation post mortem de la maîtrise sur les données générées conjuguée à l’accroissement spectaculaire du volume d’informations personnelles appelle ainsi une réflexion renouvelée sur la protection post mortem de la vie privée et, par extension, des données personnelles.7

L’idée d’une protection des données personnelles au-delà de la mort de la personne concernée prend progressivement corps en doctrine. La littérature juridique étrangère soutient l’idée que le défunt devrait pouvoir bénéficier, au moins dans une certaine mesure, d’une protection de sa vie privée au-delà de sa vie biologique8. Cette doctrine tend à définir la protection de la vie privée tantôt au sens étroit, comme la simple protection des données personnelles du défunt, tantôt au sens large, comme le droit d’une personne de préserver et de contrôler ce qu’il advient de sa réputation, de sa dignité, de son intégrité et ses secrets ou de sa mémoire après le décès, soit à contrôler ses « restes numériques » (« digital remains ») postérieurement au décès9, un objectif qui peut également être atteint par un régime de protection des données10.11

La conceptualisation d’une telle protection demeure encore embryonnaire mais elle émerge progressivement sur le plan européen. Cette contribution se limitera à proposer un survol du développement législatif en droit européen (cf. infra B) et (de son absence) en droit suisse (cf. infra C), qui nous permettra de conclure sur une mise en perspective de la dynamique du droit suisse face à celle européenne (cf. infra D).

Situation dans l’Union européenne

La protection des données personnelles au niveau de l’Union européenne est régie par le Règlement général sur la protection des données (ci-après : RGPD). Son champ d’application ne recouvre cependant pas les données personnelles de personnes décédées ; il ne s’applique qu’aux données personnelles de personnes vivantes.12 Son considérant 27 précise à cet égard que « [l]es États membres peuvent prévoir des règles relatives au traitement des données à caractère personnel des personnes décédées ». Le texte laisse ainsi une marge de manœuvre importante aux Etats Membres pour prendre d’éventuelles dispositions législatives en ce sens dans leur droit interne.

Cette situation est vraisemblablement appelée à changer dans un avenir proche. Dans le cadre du programme d’action de la « Décennie numérique de l’Europe » visant la transformation numérique de l’Union européenne, les instances de l’Union européenne ont signé la Déclaration européenne sur les droits et principes numériques pour la décennie numérique 2023/C 23/01 (la « Déclaration »). Cette Déclaration – certes non contraignante – vise en substance à promouvoir un cadre juridique mettant en œuvre les valeurs et principes fondamentaux de l’Union européenne dans le contexte de la transformation numérique.13

La protection de la vie privée est abordée au sein d’un Chapitre V « Sûreté, sécurité et autonomisation » dans un Sous-chapitre intitulé « Droit à la vie privée et contrôle des personnes sur leurs données » divisé en trois points. Le point 17 prévoit que « Toute personne a droit au respect de sa vie privée et à la protection de ses données à caractère personnel. Ce dernier droit permet notamment à chacun de contrôler la manière dont ses données à caractère personnel sont utilisées et avec qui elles sont partagées » tandis que le point 18 dispose que « Toute personne a droit à la confidentialité de ses communications et des informations figurant sur ses appareils électroniques, et a le droit de ne pas être soumise à une surveillance en ligne illicite, à un suivi omniprésent illicite ou à des mesures d’interception ».14

Dans le cadre de cette contribution, c’est le point 19 qui nous intéresse tout particulièrement puisque celui-ci vient poser des principes s’inscrivant spécifiquement dans le contexte de la mort numérique :

« Toute personne devrait être en mesure de définir son patrimoine numérique et de décider du sort qui sera réservé, après son décès, à ses comptes personnels et aux informations qui la concernent.

Nous nous engageons à:

a) veiller à ce que chacun ait le contrôle effectif de ses données à caractère personnel et non personnel, conformément aux règles de l'UE en matière de protection des données et à la législation pertinente de l'UE;

b) garantir effectivement la possibilité pour une personne de transférer facilement ses données à caractère personnel et non personnel entre différents services numériques, dans le respect des droits en matière de portabilité;

c) protéger efficacement les communications contre tout accès non autorisé de tiers;

d) interdire l'identification illicite ainsi que la conservation illicite de relevés d'activité »15.

La mise en œuvre d’un cadre législatif mettant en œuvre ces principes demeure toutefois une musique d’avenir. Pour l’heure, c’est encore au sein du droit interne des Etats Membres de l’Union européenne qu’il s’agit de regarder pour trouver de telles règles. À notre connaissance16, dix des vingt-sept Etats Membres ont saisi l’opportunité d’intégrer au sein de leur législation nationale, de manière plus ou moins détaillée, des règles sur la protection des données personnelles du défunt. Il s’agit, dans l’ordre alphabétique, de la Bulgarie17, du Danemark18, de l’Espagne19, de l’Estonie20, de la France21, de la Hongrie22, de l’Italie23, du Portugal24, de la Slovaquie25 et de la Slovénie26.27

Nous nous intéresserons à trois enjeux de la mise en place d’un régime de protection des données post mortem à l’exemple des régimes européens : la nature de la titularité (cf. infra I), la prise en compte de la volonté de la personne concernée de son vivant (cf. infra II) et l’exercice des droits de protection des données post mortem par les survivants (cf. infra III).

Nature de la titularité

La question sous-jacente à toute conceptualisation d’un régime de protection des données post mortem est celle – loin d’être anodine – de savoir quelle est la nature de la titularité des droits ainsi conférés à des tiers : ces droits sont-ils transmis par voie successorale ou exercés à titre de droits propres ?

Cette interrogation fait écho à la question du sujet de droit (Frage des Rechtsträgers) qui a longtemps occupé la doctrine allemande dans le contexte du développement de la protection de la personnalité post mortem consacré dans cette juridiction : une protection ne peut être mise en œuvre que s’il existe un titulaire des droits qui étaient ceux du défunt.28 Pour prolonger la protection de la personne au-delà de sa mort, il y a dogmatiquement deux approches possibles. On distingue généralement entre les droits transmis iure hereditatis – à savoir les droits transférés en vertu de la dévolution du patrimoine transmissible aux héritiers dans un contexte successoral – et les droits qui naissent ex novo au décès et qui sont exercés iure proprio par les proches du défunt sans que ceux-ci n’aient besoin de revêtir la qualité d’héritiers ; en matière de protection de la personnalité du défunt, ce sont généralement l’un ou l’autre de ces régimes qui sont consacrés.29

Un simple coup d’œil à la terminologie légale utilisée (cf. infra N 26) ne suffit pas à répondre à cette question dans toute sa mesure. Nous revenons ci-après sur deux réflexions qui ont eu lieu à ce sujet en droit français et en droit italien.

En droit français, la question de la nature de la transmission s’est posée dans le cadre de la LPD/FR. Le point de départ de la réflexion est l’art. 84 LPD/FR lequel prévoit, en substance, que si les droits de la personne concernée s’éteignent au décès de celle-ci, ils peuvent néanmoins « être provisoirement maintenus dans les conditions fixées à l'article 85 ». La disposition laisse entendre que les droits de protection des données de la personne concernée s’éteignent au décès.30 La question est dès lors celle de savoir comment le droit français conceptualise ce maintien provisoire des droits au-delà du décès.

Dans le cadre de cette réflexion, la doctrine française a rapidement exclu deux hypothèses : celle d’un exercice iure proprio par les héritiers qui exclurait tout effet translatif et celle d’une personne chargée par le biais d’un mandat post mortem de gérer le sort des données personnelles du défunt, respectivement mettre en œuvre la volonté de celui-ci (comme pourrait le faire l’exécuteur testamentaire).31 Plusieurs auteurs s’accordent à considérer qu’il faut, au contraire, y voir une transmission de nature successorale anomale.32 On parle de succession anomale lorsqu’il est fait référence à un cas de succession dans le cadre duquel les successeurs du titulaire des droits doivent être déterminées selon des règles différentes de celles qui régissent habituellement le droit des successions.33 Le droit du « successeur anomal » découle de la position juridique du défunt et n’est donc pas un droit propre de celui-là.34 Le droit français s’attache par conséquent à inscrire dans cette disposition un droit de nature successorale. Néanmoins, à la lecture du texte légal, il demeure l’impression d’un « compromis entre deux conceptions souvent difficiles à concilier »35 dont il faudra juger l’efficacité dans le temps.

En Italie, la doctrine a mené une réflexion d’une nature similaire. La LPD/IT contient un art. 2-terdecies intitulé « Diritti riguardanti le persone decedute ». Si cette disposition est entrée en vigueur dans le cadre du décret législatif du 10 août 2018 visant à aligner le droit national sur le RGPD, le droit italien connaît depuis 1996 un régime de protection des données personnelles de personnes décédées.36 L’Italie avait, en effet, décidé d’étendre le champ d’application de sa loi nationale de protection des données dès la mise en œuvre de la Directive européenne.37 Ainsi, l’art. 13 al. 3 LPD/IT/1996 prévoyait déjà que les droits de la personne concernée (art. 13 al. 1 LPD/IT/1996), pouvaient être exercés post mortem par toute personne démontrant un intérêt légitime.38

Dans le contexte de l’entrée en vigueur de l’art 2-terdecies LPD/IT, la question de la nature des droits conférés par cette disposition s’est rapidement posée en doctrine.39 Certains auteurs soutiennent qu’il s’agit d’une transmission causa mortis des droits de la personne concernée et que les héritiers exercent ces prérogatives iure hereditatis.40 D’autres estiment au contraire qu’il s’agit au contraire d’un droit propre qui naît au décès de la personne concernée et qui est exercé iure proprio.41 Ce débat s’inscrit en miroir dans celui qui existait déjà en matière de protection de la personnalité du défunt.42 Sur ce sujet, deux courants doctrinaux s’opposent, l’une estimant que les droits de protection de la personnalité du défunt sont exercés par les héritiers dans le cadre d’une succession anomale, l’autre considérant qu’il s’agit d’un droit qui naît directement dans les mains des survivants qui ont la charge de protéger la personnalité du défunt et dont le fondement est puisé dans un intérêt familial ou affectif distinct.43 A l’heure actuelle, la théorie d’un droit propre demeure dominante, tant s’agissant de la protection de la personnalité du défunt que s’agissant de l’art. 2-terdecies LPD/IT.

A la différence de la situation en France, les tribunaux italiens ont eu l’occasion d’évoquer la thématique. Dans trois cas successifs portant sur l’accès aux données numériques d’un défunt, les tribunaux de première instance de Milan, Bologne et Rome ont tous confirmé l’idée qu’il existait une « persistance des droits de la personne concernée » (« il riconoscimento della persistenza dei diritti connessi ai dati personali ») après le décès et que leur exercice, post mortem, est prévu pour certaines personnes habilitées à exercer ces droits. Si les tribunaux précités ne s’étendent pas particulièrement sur la nature de la titularité – ce n’était d’ailleurs pas leur rôle44 –, les deux décisions les plus récentes semblent néanmoins pencher vers une attribution iure proprio. Cela peut néanmoins s’expliquer par le fait que les requérants agissaient sur la base d’un « intérêt familial digne de protection » (art. 2-terdecies para. 1 1ère hypothèse LPD/IT). Il demeure encore incertain de savoir si un héritier pourrait agir à ce titre-là, ou même au titre d’un intérêt personnel (art. 2-terdecies para. 1 3e hypothèse LPD/IT), ce qui ajoute à la complexité.45

Prise en compte de la volonté de la personne défunte exprimée de son vivant

Un enjeu essentiel d’un régime de protection des données post mortem est celui de la prise en compte de la volonté de la personne défunte exprimée de son vivant sur le sort post mortem de ses droits de protection des données. Une majorité d’Etats Membres a aménagé un système visant à rendre cette volonté contraignante pour les survivants. Plusieurs approches sont identifiables à cet égard.

