Dans un arrêt du 7 juin 2017, le Conseil d’Etat a annulé la décision en date du 17 mars 2016 (n°16003396) de la Commission Nationale de l’Informatique et des Libertés (CNIL) en ce qu’elle considérait que le droit d’accès conféré aux personnes physiques par l’article 39 de la loi Informatique et Libertés est un droit personnel qui ne se transmet pas aux héritiers.

En l’espèce, un particulier avait adressé une plainte à la CNIL après s’être vu refusé l’accès aux données de sa défunte mère par la mutuelle de celle-ci. Le plaignant entendait notamment se faire communiquer les données détenues par la mutuelle dans le cadre d’une procédure judiciaire intentée par sa mère avant son décès et suite à un accident de la circulation dont elle avait été victime.

La CNIL avait clôturé la plainte du descendant au motif que le droit d’accès conféré aux personnes physiques par l’article 39 de la loi Informatique et Libertés est un droit personnel qui ne se transmet pas aux héritiers. Le descendant a donc saisi le Conseil d’Etat afin de voir annuler une telle décision pour excès de pouvoir.

Dans sa décision, le Conseil d’Etat a considéré qu’en principe le descendant d’une personne décédée ne pouvait pas accéder aux données de cette dernière dans la mesure où il ne saurait être considéré comme « la personne concernée » au sens de la loi de 1978.  En effet, la loi Informatique et Libertés ne confère un droit d’accès qu’à la seule « personne concernée » qu’elle définit comme « celle à laquelle se rapportent les données qui font l’objet du traitement » (Article 2).

La haute juridiction administrative a toutefois rappelé qu’au terme de alinéa de l’article 724 du Code civil, et en cas de décès de la victime d’un dommage, « son droit à la réparation de ce dommage, entré dans son patrimoine, est transmis à ses héritiers, saisis de plein droit des biens, droits et actions du défunt ».

Le Conseil d’Etat a ainsi considéré que la demande litigieuse était bien fondée dans la mesure où la victime du dommage avait engagé une action en réparation préalablement à son décès, ce qui de fait, conférait au descendant la qualité de « personne concernée » au sens des articles 2 et 39 de la loi du 6 janvier 1978.

Le Conseil d’Etat annule donc la Décision de la CNIL du 17 mars 2016 au motif que « lorsque la victime a engagé une action en réparation avant son décès ou lorsque ses héritiers ont ultérieurement eux-mêmes engagé une telle action, ces derniers doivent être regardés comme des  « personnes concernées» au sens des articles 2 et 39 de la loi du 6 janvier 1978 pour l’exercice de leur droit d’accès aux données à caractère