Primo, certains Etats membres prévoient que le régime prévu en droit interne constitue un régime par défaut mais que la personne concernée peut exclure de son vivant son application au-delà de son décès. La personne concernée a alors la possibilité d’exclure de son vivant, totalement ou partiellement, l’exercice post mortem des droits tirés du RGPD. Ainsi, en Italie, les art. 2-terdecies para. 2 et 3 LPD/IT prévoient que l’exercice des droits conférés par l’art. 2-terdecies para. 1 LPD/IT peut être interdit, totalement ou en partie, par la personne concernée dans une déclaration écrite remise au responsable du traitement ou communiquée à ce dernier46. La personne concernée a le droit, à tout moment, de retirer ou de modifier cette interdiction. Au Portugal, l’art. 17 al. 3 LPD/PT dispose que la personne concernée peut rendre impossible l'exercice des droits conférés par l’art. 17 al. 2 LPD/PT.47 En Slovénie, la loi prévoit que la personne concernée peut interdire par une déclaration écrite transmise au responsable du traitement de transmettre les données personnelles à ses proches et héritiers48.

Secundo, certains Etats Membres ne prévoient pas la possibilité d’exclure l’exercice des droits post mortem mais permet néanmoins à la personne concernée d’en définir les modalités de son vivant. Par exemple, en France, l’art. 85 LPD/FR institue un système de directives relatives à la conservation, à l'effacement et à la communication de ses données à caractère personnel après son décès (art. 85 para. I al. 1 LPD/FR). La personne peut modifier ou révoquer ses directives à tout moment (art. 85 para. I al. 7 LPD/FR). Ces directives peuvent désigner une personne chargée de leur exécution. Celle-ci a alors qualité, lorsque la personne est décédée, pour prendre connaissance des directives et demander leur mise en œuvre aux responsables de traitement concernés. À défaut de désignation ou, sauf directive contraire, en cas de décès de la personne désignée, ses héritiers ont qualité pour prendre connaissance des directives au décès de leur auteur et demander leur mise en œuvre aux responsables de traitement concernés (art. 85 para. I al. 8 LPD/FR). En Hongrie, la loi prévoit que la personne concernée peut autoriser un tiers à exercer les droits conférés par les art. 15 à 18 et 21 RGPD au moyen d’un acte administratif ou d’une déclaration faite auprès du responsable du traitement et incorporée dans un acte public ou dans un acte sous seing privé ayant force probante (Section 25 para. 1 LPD/HG).49

Tertio, et enfin, certains Etats Membres se limitent à réglementer la portée post mortem du consentement donné par le défunt de son vivant. Ce n’est ainsi pas du catalogue des droits de la personne concernée dont il est question mais du consentement au sens de l’art. 6 para. 1 let. a RGPD et à son retrait au sens de l’art. 7 para. 3 RGPD50. Le droit estonien prévoit que le consentement de la personne concernée reste valable au-delà du décès de la personne concernée pour une période de dix ans, sauf décision contraire de celle-ci51. Les modalités de cette décision n’apparaissent pas dans le texte de la loi.

Ces approches visent toutes à mettre en œuvre une certaine conception du droit à l’autodétermination informationnelle de la personne concernée au-delà de sa mort.52

Exercice des droits par les survivants

Il reste à examiner l’exercice de droits en protection des données du défunt par les survivants, ce qui suppose d’identifier, d’une part, le cercle des personnes autorisées (cf. infra 1) et, d’autre part, l’étendue des droits conférés (cf. infra 2).

Cercles des personnes autorisées

Les législations nationales de protection des données des Etats Membres laissent apparaître une diversité d’approches consacrant, de manière schématique, trois régimes distincts. Les prérogatives sont octroyées par la loi parfois aux héritiers, parfois aux proches du défunt, parfois aux deux cercles de survivants.53 Nous utiliserons le terme d’héritier pour désigner un survivant exerçant un droit en vertu d’une vocation successorale, celui de proche pour désigner un survivant l’exerçant en vertu d’un droit propre. Le terme survivant recouvrira simultanément les héritiers et les proches.

Un premier groupe d’Etats Membres prévoit que ce sont exclusivement les héritiers qui sont habilités à exercer les droits de protection des données du défunt.54 Tel est par exemple le cas en France, où les héritiers sont au cœur du système de protection des données post mortem. Le droit français confère des prérogatives spécifiques aux héritiers pour deux finalités distinctes. D’une part, les héritiers ont la qualité pour prendre connaissance d’éventuelles directives laissées par la personne concernée afin de demander leur mise en œuvre aux responsables de traitement.55 Dans la même optique, en l’absence de directives laissées par le défunt, ce sont les héritiers qui peuvent faire valoir les droits de protection des données nécessaires pour clôturer des comptes utilisateurs du défunt, s’opposer à la poursuite des traitements des données personnelles concernant celui-ci ou, cas échéant, les faire rectifier.56 D’autre part, les héritiers ont également le droit d’exercer après le décès de la personne concernée les droits de protection des données dans la mesure nécessaire «[à] l'organisation et au règlement de la succession du défunt. A ce titre, les héritiers peuvent accéder aux traitements de données à caractère personnel qui le concernent afin d'identifier et d'obtenir communication des informations utiles à la liquidation et au partage de la succession. Ils peuvent aussi recevoir communication des biens numériques ou des données s'apparentant à des souvenirs de famille, transmissibles aux héritiers »57.

Une seconde catégorie d’Etats Membres confère les droits de protection des données du défunt aux proches de celui-ci. C’est le cas de la Hongrie (« close relative »)58 ainsi que de la Slovaquie (« a person close to [the data subject] »)59. La notion de proche est ici celle du droit civil : le droit slovaque renvoie expressément à la définition de proche contenu à l’art. 116 de son Code civil60 tandis que le droit hongrois renvoie plus généralement à son code civil.

Enfin, une troisième catégorie – majoritaire – d’Etats Membres disposent de législations nationales prévoyant un régime mixte dans lequel tant les héritiers que les proches du défunt peuvent prétendre à l’exercice des droits de protection des données de celui-ci.

L’Espagne prévoit que ce sont les personnes en lien avec la personne concernée pour des raisons familiales ou de fait (« por razones familiares o de hecho ») ainsi que ses héritiers (« sus herederos ») qui disposent de ces prérogatives.61 Si la base légale ne définit pas précisément le cercle des personnes qu’impliquent ces notions, la doctrine précise qu’il s’agit du conjoint, du partenaire stable, des descendants ou ascendants ainsi que les héritiers.62 L’agence espagnole de protection des données a précisé qu’il s’agissait d’une légitimation très large allant au-delà des simples héritiers.63 Ce type de légitimation était déjà connu du droit espagnol dans une série de lois internes ; dans des cas spécifiques ce sont ainsi uniquement les héritiers qui sont habilités à agir, souvent en matière de droits strictement personnels.64

En Bulgarie, ce sont les héritiers ainsi que toute personne disposant d’un intérêt digne de protection65.

En Slovénie, la loi est plus précise puisque celle-ci prévoit expressément que les droits de protection des données sont conférés à l’époux, au partenaire légal, à l’enfant, au parent ou à l’héritier. L’art. 9 para. 3 LPD/SI prévoit en effet : « […] le responsable du traitement transmet les données à caractère personnel relatives à une personne décédée, à leur demande, au conjoint, au partenaire extraconjugal, aux enfants, aux parents ou aux héritiers […] »66.

En Italie, l’art. 2-terdecies LPD/IT prévoit, en substance, que les droits de la personne concernée des art. 15 à 22 RGPD concernant des données personnelles relatives à des données décédées peuvent être exercés par toute personne disposant d’un intérêt personnel ou qui agit en protection de la personne concernée, en tant que mandataire de la personne concernée ou pour des raisons familiales dignes de protection (art. 2-terdecies para. 1 LPD/IT).67

Etendue des droits

Une fois les survivants autorisés à agir en protection des données du défunt identifiés, il convient de déterminer quelle est l’étendue des droits qui leur sont conférés – en d’autres termes, quels droits peuvent être exercés en protection des données du défunt. A nouveau, nous pouvons catégoriser les Etats Membres selon diverses pratiques.

Une majorité d’Etats Membres prévoit que le survivant autorisé peut exercer tout ou parties des droits qui étaient ceux de la personne concernée de son vivant en vertu du RGPD. L’Italie prévoit ainsi expressément que le survivant autorisé peut exercer l’entier du catalogue des droits de la personne concernée, à savoir les droits conférés aux art. 15 à 22 RGPD68. Certains Etats Membres, comme le Portugal ou l’Espagne69, ne mentionnent, expressément, que certains droits comme le droit d’accès, le droit à la rectification ou encore le droit à la suppression des données personnelles.70 Le droit portugais restreint, par ailleurs, l’exercice de ces droits aux catégories particulières de données personnelles au sens de l’art. 9 para. 1 RGPD71, ou lorsqu’elles concernent des données relatives à la vie privée, à l’image ou aux communications.

Un deuxième groupe d’Etats Membres limite les prérogatives post mortem à un simple droit à l’accès et/ou un droit à la copie des données personnelles du défunt. Le droit bulgare prévoit ainsi que le responsable du traitement fournit, sur demande, l’accès aux données personnelles de personnes décédées, incluant une copie de celles-ci, aux héritiers ou d’autre personnes disposant d’un intérêt juridique.72 De façon plus détaillée, le droit slovène prévoit :

« (2) Le responsable du traitement ne transmet les données relatives à une personne décédée qu'aux utilisateurs qui sont autorisés par la loi à traiter des données à caractère personnel et aux utilisateurs qui justifient d'un intérêt légitime à faire valoir leurs droits auprès d'organismes du secteur public.

(3) Nonobstant les dispositions du paragraphe précédent, le responsable du traitement transmet les données à caractère personnel relatives à une personne décédée, à leur demande, au conjoint, au partenaire extraconjugal, aux enfants, aux parents ou aux héritiers, si la personne décédée n'a pas interdit par écrit au responsable du traitement de transmettre ses données à caractère personnel ou si une autre loi n'en dispose pas autrement.

(4) Sauf disposition contraire d'une autre loi, le responsable du traitement peut également transmettre les données relatives à la personne décédée à une autre personne qui prouve qu'elle a l'intention d'utiliser ces données à des fins de recherche scientifique, de recherche historique, d'enseignement, de statistiques ou d'archivage »73.

Enfin, un dernier groupe d’Etats Membres se limite à réglementer la capacité des survivants à consentir au traitement des données personnelles de la personne décédée. Le droit estonien prévoit qu’après le décès de la personne concernée, le traitement des données personnelles du défunt est autorisé seulement avec le consentement des successeurs de la personne concernée, sauf dans les hypothèses suivantes : (1) lorsque dix ans ont passé depuis le décès de celle-ci ; (2) vingt ans ont passé depuis le décès de celle-ci laquelle était mineure ; (3) les données personnelles sont traitées sur la base d’autres dispositions légales.74 Le consentement du vivant de la personne concernée n’est cependant pas nécessaire si les données personnelles traitées concernent le nom, le sexe, la date de naissance ou de décès, la cause du décès ou encore l’horaire et le lieu de l’enterrement.75

Le droit slovaque se limite à conférer aux proches du défunt la possibilité de pouvoir donner leur consentement au traitement des données personnelles du défunt lorsque ce consentement est requis76. La validité de ce consentement tombe si une seule personne proche du défunt exprime sa désapprobation par écrit.77

Le droit slovène dispose, pour sa part, que le traitement des données personnelles du défunt peut avoir lieu si celui-ci est prévu par la loi, si le consentement au traitement a été donné du vivant de la personne concernée ou si un consentement écrit a été donné après le décès par les personnes après le décès de la personne concernée par les personnes suivantes : le conjoint ou partenaire légal, les enfants ou les parents de la personne décédée.78 Quelques autres motifs autorisent également le traitement des données personnelles de la personne défunte (publications historiques et éducatives).79

Notons que cette approche axée sur le contrôle post mortem du consentement de la personne concernée comme motif justificatif trouve ses limites dans le fait que nombre de responsable du traitement fondent le traitement des données personnelles sur d’autres motifs de licéité du traitement (art. 6 para. 1 let. b à f RGPD) que celui du consentement.

Droit suisse

Le droit suisse de la protection des données connaît, pour sa part, une histoire récente mouvementée s’agissant de la protection des données personnelles du défunt. Jusqu’à l’entrée en vigueur le 1er septembre 2023 de la nouvelle LPD faisant suite à la révision totale de cette dernière, le droit suisse prévoyait un droit à la consultation des données personnelles de personnes décédées (cf. infra I). Dans sa mouture désormais en vigueur, la LPD ne contient plus aucune disposition sur la protection des données personnelles du défunt (cf. infra II). Pourtant, le texte révisé du projet comprenait une disposition qui visait à consolider les droits sur les données personnelles du défunt (cf. infra III), laquelle a finalement été abandonnée dans les derniers instants du processus parlementaire. Cet abandon ne met certainement pas fin définitivement aux réflexions autour d’une protection des données du défunt, thématique qui reviendra inévitablement sur la table (cf. infra IV).

Droit à la consultation des données personnelles de personnes décédées sous l’ancien droit

L’ancien droit de la protection des données contenait un droit à la consultation des données personnelles de la personne décédée consigné à l’art. 1 al. 7 de l’ancienne Ordonnance relative à la loi fédérale sur la protection des données (aOLPD). Cette disposition prévoyait que « "[l]a consultation des données d’une personne décédée est accordée lorsque le requérant justifie d’un intérêt à la consultation et qu’aucun intérêt prépondérant de proches de la personne décédée ou de tiers ne s’y oppose ». Un intérêt était établi lorsque la personne requérante était un proche parent de la personne décédée ou était marié à cette dernière.80 La légalité de cette disposition était controversée faute de base légale formelle dans la LPD.81

Absence de protection des données personnelles de personnes décédées de lege lata

Dans le contexte de la révision totale de la LPD, l’aOLPD a été révoquée et aucune base équivalente n’a été reprise dans la désormais dénommée Ordonnance sur la protection des données (OPDo82).83 Dans sa version actuelle, la LPD telle qu’entrée en vigueur le 1er septembre 2023 ne s’applique ainsi pas aux données personnelles de personnes décédées.

Le champ d’application de la LPD se limite aux données personnelles de personnes vivantes.84 La terminologie de la LPD désigne par personne concernée « la personne physique dont les données personnelles font l’objet d’un traitement » (art. 5 let. b LPD).85 La notion de personne physique utilisée dans cette définition correspond à celle du droit civil.86 La LPD ne régit donc que les données personnelles de personnes physiques au sens du droit civil, c’est-à-dire au sens de notre système en vigueur de personnes vivantes dotées de la personnalité juridique87. Au décès de la personne physique, celle-ci perd sa capacité civile et sa personnalité s’éteint (art. 31 al. 1 CC).88 Les données personnelles de la personne concernée décédée ne sont ainsi plus protégées par la LPD.89 Les données personnelles demeurent toutefois protégées, dans le doute, lorsqu’on ne sait pas si la personne concernée est vivante ou non.90

Précisons que certaines lois fédérales prévoient des règles sectorielles s’agissant des données personnelles de personnes décédées.91 Celles-ci ne s’appliquant qu’à des cas particuliers et non à l’ensemble des données personnelles, elles sortent du cadre de cette contribution.

Projet avorté d’une disposition conférant des droits de protection des données sur les données personnelles du défunt

Dans le cadre de la révision de la LPD, une disposition conférant des droits sur les données personnelles de personnes décédées avait été proposée dans l’avant-projet (art. 12 AP-LPD) puis consolidée dans le cadre du projet (art. 16 P-LPD). Nous reviendrons sur la teneur et l’historique législatif de cette dernière disposition (cf. infra 1) puis mettrons les caractéristiques qu’elle présentait en perspective avec le droit interne des Etats Membres (cf. infra 2).

Teneur et historique législatif de l’art. 16 P-LPD

Dans le cadre de la dernière révision totale de la LPD, le projet contenait un art. 16 P-LPD qui faisait l’objet d’une section à part entière (« Section 3 - Données de personnes décédées ») au sein d’un Chapitre 2 consacré aux dispositions générales. Le texte était le suivant :

« 1 Le responsable du traitement accorde la consultation gratuite des données personnelles d’une personne décédée lorsque les conditions suivantes sont réunies :

a. il existe un intérêt légitime à la consultation ou le demandeur a un lien de parenté directe avec le défunt, était marié, avait conclu un partenariat enregistré ou menait de fait une vie de couple avec lui au moment du décès ou il s’agit de son exécuteur testamentaire ;

b. le défunt n’a pas, de son vivant, interdit expressément la consultation et n’a besoin d’aucune protection particulière ;

c. aucun intérêt prépondérant du responsable du traitement ou d’un tiers ne s’oppose à la consultation ».

2 S’il refuse la consultation en raison du secret de fonction ou du secret professionnel, les personnes légitimées selon l’al. 1, let. a, peuvent demander à l’autorité compétente selon les art. 320 et 321 du code pénal qu’elle le délie de son secret

3 Les héritiers ou l’exécuteur testamentaire peuvent exiger que le responsable du traitement efface ou détruise les données personnelles du défunt, sauf dans les cas suivants (art. 16 al. 3 P-LPD) :

a. le défunt l’a expressément interdit de son vivant ;

b. l’effacement ou la destruction va à l’encontre d’intérêts prépondérants du défunt, du responsable du traitement ou de tiers ;

c. l’effacement ou la destruction va à l’encontre d’intérêts publics prépondérants »

Cette disposition visait à mettre en œuvre le postulat 12.3152 déposé par Jean Christophe Schwaab le 14 mars 2012 et intitulé « Droit à l’oubli numérique », lequel chargeait le Conseil fédéral « d'étudier l'opportunité d'ancrer et/ou de préciser dans la législation un droit à l'"oubli numérique", en particulier en ce qui concerne les réseaux sociaux et les moteurs de recherche sur Internet. Il étudiera en outre comment en faciliter l'usage par les consommateurs ». Il y était développé ce qui suit :

« Les internautes laissent des traces sur Internet sous forme de diverses données personnelles, parfois à leur insu, souvent contre leur gré. Ils n'ont en général aucun contrôle sur ce qu'il advient des données qu'on a pu collecter à leur sujet sur les réseaux sociaux et qui sont accessibles par les moteurs de recherche. Or, ces données peuvent rester en ligne indéfiniment et constituer une atteinte à la personnalité, en particulier lorsqu'elles sont sensibles, obsolètes, incomplètes ou présentées hors-contexte. Les atteintes à la réputation sont fréquentes, et souvent irréversibles […] Le droit à l'oubli numérique contient notamment l'obligation, en particulier pour les réseaux sociaux, de limiter au maximum le volume de données personnelles stockées en ligne, l'obligation de configurer par défaut le système d'une façon qui garantit que les données ne seront pas rendues publiques et l'obligation incombant aux responsables du traitement des données personnelles de les effacer définitivement sur demande de la personne concernée, à moins qu'une raison légitime ne justifie leur conservation »92.

Par ailleurs, cette disposition réalisait partiellement une autre intervention parlementaire déposée par Jean-Christophe Schwaab le 24 septembre 2014, le postulat 14.3782, « Des règles pour la ‘mort numérique’ » qui, cette fois, se focalisait non pas sur la suppression des données numériques mais sur leur accès :

« Les données personnelles n'étant pas régies par le droit de la propriété il n'est souvent pas possible d'en hériter. En outre, les accès à certains services offerts sur Internet (comptes d'utilisateurs) ne peuvent pas être supprimés en cas de décès, même par les héritiers, qui n'y ont d'ailleurs pas toujours accès. Certes, certains hébergeurs de services en lignes coopèrent facilement avec les héritiers, mais tel n'est pas le cas de tous. Dans bien des cas, il n'est pas possible de supprimer les comptes d'une personne décédée ou de signaler son décès, en tout cas à brève échéance. Dans d'autres cas, inversement, il peut arriver que lors du décès d'un utilisateur, l'hébergeur du service en ligne supprime immédiatement toutes ses données, en privant ainsi ses héritiers, indépendamment des droits qu'ils pourraient avoir. Le décès physique d'une personne n'entraîne donc pas forcément sa "mort numérique" et sa succession n'est pas forcément universelle, même s'il s'agit du principe qui régit notre droit des successions. En France, la CNIL fait les mêmes constats et a donc engagé une réflexion sur la "mort numérique" en 2014. Elle constate notamment qu'il doit y avoir une conciliation entre le droit à l'oubli numérique et les possibilités d'atteindre l'"éternité numérique" offertes par la vie en ligne. Il s'agit aussi de concilier le respect de l'identité du défunt tout en protégeant la vie privée de ses héritiers. Il convient donc de compléter le droit des successions afin que les données personnelles et les droits d'accès numériques fassent partie de la succession d'un défunt. Il convient en outre de veiller au respect de la personnalité du défunt en ligne, même après son décès »93.

Le Message du Conseil fédéral précisait néanmoins que ces « questions soulevées par ce postulat, celle par exemple de la transmissibilité des données, sont en cours d’examen dans le cadre de la révision du droit successoral »94. Ce volet de la modernisation du droit des successions est toujours en cours de révision ; à notre connaissance, aucun développement concret sur cette thématique n’a encore été publié à ce jour par la Confédération.95

Alors que l’art. 16 P-LPD était supposé remédier à l’absence de base légale du droit à la consultation des données personnelles de la personne décédée jadis prévu par l’art. 1 al. 7 aOLPD et ainsi clarifier les modalités de ce droit96, cette disposition a finalement été supprimée du texte final dans les tout derniers instants du processus parlementaire.

Le communiqué de presse de la Commission des institutions politiques du Conseil national indique : « Contrairement à ce que propose le Conseil fédéral, la commission a décidé, par 14 voix contre 8 et 1 abstention, de ne pas prévoir de réglementation particulière concernant la gestion des données de personnes décédées. Il existe en effet déjà des possibilités permettant de résoudre les problèmes qui se posent dans ce contexte. Une minorité estime au contraire qu’une réglementation spécifique est nécessaire, notamment concernant la mort numérique »97. Il avait ainsi été considéré que le Code civil suffisait en l’état.98 Cette suppression évitait, il est vrai, certainement des réflexions relatives à la délimitation entre le droit de la protection des données et celui des successions.99

Pourtant, la disposition semblait évoquer un certain intérêt parmi les parlementaires. Dans le cadre de la session parlementaire du 24 septembre 2019 sur la révision de la LPD, Beat Flach avait défendu la disposition dans le cadre de son intervention : « In Artikel 16 geht es um die Daten verstorbener Personen. Ich bitte Sie auch hier, der Minderheit zuzustimmen, die die Möglichkeit schafft, dass Verwandte, Hinterbliebene eine Anfrage starten können und einen Anspruch auf diese Daten haben. Die Daten einer verstorbenen Person sollten zugänglich gemacht werden »100. Dans le même sens, Cédric Wermuth avait considéré : « Bei Artikel 16 geht es um das Recht auf Einsicht in die Daten von verstorbenen Personen. Mit Verlaub, aber warum diese Möglichkeit für die Angehörigen generell aus dem Gesetz gestrichen werden soll, hat sich aus den Kommissionsdebatten nicht ergeben. Es scheint uns auch klar, dass diese Einsichtnahme für Nachfolgerinnen und Nachfolger, für Hinterlassene nicht mit Kostenfolgen verbunden sein sollte. Logischerweise kann ein grosses Interesse darin bestehen, zu sehen, unter welchen Umständen bestimmte Dinge im Leben eines Verstorbenen passiert sind. Es wird ja dann auch im Gesetz geregelt, was genau die entsprechenden Bedingungen sind »101.

En dépit de ces appels à maintenir la disposition, celle-ci a été biffée par 134 votes contre 63 et supprimée du texte final entré en vigueur le 1er septembre 2023.102 De manière cohérente, au moins, l’Office fédéral de la justice a indiqué dans son Rapport explicatif sur l’Ordonnance sur la protection des données (OPDo) du 31 août 2022, que le droit à la consultation des données d’une personne décédée n’était pas repris au sein de l’ordonnance dès lors que le Parlement a refusé d’introduire un article de loi correspondant dans la LPD.103 L’abandon d’une disposition conférant des droits sur les données personnelles de la personne décédée a donc définitivement privé la Suisse d’une base légale formelle conceptualisant une protection des données personnelles de personnes décédées.104

Caractéristiques du projet en comparaison avec le droit interne des Etats Membres

En dépit de son abandon, nous pouvons tout de même mettre la disposition, telle qu’elle avait été envisagée, en perspective avec les solutions développées par les Etats Membres dans leur droit interne, en la passant brièvement au crible des trois caractéristiques examinées précédemment, à savoir la nature de la titularité envisagée (cf. infra a), la prise en compte de la volonté de la personne défunte exprimée de son vivant (cf. infra b) et l’exercice des droits par les survivants (cf. infra c).

Nature de la titularité

Du point de vue de la nature de cette titularité, la documentation préparatoire semblait envisager les droits conférés par les art. 12 AP-LPD et 16 P-LPD comme des droits propres. En effet, le Message du Conseil fédéral précisait que la question de la transmissibilité des données était en cours d’examen dans le cadre de la révision du droit successoral.105 Dans la même veine, le Rapport explicatif considérait relativement à l’art. 12 AP-LPD que « [d]’autres questions soulevées dans le postulat, concernant par exemple la possibilité d’hériter les données, seront traitées dans le cadre de la révision du droit des successions »106. Il semble donc que l’objectif législatif était de conférer des droits propres au sein de la loi de protection des données et de réserver les éventuels droits transmissibles sur les données au droit des successions.

La direction prise par le législateur consistant à intégrer au sein du cercle des personnes autorisées à exercer les droits sur les données personnelles du défunt non seulement tout requérant disposant d’un « intérêt légitime à la consultation » respectivement d’un lien de parenté (art. 16 al. 1 P-LPD) mais également les héritiers (art. 16 al. 4 P-LPD) demeure curieuse et peu compatible avec le droit privé suisse. Cette approche menait à une certaine confusion entre droit des successions et protection des données107, en ce qu’elle mettait sur un même plan des acteurs à vocation successorale à des acteurs exerçant leurs droits en vertu de la protection de la personnalité.

Prise en compte de la volonté de la personne défunte exprimée de son vivant

Cette disposition offrait une place non négligeable à la volonté de la personne concernée exprimée de son vivant108. En effet, tant dans le cas de l’accès que celui de l’effacement respectivement la destruction, la personne concernée pouvait de son vivant y faire échec par le biais d’une déclaration de volonté. Celle-ci devait être facilement prouvable et idéalement revêtir une forme textuelle comme celle d’une directive anticipée ou d’un message clair manuscrit ou électronique, et adressé directement au responsable du traitement.109 La déclaration pouvait également être intégrée au besoin au sein d’un testament.110

Cette approche s’aligne dans les grandes lignes sur celles développées notamment en droit italien et portugais. Cette possibilité aurait ainsi permis à la personne concernée d’exclure de son vivant l’exercice post mortem des droits de protection des données par les personnes autorisées par l’art. 16 P-LPD. Une question qui serait demeurée ouverte et qui a trait à l’autre volet du droit à l’autodétermination informationnelle est celle de savoir dans quelle mesure la personne concernée aurait pu instruire sur la gestion de ses données post mortem sous la forme de directives personnelles111.

Exercice des droits par les survivants

Sous l’angle de la titularité des droits de protection des données, la disposition du projet semblait opter pour un régime mixte avec toutefois une nuance selon le droit concerné. L’exercice d’un droit à la consultation des données personnelles du défunt était ainsi réservé aux proches et à l’exécuteur testamentaire tandis que le droit à l’effacement respectivement à la destruction des données personnelles pouvait être exercé par les héritiers ou l’exécuteur testamentaire. Cette disposition ne constituait ainsi pas un simple prolongement de l’art. 1 al. 7 OLPD mais une refonte du système de protection des données personnelles de la personne défunte.

Sous l’angle de l’étendue des droits, l’art. 16 P-LPD se limitait à conférer certains droits de protection des données déjà existant dans la LPD, à savoir les droits d’accès et le droit à l’effacement respectivement de destruction. Précisons qu’aucun droit à la rectification des données personnelles du défunt n’était prévu au sein de ce projet. Ce cherry-picking de droits ne correspond à aucune pratique des Etats Membres de l’Union européenne analysés dans le cadre de cette contribution et constitue donc une solution singulière qui vient s’ajouter à la variété déjà constatée sur le plan européen.

Enjeux de la (re)conceptualisation d’une future protection des données post mortem

Tandis que la protection des données personnelles de personnes décédées est une thématique qui se trouve désormais à l’agenda du législateur européen, la Suisse a décidé – pour l’heure – de se passer d’un tel régime. Cet abandon va à l’encontre de la dynamique qui se développe sur le plan de l’Union européenne et fait fi de l’actualité grandissante de la thématique de la mort numérique112, marquée l’apparition progressive, d’un point de vue transnational, de nombreux cas dans lesquels des proches et/ou des héritiers de personnes défuntes cherchent à accéder aux données numériques de celles-ci. De telles décisions ont notamment émergé aux Etats-Unis113, en Allemagne114 mais aussi plus récemment en Italie115.

La renonciation du législateur à finalement introduire une disposition instaurant un régime de protection des données des personnes décédées semble essentiellement liée à un inconfort ressenti face à la présence, au sein d’une même disposition légale, de prérogatives relevant de la protection de la personnalité (droit des proches) et de prérogatives relevant du droit des successions (droit des héritiers et de l’exécuteur testamentaire). Ce mélange de prérogatives s’inscrit, en effet, difficilement au sein du droit suisse, lequel repose sur une dichotomie entre un droit des successions conceptualisé comme un droit patrimonial116 et un droit de la personnalité conçu comme un droit non-patrimonial117. Un régime de protection des données post mortem doit, dans ce contexte, nécessairement s’inscrire dans l’une ou l’autre de ces logiques118.

La tendance actuelle en Suisse semble (désormais) pencher vers la conceptualisation d’un accès aux données numériques du défunt réglé au sein du droit des successions.119 En effet, la révision totale de la LPD ayant été menée à son terme, il ne reste que la révision du droit des successions dans le cadre de laquelle la question d’une éventuelle « transmissibilité des données »120 pourrait être traitée. Si une telle dynamique devait se confirmer, le législateur privilégierait alors des prérogatives conférées iure hereditatis aux héritiers dans une perspective patrimoniale.

L’alternative à l’hypothèse précitée consisterait à aligner le régime de protection sur les fondements du droit de la personnalité dans une perspective non-patrimoniale. Dans la mesure où le Tribunal fédéral ne consacre pas de protection directe de la personnalité du défunt comme le droit allemand, la protection du défunt est limitée à une protection indirecte par le biais de la protection du sentiment de piété des proches (Andenkenschutz) sur la base de leurs propres droits de la personnalité.121 Ce nonobstant, notre Haute cour reconnaît ponctuellement une protection de l’intérêt du défunt par le biais des effets subséquents de la personnalité découlant des droits fondamentaux et en particulier la protection de la dignité humaine. Cette protection impose à autrui de respecter l’intégrité corporelle du défunt, la liberté personnelle après la mort ainsi que, dans une certaine mesure au moins, la sphère privée.122 Toute personne a, notamment, le droit de décider du sort de sa dépouille.123

Trancher entre l’une et l’autre de ces logiques n’est pas qu’une simple question théorique mais entraîne de véritables conséquences pratiques, en particulier dans le contexte de l’environnement numérique.

Une titularité des droits de protection des données acquise par voie successorale supposerait que les héritiers exercent leur droit en commun en application de l’art. 602 al. 2 CC. Cette exigence semble difficilement compatible avec, d’une part, la réactivité nécessaire à la bonne gestion des données numériques et, d’autre part, avec le caractère potentiellement confidentiel de certaines de ces données. L’approche successorale supposerait, par ailleurs, que les droits de protection des données entrent dans le patrimoine du défunt. Ce faisant, la personne souhaitant déroger à l’attribution légale de ces droits, ou restreindre les prérogatives des héritiers, devra nécessairement confectionner une disposition pour cause de mort, avec le respect des exigences de forme successorales. Or, ces dernières, particulièrement lourdes, sont peu compatibles avec des instructions données par des voies informatiques124, lesquelles constituent une manière de plus en plus démocratisée de disposer de ses données numériques en vue du décès125.

Face à ces limites, une approche hors du cadre successoral revêt de véritables avantages.

D’une part, la prise en compte de la volonté de la personne concernée de son vivant pourrait être calquée sur les effets subséquents de la personnalité. C’est d’ailleurs sous cet angle que le Conseil fédéral avait envisagé l’art. 16 P-LPD.126 Dans ce contexte, une protection des données personnelles de la personne décédée pourrait être conférée – comme il est parfois suggéré dans la littérature étrangère – sur la base d’une analogie avec la gestion de la dépouille humaine127. Cette analogie supposerait de concevoir une protection du « corps informationnel » (informational body)128 fondée sur le droit à l’autodétermination informationnelle, la dignité humaine129 et la vie privée.130

Dans ce contexte, la prise de décision par l’individu de son vivant reposerait sur des directives personnelles non soumises à des exigences de forme131, compatibles avec l’environnement en ligne et notamment les outils informatiques permettant la gestion post mortem des données personnelles sous forme numérique. Une telle approche faciliterait ainsi la prise de décisions ante mortem sur le sort de ses données personnelles dans une perspective post mortem.

D’autre part, l’attribution de droits de protection aux proches reposerait sur un intérêt digne de protection des proches, dans un alignement sur la théorie de l’Andenkenschutz132. Dans ce cadre, la catégorie des proches en droit civil semble a priori plus appropriée pour la gestion des données personnelles : elle suppose l’exercice individuel des droits de protection des données et évite que des héritiers qui ne constituent pas des proches du défunt aient accès aux données personnelles de ce dernier. Cela n’élimine toutefois pas toute difficulté, notamment en cas de conflits entre proches.

Conclusion

La protection des données personnelles de personnes décédées n’en est qu’à ses balbutiements. Le défi du développement d’un tel régime sur le plan de l’Union européenne – et donc supranational – consistera à adopter une solution qui transcende les particularismes locaux tant en protection des données qu’en droit des successions.

Devant l’ampleur de la tâche, il paraît utile de prendre du recul afin de saisir les enjeux relatifs à la mise sur pied d’une protection adéquate du défunt. Notre approche transnationale a permis de mettre en évidence qu’en dépit de particularismes locaux en matière de protection des données, il existait une possible convergence vers un dénominateur commun au sein des régimes déjà envisagés au sein des Etats Membres de l’Union européenne : la prise en compte de la volonté exprimée par la personne concernée de son vivant et contraignante post mortem, d’une part, et l’attribution de droits de protection des données personnelles de la personne défunte exercé post mortem par un cercle de survivants déterminés, d’autre part.

En droit suisse en particulier, la question se pose de savoir comment conceptualiser un tel régime. Si la tendance semble tendre vers une réglementation au sein du droit des successions, le droit suisse autorise néanmoins, d’une part, la consécration de droits conférés aux proches du défunt sur la base de leurs propres droits de la personnalité et, d’autre part, la protection des intérêts du défunt en vertu des effets subséquents de la personnalité. Une solution ancrée dans le droit de la personnalité nous paraît, à titre personnel, s’inscrire plus harmonieusement dans le contexte des défis posés par la numérisation de la société.

Le législateur suisse serait bien inspiré de garder un œil avisé sur les développements européens, car ceux-ci vont à terme fixer le cadre juridique d’une protection des données de personnes décédées dont le droit suisse ne pourra pas faire (totalement) abstraction ; nous voyons bien l’influence du RGPD sur les pratiques suisses en matière de protection des données. La thématique de la mort numérique n’échappera vraisemblablement pas à une influence similaire et l’orientation que prendra le droit suisse devra, dès lors, nécessairement tenir compte du droit communautaire, sous peine de s’isoler de façon spectaculaire.

  1. La notion de « données personnelles » vise ici indifféremment celle de l’art. 5 let. a de la Loi fédérale sur la protection des données (ci-après : LPD ; RS 235.1) et celle de « données à caractère personnel » de l’art. 4 para. 1 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (JO L 119 du 4 mai 2016, 1 ss ; ci-après : RGPD).↩︎

  2. La notion de « personne concernée » vise ici la « personne physique dont les données personnelles font l’objet d’un traitement » (art. 5 let. b LPD). Le RGPD lui réserve le même sens, bien que moins explicite : art. 4 para. 1 RGPD.↩︎

  3. Art. 31 al. 1 Code civil suisse (ci-après : CC ; RS 210).↩︎

  4. Pour la notion de traitement, se référer aux art. 5 let. d LPD et 4 para. 2 RGPD.↩︎

  5. Pour les besoins de cette contribution, nous partons du principe que l’immense majorité des données numériques générées par un utilisateur constituent des données personnelles au sens des lois de protection des données. L’anonymisation réelle et pérenne des données personnelles est, en effet, rarement réalisable dans la pratique (à ce sujet : Yann Conti/Yann Schoenenberger, Implementation of Digital Data Erasure : An Interdisciplinary Perspective, University of Vienna Law Review Vol. 9 n°3 (2025), 65 ss, 82 et n. 72.↩︎

  6. Viktor Mayer-Schönberger, Delete: The Virtue of Forgetting in the Digital Age, Princeton 2011, 85. Cf. ég. J.C. Buitelaar Post-mortem privacy and informational self-determination, Ethics Information Technology 2017/19, 129 ss, 135 : « However, as noted, the overwhelming persistence of digital personae on the Internet, without there being a living counterpart who can actively control the subjective rights associated with this persona, calls for somehow accommodating post-mortem digital personae with an appropriate locus in the legal framework that governs the survival or extinction of the rights and duties of subjects. In the context of the research question, the following, concomitant question becomes relevant: how can the issue of protecting the informational privacy of the digital double that subsists post-mortem be given a normative basis beyond purely economic terms, which at present is the predominant concern of laws of testation? ».↩︎

  7. Pour une présentation globale des enjeux : Commission Nationale de l’Informatique et des Libertés, Nos données après nous, De la mort à l’immortalité numérique, usages et enjeux des données post mortem, Cahier Innovation & Prospective n°10, octobre 2025.↩︎

  8. Buitelaar (n. 6), 129 ss ; Lilian Edwards/Edina Harbinja, Protecting Post-Mortem Privacy: Reconsidering the Privacy Interests of the Deceased in a Digital World, 101 ss, 103 ; Edina Harbinja, The ‘new(ish)’ property, informational bodies and postmortality, in : Maggi Savin-Baden/Victorian Mason Robbie (éds), Digital Afterlife, New York 2020, 89 ss ; Tina Davey, Until Death Do Us Part: Post-mortem Privacy Rights for the Ante-mortem Person, Norwich 2020, 1 ss ; Yann Conti, Post-Mortem Data Protection in the Digital Age: A Necessity for Human Dignity? Bulletin of the Transilvania University of Braşov, Series VII: Social Sciences and Law, Vol. 18(67) Special Issue 2025, 251 ss.↩︎

  9. J.C Buitelaar, Post-mortem privacy and informational self-determination, Ethics Information Technology 2017/19, 129 ss, 129 ; Edwards/Harbinja (n. 8), 103 ; Harbinja (n. 8), 96 ss, propose en sus une definition de la « postmortal privacy » qu’elle conçoit comme une protection des aspects de l'immortalité compris comme la survie du « corps informationnel ». Davey (n. 8), 1 ss, prône, pour sa part, une extension de la protection de la vie privée découlant de l’art. 8 de la Convention Européenne des Droits de l’Homme au-delà du décès.↩︎

  10. Cf. à ce sujet, Conti (n. 8), 256.↩︎

  11. Sur les enjeux de la mort à l’ère des nouvelles technologies de l’information : Carl J. Öhman/Luciano Floridi, An Ethical Framework for the Digital Afterlife Industry, Nature Human Behaviour 2018, 319 ss (cité : Ethical Framework) ; Carl J. Öhman/Luciano Floridi, The Political Economy of Death in the Age of Information: A Critical Approach to the Digital Afterlife Industry, Minds and Machines: Journal for Artificial Intelligence, Philosophy and Cognitive Science 27(4) 2017, 639 ss (cité : Political Economy) ; Jean-Daniel Strub et al., La mort à l’ère numérique. Chances et risques du Digital Afterlife, Zollikon 2024, 1 ss.↩︎

  12. Christian Bergauer, Art. 4 RGPD, in : Dietmar Jahnel (éd.), Kommentar zur Datenschutz-Grundverordnung (DSGVO), Vienne 2021, N 8 ; Achim Klabunde, Art. 4 RGPD, in : Eugen Ehmann/Martin Selmayr (éds.), Datenschutz-Grundverordnung, Munich 2018, N 13 ; Peter Schantz in Peter Schantz/Heinrich Amadeus Wolff (éds), Das neue Datenschutzrecht, Datenschutz-Grundverordnung und Bundesdatenschutzgesetz in der Praxis, Munich 2017, N 319. Il faut préciser que le RGPD s’applique néanmoins indirectement aux données personnelles de personnes décédées lorsque ces données personnelles se rapportent, simultanément, à des personnes vivantes. Cette hypothèse ne couvre toutefois pas la protection des données personnelles post mortem stricto sensu.↩︎

  13. Considérant 7 de la Déclaration européenne sur les droits et principes numériques pour la décennie numérique (2023/C 23/01, JO C 23 du 23 janvier 2023 ; ci-après : Déclaration) : « La présente déclaration énonce des intentions et des engagements politiques partagés et rappelle les droits les plus pertinents dans le contexte de la transformation numérique. La déclaration devrait en outre guider les décideurs politiques lorsqu’ils réfléchissent à leur vision de la transformation numérique: une transformation numérique qui est centrée sur les citoyens; qui soutient la solidarité et l’inclusion, par la connectivité et par l’éducation, la formation et les compétences numériques, des conditions de travail justes et équitables ainsi que l’accès aux services publics numériques en ligne; qui rappelle l’importance de la liberté de choix dans les interactions avec les algorithmes et les systèmes d’intelligence artificielle et dans un environnement numérique équitable; qui encourage la participation à l’espace public numérique; qui accroît la sûreté, la sécurité et l’autonomisation dans l’environnement numérique, en particulier pour les enfants et les jeunes, tout en garantissant le droit à la vie privée et le contrôle des personnes sur leurs données; qui promeut la durabilité. Les différents chapitres de la présente déclaration devraient constituer un cadre de référence global, et non être lus isolément ».↩︎

  14. Déclaration (n. 13), points 17 et 18.↩︎

  15. Déclaration (n. 13), point 19.↩︎

  16. Un tel travail se heurte nécessairement à des limites linguistiques et d’accessibilité ; la présente contribution entend présenter un panorama de la situation au sein de l’Union européenne sans prétendre à une parfaite exhaustivité.↩︎

  17. Loi bulgare sur la protection des données personnelles (Закон за защита на личните данни), promulguée au Journal officiel n° 1 du 4 janvier 2002 (ci-après : LPD/BG). Une traduction officielle de la Commission nationale de protection des données est disponible ici : https://cpdp.bg/en/legislation/personal-data-protection-act/, consulté le 13 novembre 2025.↩︎

  18. Loi danoise n° 502 relative aux dispositions complémentaires au règlement relatif à la protection des personnes physiques à l'égard du traitement des données personnelles et à la libre circulation de ces données (loi sur la protection des données) du 23 mai 2018 (Lov Nr. 502 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven) (ci-après : LPD/DK). Une traduction anglaise du Ministère de la justice danois est disponible ici : https://www.datatilsynet.dk/media/7753/danish-data-protection-act.pdf, consulté le 15 janvier 2025.↩︎

  19. Loi espagnole organique 7/2021 du 26 mai relative à la protection des données à caractère personnel traitées à des fins de prévention, de détection, d'enquête et de poursuite des infractions pénales et d'exécution des sanctions pénales (Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones pénales) (ci-après : LPD/ES).↩︎

  20. Loi estonienne sur la protection des données personnelles du 12 décembre 2018 (Isikuandmete kaitse seadus, Journal officiel estonien (Riigi Teataja), partie I, 4 janvier 2019, n° 11) (ci-après : LPD/EE). Une traduction anglaise de la loi est disponible sur https://www.riigiteataja.ee/en/eli/ee/515012025002/consolide/current, consulté le 30 septembre 2025.↩︎

  21. Loi française n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, plus connue sous le nom de loi informatique et libertés (ci-après : LPD/FR).↩︎

  22. Loi hongroise XLVII de 1997 sur le traitement et la protection des données personnelles relative à la santé et aux données connexes (1997. évi XLVII. törvény az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről) (ci-après : LPD/HG). Une traduction du ministère de la justice hongroise est disponible sur https://njt.hu/jogszabaly/en/2011-112-00-00, consulté le 30 septembre 2025.↩︎

  23. Décret législatif italien n° 196 du 30 juin 2003 (Decreto legislativo 30 giugno 2003, n. 196) (ci-après : LPD/IT).↩︎

  24. Loi portugaise n°58/2019 du 8 août 2019 (Lei n° 58/2019, de 8 de agosto) (ci-après : LPD/PT).↩︎

  25. Loi slovaque du 29 novembre 2017 relative à la protection des données personnelles et modifiant certaines lois (Zákon z 29. novembra 2017 o ochrane osobných údajov a o zmene a doplnení niektorých zákonov) (ci-après : LPD/SK). Une traduction est disponible sur https://dataprotection.gov.sk/files/personal-data-sample/2019_10_03_act_18_2018_on_personal_data_protection_and_amending_and_supplementing_certain_acts.pdf, consulté le 15 janvier 2025.↩︎

  26. Loi slovène sur la protection des données personnelles du 26 janvier 2023 (Zakon o varstvu osebnih podatkov [ZVOP-2], Journal officiel de la République de Slovénie n° 163/22) (ci-après : LPD/SI).↩︎

  27. L’Allemagne, l’Autriche, la Belgique, Chypre, la Croatie, la Finlande, la Grèce, l’Irlande, la Lettonie, la Lituanie, le Luxembourg, Malte, les Pays-Bas, la Pologne, la Roumanie et la Suède n’ont pas étendu le champ d’application de la protection des données dans leurs législations nationales. La République tchèque semble, quant à elle, avoir renoncé à une telle protection après avoir mis sa loi en conformité avec le RGPD. Les éventuels autres Etats qui appliquent le RGPD par le biais des accords relatifs à l’Espace économique européen n’entrent pas dans le cadre de cette contribution. Contrairement à ce qui est parfois affirmé, l’Irlande ne possède pas de protection des données personnelles de personnes décédées dans son Data Protection Act 2018 (https://www.irishstatutebook.ie/eli/2018/act/7/enacted/en/print.html, consulté le 16 octobre 2025). La Section 225 de cette loi irlandaise prévoit uniquement une modification du Health Identifiers Act 2014 en prévoyant que l’art. 32 RGPD s’applique également aux données personnelles de personnes décédées. Nous n’abordons que les lois générales de protection des données et n’évoquerons pas d’éventuelles lois sectorielles qui régissent les données personnelles de personnes décédées uniquement dans le domaine médical, par exemple.↩︎

  28. Joachim Pierer, Postmortaler Schutz von Persönlichkeitsrechten, Vienne 2018, 43.↩︎

  29. Pierer (n. 28), 33 ss, en particulier 44-46.↩︎

  30. Cf. ég. à cet égard : Matthieu Bourgeois, Droit de la donnée, Principes théoriques et approche pratique, Paris 2017, N 134.↩︎

  31. Cécile Pérès, Les données à caractère personnel et la mort, in : Recueil Dalloz 2016, 90 N 10 ; Frédéric Bicheron, La transmission à cause de mort des données personnelles ou la mort numérique, in : Philippe Dupichot et al. (éds), Mélanges en l’honneur du professeur Michel Grimaldi, Paris 2020, N 9 ss.↩︎

  32. Pérès (n. 31), N 11 ; Bicheron, (n. 31) N 11 ss.↩︎

  33. En droit français, la succession anomale (laquelle signifie simplement succession anormale en ancien français) déroge au principe de l’unité de la succession et prévoit une dévolution fondée sur la nature ou l’origine des biens, en vertu desquelles on attribuera certains biens à des bénéficiaires autres que les successeurs à titre universel. Cf. Stéphane Piédelièvre, Successions et libéralités, 3e éd., 2020, 114 ; Michel Grimaldi, Droit civil, Successions, 6e éd., Paris 2001, N 245.↩︎

  34. Grimaldi (n. 33), N 251.↩︎

  35. Candice Bordes, Prévoir sa mort numérique. Le devenir des données numériques post-mortem, Revue des droits et libertés fondamentaux (RDLF) 2020/09, 3.↩︎

  36. Cette disposition est entrée en vigueur dans le cadre du décret législatif du 10 août 2018 et a ancré au sein du droit de la protection des données italien une disposition nouvelle et spécifique à la protection des données personnelles de personnes décédées. Cette disposition affine une protection des données personnelles de la personne concernée au-delà de sa vie biologique qui existe en droit italien depuis 1996 (Bonetti Silvia, Vom Schutz der Persönlichkeitsrechte bis zur postmortalen Behandlung des digitalen Nachlasses, in : Troiano Stefano/Schmidt-Kessel Martin (éds), Recht und Gesellschaft im Wandel: Herausforderungen für den europäischen Juristen, Naples 2023, 219 ss, 223)↩︎

  37. Giorgio Resta, Personal Data and Digital Assets after Death: a Comparative Law Perspective on the BGH Facebook Ruling, EuCML 2018, 201 ss, 202.↩︎

  38. En 2003, une refonte de la LPD/IT/1996 a donné naissance au Codice in materia di prozetione dei dati personali (Codice in materia di protezione dei dati personali (GU Serie Generale n.174 del 29-07-2003 - Suppl. Ordinario n. 123). Une disposition similaire à l’art. 13 a. 3 LPD/IT/1996 a été conservée : l’art. 9 al. 3 LPD/IT/2003 prévoyait ainsi que les droits de la personne concernée concernant des personnes décédées peuvent être exercés par toute personne ayant un intérêt propre ou agissant au nom de la personne concernée ou pour des motifs familiaux dignes de protection. Cf. pour le tout : Resta (n. 37), 202.↩︎

  39. Francesco Paolo Patti/Francesca Bartolini, Digital Inheritance and Post Mortem Data Protection: The Italian Reform, European Review of Private Law, Milan 2019, 1 ss, 3 ; Bonetti (n. 36), 228 ; Diego Apostolo, Eredità digitale: inquadramento generale, Rome 2023, 12 ; Isabella Martone, Sulla trasmissibilità a causa di morte dei “dati personali”: l’intricato rapporto tra digitalizzazione e riservatezza, Napoli 2020, 109 ; Eugenio Masini, Eredità digitale e aspetti problematici della successione online, Padoue 2022, 84.↩︎

  40. Bonetti (n. 36), 229 ; Martone (n. 39), 109.↩︎

  41. Patti/Bartolini (n. 39), 3 ; Bonetti (n. 36), 228 ; Apostolo (n. 39), 12 ; Martone (n. 39), 109 ; Masini (n. 39), 84.↩︎

  42. Bonetti (n. 36), 226.↩︎

  43. Bonetti (n. 36), 226 ; Daniele Minussi, Le successioni, Naples 2005, 25.↩︎

  44. Ces affaires relèvent de mesures provisionnelles urgentes déployant des effets anticipés dans le but de préserver les droits de la personne requérante d’un préjudice imminent et irréparable si celle-ci les fait valoir par voie ordinaire. Ces affaires ont dès lors été analysé sous l’angle de la vraisemblance puisque du fait du caractère urgent, le tribunal n'est pas en mesure d'ouvrir une phase ordinaire de d’administration des preuves sur le fond de la demande du requérant. Les tribunaux prennent donc une décision par voie sommaire généralement sur la base des documents produits par les parties ou sur la base d'informations fournies par des tiers. Sur la nature de ces procédures de mesures provisionnelles, voir Michele Angelo Lupoi, Civil Procedure in Italy, Alphen aan den Rijn 2018, 213 s.↩︎

  45. La doctrine relève les conflits potentiels entre les personnes disposant d’un intérêt à agir au sens de l’art. 2-terdecies LPD/IT et les héritiers au sens du droit des successions, cf. notamment Ilaria Maspes, Digital Inheritance, Right of the Heirs to Access to the Deceased User’s Account, Non-Transferability Clauses: An Overview in the Light of Two Judgments Issued by Italian Courts, The Italian Law Journal 2022, 407 ss.↩︎

  46. Art. 2-terdecies para. 2 LPD/IT : « L'esercizio dei diritti di cui al comma 1 non è ammesso nei casi previsti dalla legge o quando, limitatamente all'offerta diretta di servizi della società dell'informazione, l'interessato lo ha espressamente vietato con dichiarazione scritta presentata al titolare del trattamento o a quest'ultimo comunicata » (trad. libre : « L'exercice des droits visés au paragraphe 1 n'est pas autorisé dans les cas prévus par la loi ou lorsque, en ce qui concerne uniquement l'offre directe de services de la société de l'information, la personne concernée l'a expressément interdit par une déclaration écrite remise au responsable du traitement ou communiquée à ce dernier »).↩︎

  47. Art. 17 LPD/PT : « Os titulares dos dados podem igualmente, nos termos legais aplicáveis, deixar determinada a impossibilidade de exercício dos direitos referidos no número anterior após a sua morte » (traduction libre : « Les titulaires des données peuvent également, conformément aux dispositions légales applicables, déclarer l'impossibilité d'exercer les droits mentionnés au paragraphe précédent après leur décès »).↩︎

  48. Section 9 para. 3 LPD/SI, cf. le texte relatif à la n. 73.↩︎

  49. En l’absence d’une telle déclaration, la loi hongroise permet subsidiairement aux proches parents d’exercer les droits de protection des données personnelles du défunt.↩︎

  50. Tiina Mikk/Karin Sein, Digital Inheritance: Heirs’ Right to Claim Access to Online Accounts under Estonian Law, Juridica International n° 27, 2018, 125.↩︎

  51. Art. 9 para. 1 LPD/EE : « (1) The consent of a data subject shall remain valid during the lifetime of the data subject and for 10 years after the death of the data subject, unless the data subject decided otherwise. If the data subject died as a minor, his or her consent shall be valid for the term of 20 years after the death of the data subject » (traduction officielle, cf. n. 20).↩︎

  52. Pour des détails sur ce sujet, cf. Conti (n. 8), 256.↩︎

  53. Seul le Danemark ne donne aucune indication sur la personne autorisée. Le droit danois se contente de prévoir que « [t]his Act and the General Data Protection Regulation shall apply to the data of deceased persons for a period of 10 years following the death of the deceased » (Section 1, para. 2 ch. 5 LPD/DK, dans sa traduction anglaise n. 18).↩︎

  54. Au Portugal, le droit de protection des données prévoit que la faculté d’exercer les droits de protection du défunt appartient aux successeurs (sauf désignation contraire de la personne concernée de son vivant) : « Os direitos previstos no RGPD relativos a dados pessoais de pessoas falecidas, abrangidos pelo número anterior, nomeadamente os direitos de acesso, retificação e apagamento, são exercidos por quem a pessoa falecida haja designado para o efeito ou, na sua falta, pelos respetivos herdeiros » (art. 17 al. 2 LPD/PT) (nous mettons en évidence) (traduction libre : « Les droits prévus par le RGPD concernant les données à caractère personnel des personnes décédées, visées au paragraphe précédent, notamment les droits d'accès, de rectification et d'effacement, sont exercés par la personne désignée à cet effet par la personne décédée ou, à défaut, par ses héritiers »). En Estonie enfin, ce sont également les héritiers (« successors of the data subject ») qui disposent exclusivement de cette prérogative. Précisons qu’il s’agit ici d’un revirement du législateur puisque jusqu’en 2018, la loi estonienne dans sa teneur précédant l’actuelle (ci-après : aLPD/EE) prévoyait que le traitement des données personnelles du défunt n’était possible qu’avec l’accord écrit de l’héritier, de l’époux, du descendant, de l’ascendant, du frère ou de la sœur de la personne concernée (art. 13 al. 1 aLPD/EE : « After the death of a data subject, processing of personal data relating to the data subject is permitted only with the written consent of the successor, spouse, descendant or ascendant, [or] brother or sister of the data subject, except if consent is not required for processing of the personal data or if thirty years have passed from the death of the data subject »). Le pays balte a changé son fusil d’épaule lorsqu’il a adopté la nouvelle loi de protection des données du 12 décembre 2018 qui visait à mettre en œuvre le RGPD. L’art. 9 al. 2 LPD/EE prévoit désormais : « After the death of the data subject, processing of his or her personal data is permitted only with the consent of the successors of the data subject […] » (traduction officielle, cf. n.20).↩︎

  55. Art. 85 para. II ch. 1 LPD/FR.↩︎

  56. Art. 85 para. II ch. 2 LPD/FR.↩︎

  57. Art. 85 para. II ch. 1 LPD/FR.↩︎

  58. Voir ég. Section 25 para. 2 LPD/HG : « […] his close relative within the meaning of the Civil Code may, […] for a period of five years after the death of the data subject, exercise the rights specified in section 14 c) and, as regards processing operations under the General Data Protection Regulation, in Article 16 and Article 21 of the General Data Protection Regulation, […] » (nous mettons en evidence, traduction officielle cf. n. 22).↩︎

  59. Section 78 para. 7 LPD/SK : « If the data subject dies, the consent requested under this Act or under special regulation2) may be given by a close person to him or her » (nous mettons en évidence, traduction officielle, cf. n. 25).↩︎

  60. Art. 116 CC/SK : « Blízkou osobou je príbuzný v priamom rade, súrodenec a manžel; iné osoby v pomere rodinnom alebo obdobnom sa pokladajú za osoby sebe navzájom blízke, ak by ujmu, ktorú utrpela jedna z nich, druhá dôvodne pociťovala ako vlastnú ujmu » (traduction libre : « Une personne proche est un parent direct, un frère ou une sœur, un conjoint ; d'autres personnes ayant un lien familial ou similaire sont considérées comme des personnes proches les unes des autres si le préjudice subi par l'une d'entre elles est raisonnablement ressenti comme un préjudice personnel par l'autre »).↩︎

  61. Art. 3 para. 1 LPD/ES : « Las personas vinculadas al fallecido por razones familiares o de hecho, así como sus herederos, podrán dirigirse al responsable o encargado del tratamiento al objeto de solicitar el acceso, rectificación o supresión de los datos de aquel. Estos derechos se regularán de acuerdo con lo dispuesto en esta Ley Orgánica » (traduction libre : « Les personnes liées au défunt pour des raisons familiales ou de fait, ainsi que ses héritiers, peuvent s'adresser au responsable ou au sous-traitant du traitement afin de demander l'accès, la rectification ou la suppression des données de celui-ci. Ces droits sont régis conformément aux dispositions de la présente loi organique »).↩︎

  62. Encarnación Abad Arenas, El testamento digital en caso de muerte: su regulación en la Ley Orgánica 3/2018, de 05 de diciembre, de protección de datos personales y garantía de los derechos digitales, LA LEY 17860/2024, 1 ss, 4.↩︎

  63. Agencia Española de Protección de Datos, n° 010601/2019, 1 ss, 20, cf. https://www.aepd.es/es/documento/2019-0036.pdf, consulté le 14 janvier 2025.↩︎

  64. Agencia Española de Protección de Datos (n. 63), 20.↩︎

  65. Art. 25f para. 2 LPD/BG : « The Controller shall provide, upon request, access to the personal data of a deceased person, including a copy thereof, to his heirs or other persons with legal interest, within the terms under Art. 12, paragraphs 3 and 4, and under the terms of paragraphs 5 and 6 of Regulation (EU) 2016/679, unless otherwise provided by law » (traduction officielle, cf. n. 17).↩︎

  66. Traduction libre.↩︎

  67. Art. 2-terdecies para. 1 LPD/IT : « I diritti di cui agli articoli da 15 a 22 del Regolamento riferiti ai dati personali concernenti persone decedute possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell’interessato, in qualita’ di suo mandatario, o per ragioni familiari meritevoli di protezione » (traduction libre : « Les droits visés aux articles 15 à 22 du règlement concernant les données à caractère personnel relatives à des personnes décédées peuvent être exercés par toute personne ayant un intérêt propre ou agissant pour protéger la personne concernée, en tant que mandataire de celle-ci ou pour des raisons familiales digne de protection »). La particularité est ici que les successeurs ne sont pas mentionnés nommément.↩︎

  68. Art. 2-terdecies para. 1 LPD/IT. Il en va, a priori, de même au Danemark puisque la loi prévoit que le RGPD s’applique aux personnes décédées, cf. Section 5 LPD/DK : « [t]his Act and the General Data Protection Regulation shall apply to the data of deceased persons for a period of 10 years following the death of the deceased » (traduction officielle, cf. n. 18).↩︎

  69. Autre exemple, la Hongrie prévoit, quant à elle, que ce sont les droits conférés par les articles 15 à 18 et 21 qui sont applicables post mortem dans le délai temporel prévu, cf. Section 25 para. 1 LPD/HG : « For a period of five years after the death of the data subject, the rights specified in section 14 b) to e) and, as regards processing operations under the General Data Protection Regulation, in Articles 15 to 18 and Article 21 of the General Data Protection Regulation to which the deceased had been entitled while alive may be exercised by a person who has been authorised to do so by the data subject by way of an administrative setting or a declaration made at the controller and incorporated in a public deed or a private deed of full probative value; where the data subject has made more than one declaration at the same controller, the later-dated declaration shall prevail » (traduction officielle, cf. n. 22).↩︎

  70. Art. 17 al. 2 LPD/PT : « Os direitos previstos no RGPD relativos a dados pessoais de pessoas falecidas, abrangidos pelo número anterior, nomeadamente os direitos de acesso, retificação e apagamento, são exercidos por quem a pessoa falecida haja designado para o efeito ou, na sua falta, pelos respetivos herdeiros » (traduction libre cf. n. 54), il semble toutefois que cette liste soit non exhaustive au vu de la formulation « nomeadamente ». Le droit espagnol adopte une formulation plus exclusive à l’art. 3 para. 1 LPD/ES en limitant clairement les possibilités à l’accès, à la rectification et à la suppression : « Las personas vinculadas al fallecido por razones familiares o de hecho, así como sus herederos, podrán dirigirse al responsable o encargado del tratamiento al objeto de solicitar el acceso, rectificación o supresión de los datos de aquel. Estos derechos se regularán de acuerdo con lo dispuesto en esta Ley Orgánica » (nous mettons en évidence) (traduction libre cf. n. 61).↩︎

  71. Art. 9 para. 1 RGPD : « Le traitement des données à caractère personnel qui révèle l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique sont interdits ».↩︎

  72. Art. 25f para. 2 LPD/BG.↩︎

  73. Art. 9 para. 2 à 4 LPD/SI (traduction libre).↩︎

  74. Art. 2 para. 2 LPD/EE : « After the death of the data subject, processing of his or her personal data is permitted only with the consent of the successors of the data subject, except in the case: 1) 10 years have passed since the death of the data subject; 2) 20 years have passed since the death of a data subject who was a minor; 3) personal data are processed under any other legal bases » (traduction officielle, cf. n. 20).↩︎

  75. Art. 9 para. 4 LPD/EE : « The consent specified in subsection 1 of this section is not required if the processed personal data only contain the data subject's name, sex, date of birth and death, the fact of death, and the time and place of burial » (traduction officielle, cf. n. 20).↩︎

  76. Art. 78 para. 7 1e phr. LPD/SDK : « If the data subject dies, the consent requested under this Act or under special regulation may be given by a close person to him or her » (traduction officielle, cf. n. 25).↩︎

  77. Section 78 para. 7 2e phr. LPD/SK : «The consent shall not be valid if at least one close person gave a written disapproval » (traduction officielle, cf. n. 25).↩︎

  78. Section 9 para. 5 LPD/SI.↩︎

  79. Section 9 para. 5 LPD/SI.↩︎

  80. CR LPD-Meier/Tschumy, art. 5 N 36 ; Rouiller/Epiney, 17.↩︎

  81. Parmi d’autres : arrêt ACJC/562/2022 de la Cour de Justice de la République et du canton de Genève du 26 avril 2022, c. 5.1.3 ; CR LPD-Meier/Tschumy, art. 5 N 36 ; BSK DSG-Maurer-Lambrou/Kunz, Bâle 2014, art. 2 N 6 ; SHK LPD-Rudin, art. 8 N 28 ; Félise Rouiller/Astrid Epiney, Le droit d’accès à ses données personnelles, Lausanne 2021, 17 s. ; Antoine Eigenmann, Succession et secrets, Berne 2019, N 91 ; Antoine Eigenmann/Sébastien Fanti, Successions, données personnelles, numériques et renseignements, 2017, 207 ; Agnès Hertig Pea, La protection des données personnelles médicales est-elle efficace ? Étude des moyens d’action en droit suisse, Neuchâtel 2013, N 311 ; Conseil fédéral, Rapport explicatif concernant l’avant-projet de révision totale de la LPD, Berne 21 décembre 2016, 52.↩︎

  82. Ordonnance sur la protection des données du 31 août 2022 (OPDo), RS 235.11.↩︎

  83. Office fédéral de la justice, Rapport explicatif sur l’Ordonnance sur la protection des données, 12.↩︎

  84. SHK LPD-Rudin, art. 2 N 12 ; CR LPD-Meier/Tschumy, art. 5 N 35 ; Sylvain Métille, Internet et droit, Zurich 2017, 101 ; CR LPD-Métille/di Tria, art. 2 N 24 ; PC LPD-Francey, art. 2 N 10 ; OFK DSG-Powell/Schönbächler, art. 2 N 8 ; Cordula Lötscher, Erbrecht und Digitalisierung, RDS 142/2023 I cahier 4, 323 ss, 326.↩︎

  85. CR LPD-Métille/di Tria, art. 2 N 24 ; PC LPD-Francey, art. 2 N 10 ; SHK LPD-Rudin, art. 2 N 10.↩︎

  86. Il peut s’agir de personnes mineures ou majeures, indépendamment de leur capacité de discernement, cf. PC LPD-Francey, art. 2 N 9, SHK LPD-Rudin, art. 2 N 11.↩︎

  87. BSK DSG-Maurer-Lambrou/Kunz, art. 2 N 6 ; OFK DSG-Powell/Schönbächler, art. 2 N 8.↩︎

  88. BSK DSG-Maurer-Lambrou/Kunz, art. 2 N 6 ; SHK DSG-Fey, art. 1 N 20 ; BSK DSG-Blechta, art. 3 N 18 ; Meier, Protection des données, Berne 2010, N 343.↩︎

  89. BSK DSG-Maurer-Lambrou/Kunz, art. 2 N 6; SHK DSG-Fey, art. 1 N 20 ; BSK DSG-Blechta, art. 3 N 18 ; Meier (n. 88), N 343 ; Métille (n. 84), 101 ; OFK DSG-Powell/Schönbächler, art. 2 N 8 ; Lötscher (n. 84), 326. Dans ce sens : SHK LPD-Rudin, art. 2 N 12. Le tout sous réserve des protections indirectes, cf. à ce sujet n. 12.↩︎

  90. BSK DSG-Blechta, art. 3 N 19. Notons, en revanche, la Commission fédérale de la protection des données et de la transparence (du temps de son existence) avait jugé dans une décision du 21 novembre 1997 que l’art. 1 al. 7 aOLPD s’appliquait également à la consultation du dossier des recherches concernant une personne disparue et peut-être morte, étant donné qu'il faut reconnaître aux proches un intérêt éminent à tirer au clair le destin d'une personne disparue in JAAC 1998 n° 58 du 21 novembre 1997 541, 546. Cette disposition a toutefois été abrogée depuis.↩︎

  91. Par ex. : art. 11 de la Loi fédérale sur l’archivage du 26 juin 1998 (LAr), RS 152.1 ; art. 44 de la Loi fédérale relative à la recherche sur l’être humain (LRH), RS 810.30. Certaines lois de protection des données cantonales prévoient également une protection des données personnelles de personnes décédées, cf. par ex. la Loi sur l’information du public, l’accès aux documents et la protection des données personnelles de la République et du canton de Genève du 5 octobre 2001 (LIPAD/GE) à son art. 48 al. 1 : « Les proches d’une personne décédée ne peuvent accéder aux données personnelles de cette dernière et exercer à leur égard les prétentions énumérées à l’article 47 que s’ils justifient d’un intérêt digne de protection l’emportant sur les éventuels intérêts opposés d’autres proches de la personne décédée et sur la volonté connue ou présumable que cette dernière avait à ce propos de son vivant ».↩︎

  92. https://www.parlament.ch/fr/ratsbetrieb/suche-curia-vista/geschaeft?AffairId=20123152 (consulté le 28 septembre 2025).↩︎

  93. https://www.parlament.ch/fr/ratsbetrieb/suche-curia-vista/geschaeft?AffairId=20143782 (consulté le 28 septembre 2025).↩︎

  94. Conseil fédéral, Message du 15 septembre 2017 concernant la loi fédérale sur la révision totale de la loi fédérale sur la protection des données et sur la modification d'autres lois fédérales LPD, FF 2017 6565, 6663.↩︎

  95. La modernisation du droit des successions suisse se trouve actuellement dans sa troisième phase consacrée aux aspects techniques, après deux premiers paquets de modifications entrées en vigueur concernant la réduction des réserves légales respectivement les règles de droit international privé relatives aux successions. Pour une vue d’ensemble : https://www.bj.admin.ch/bj/fr/home/gesellschaft/gesetzgebung/erbrecht.html (consulté le 28 septembre 2025). Dans le contexte des « successions numériques », se pose notamment la question de savoir si le droit à l’information successoral devrait permettre d’accéder aux données numériques du défunt, cf. à ce sujet : Maryse Pradervand-Kernen, Introduction d’un art. 601a CC : suite à la proposition du Conseil fédéral lors de la révision du droit des successions de 2016 et au résultat de la procédure de consultation, Berne (Office fédéral de la justice) 30 novembre 2024.↩︎

  96. Conseil fédéral (n. 94), 6663. Cf. ég. Yves Donzallaz, Traité de droit médical, Berne 2021, n. 7872 ; Rouiller/Epiney (n. 81), 19.↩︎

  97. Communiqué de presse du 16 août 2019 de la Commission des institutions politiques (https://www.parlament.ch/press-releases/Pages/mm-spk-n-2019-08-16-a.aspx).↩︎

  98. BO 2019 N 1805, intervention de Matthias Samuel Jauslin : « Die Regel ist aus Sicht der Kommissionsmehrheit unnötig. Je nach Konstellation können nämlich Nachkommen sogar mehr Rechte erhalten, als die Verstorbenen zu Lebzeiten erhalten hätten. Das Erbrecht gemäss ZGB ist zur Regelung solcher Konstellationen aus unserer Sicht ausreichend, insbesondere da der Grundsatz des Übergangs sämtlicher Rechte und Pflichten des Verstorbenen an seine Erben eigentlich alles regelt. Aus diesem Grund sind aus Sicht der Kommission diese Bestimmungen von Artikel 16 komplett zu streichen ». Cf. ég. à ce sujet : arrêt ACJC/562/2022 de la Cour de Justice de la République et du canton de Genève du 26 avril 2022 ; CR LPD-Meier/Tschumy, art. 5 N 42 ; Rouiller/Epiney (n. 81), 19 ; Julien Perrin/Lara Eggimann, Droit des héritiers à l’information, SJ 2024 863 ss, 889 s.↩︎

  99. Cordula Lötscher, Das erbrechtliche Schicksal von Accounts bei Facebook, Google, Apple & Co., Successio 2020 304, 326 s.↩︎

  100. BO 2019 N 1799.↩︎

  101. BO 2019 N 1799.↩︎

  102. BO 2019 N 1809.↩︎

  103. Office fédéral de la justice (n. 83), 12. Cf. ég. CR LPD-Métille/di Tria, art. 2 N 7.↩︎

  104. Office fédéral de la justice (n. 83), 12. Cf. ég. CR LPD-Métille/di Tria, art. 2 N 7.↩︎

  105. Conseil fédéral (n. 94), 6663.↩︎

  106. Office fédérale de la justice, Rapport explicatif concernant l’avant-projet de loi fédérale sur la révision totale de la loi sur la protection des données et sur la modification d’autres lois fédérales du 21 décembre 2016, 52.↩︎

  107. Consulter à cet égard les arguments Lötscher (n. 99), 326 s. en faveur de la suppression de l’art. 16 P-LPD de la mouture finale de la LPD.↩︎

  108. À des fins d’exhaustivité, notons encore que la prise en compte des intérêts prépondérants de tiers ou du responsable du traitement (art. 16 al. 1 let. c et al. 3 let. c P-LPD) pouvant s’opposer à la réalisation des droits consacrés par cette disposition aurait également constitué une particularité helvétique.↩︎

  109. Conseil fédéral (n. 94), 6664.↩︎

  110. Conseil fédéral (n. 94), 6664.↩︎

  111. Cf. en particulier sur cette thématique : Melanie Studer /Matthias Schweizer/Elke Brucker-Kley, Sterben und Erben in der digitalen Welt, Jusletter du 17 décembre 2012, N 19 ; Lötscher (n. 84), 344. A notre avis de telles directives personnelles portant sur les données personnelles du défunt doivent être valables sans exigences de forme particulière, aussi longtemps qu’elles n’entravent pas la transmission du patrimoine successoral.↩︎

  112. CR LPD-Meier/Tschumy, art. 5 N 42.↩︎

  113. En particulier, nous pouvons mentionner les décisions suivantes : In re Estate of Ellsworth (Mich. Prob. Ct. 2005), decision non publiée ; In re Facebook, Inc. (Estate of Sahar Daftary), 923 F. Supp. 2d 1204 (N.D. Cal. 2012) ; Ajemian v. Yahoo!, Inc., 84 N.E.3d 766 (Mass. 2017).↩︎

  114. Les décisions les plus célèbres sont celles rendues dans l’affaire Facebook (Facebook Fall) : Cf. Tribunal régional de Berlin (Landgericht Berlin), jugement 20 O 172/15 du 17 décembre 2015, ZEV 2016 189 et Cour d’appel de Berlin (Kammergericht Berlin), jugement 21 U 9/16 du 31 mai 2017, ZEV 2017 386 ; Cour fédérale de justice (Bundesgerichtshof), jugement III ZR 183/17 du 12 juillet 2018, ZEV 2018 582.↩︎

  115. Tribunal de Milan, Section I, ordonnance n° 95062 du 10 février 2021 ; Tribunal de Bologne, Section I, ordonnance du 25 novembre 2021, Juge Neri ; Tribunal de Rome, Section VIII, ordonnance du 10 février 2022, Juge Luparelli.↩︎

  116. Peter Breitschmid/Martin Eggel/Paul Eitel/Roland Fankhauser/Thomas Geiser/Alexandra Jungo, Erbrecht, 4e éd., Zurich/Genève 2023 ; Paul-Henri Steinauer, Le droit des successions, 2e éd., Berne 2015, N 2.↩︎

  117. Philippe Meier, Droit des personnes, 2e éd., Genève/Zurich/Bâle 2021, N 584.↩︎

  118. Sur les logiques patrimoniale et non-patrimoniale au-delà du cas suisse, cf. Yann Conti, Electronic Communications of Deceased Users: How European Law Can Help Strike a Balance Between Post-Mortem Access and Privacy, European Data Protection Law Review 1/2025, 50 ss.↩︎

  119. Néanmoins critiques, à juste titre : Nula Frei/Petru Emanuel Zlatescu/Robert Naedele, Tod im digitalen Zeitalter - Rechtliche Ergänzung (TA-SWISS), Zollikon 2024, 28.↩︎

  120. Conseil fédéral (n. 94), 6663.↩︎

  121. ATF 129 I 302 c. 1.2.2 et 1.2.5, JdT 2005 I 214. Certains auteurs appelaient déjà au début des années 2000 à un renforcement de la protection de la personnalité du défunt, cf. notamment Andrea Büchler, Persönlichkeitsgüter als Vertragsgegenstand? Von der Macht des Faktischen und der dogmatischen Ordnung, in : Heinrich Honsell/Wolfgang Portmann/Roger Zäch/Dieter Zobl (éds), Aktuelle Aspekte des Schuld- und Sachenrechts: Festschrift für Heinz Rey zum 60. Geburtstag, Zurich 2003, 177 ss ; Andrea Büchler, Die Kommerzialisierung Verstorbener: Ein Plädoyer für die Vererblichkeit vermögenswerter Persönlichkeitsrechtsaspekte, PJA 2003, 3 ss ; Walter Ott/Thomas Grieder, Plädoyer für den postmortalen Persönlichkeitsschutz, PJA 2001, 627 ss.↩︎

  122.  Dominique Manaï, La dignité de la personne décédée en droit suisse, Jusletter du 10 février 2020, N 36 ss. Voir ég. CR CC I-Manaï, art. 31 N 27, laquelle estime que « l’obligation de confidentialité des données personnelles se prolonge après la mort », le constat étant néanmoins limité aux données personnelles médicales, lesquelles font l’objet d’une protection renforcée du fait du secret professionnel. En matière de droit à l’information successoral, le Tribunal fédéral a récemment jugé dans une décision 4A_522/2018 du 18 juillet 2019 que l’intérêt à la confidentialité du défunt prévalait lorsqu’un héritier ne disposait d’aucun intérêt patrimonial à la consultation d’informations.↩︎

  123. ATF 123 I 112, 119 c. 4 ; ATF 129 I 302 c. 1.2.2 et 1.2.5, JdT 2005 I 214 ; Nicolas Tschumy, Le consentement aux actes sur le cadavre, in : Samantha Besson/Yves Mausen/Pascal Pichonnaz (éds), Le consentement en droit, Zurich 2018, 279 ss, 281 ss↩︎

  124. Sur les exigences de forme successorale et leur compatibilité avec l’environnement numérique : Cordula Lötscher/Cyrill A.H. Chevalley, Das digitale Testament, successio 2025, 184 ss ; Yann Conti, in Jean-Philippe Dunand/Anne-Sylvie Dupont/Pascal Mahon (éds), Le droit face à la révolution 4.0, Genève/Zurich/Bâle 2019, 173 ss ↩︎

  125. Voir par exemple le « Gestionnaire de compte inactif » de Google : https://support.google.com/accounts/answer/3036546?hl=fr, consulté le 23 mars 2026.↩︎

  126. Conseil fédéral (n. 94), 6663.↩︎

  127. Öhman/Floridi, Political Economy (n. 11), 649.↩︎

  128. Öhman/Floridi, Political Economy (n. 11), 649.↩︎

  129. Sur la question de la dignité en particulier, cf. Conti (n. 8), 252 ss.↩︎

  130. Sur cet aspect en doctrine étrangère : Buitelaar (n. 6), 134 ss ; Harbinja (n. 8), 95 ; Öhman/Floridi, Ethical Framework (n. 11), 319.↩︎

  131. TF, 5A_906/2016 du 28 avril 2017, c. 3.3.1 ; Meier (n. 117), N 601.↩︎

  132. Cela n’empêche pas de considérer qu’il existe une lacune proprement dite et qu’une base légale étendant le champ de la protection des données aux données personnelles de personnes décédées soit nécessaire, cf. à ce sujet : Maryse Pradervand-Kernen/Norah Wenger, Successions et protection des données, in : Eigenmann Antoine/Mooser Michel/Pradervand-Kernen Maryse (éds), Journée de droit successoral, Berne 2026, N 1 ss, N 106 ss et Perrin/Eggimann (n. 98), 889 s.↩︎

Gestaltungskonzept
Dorian Delnon, SIVIC Scientific Visualisation and Visual Communication, Universität Zürich
PrintCSS
Julie Blanc, https://julie-blanc.fr/, mit paged.js
Lehrstuhl für Privatrecht, Schwerpunkt ZGB, Prof. Dr. iur. Walter Boente, Rämistrasse 74/39, CH-8001 Zürich, rt@ius.uzh.ch

ISSN 2813-7140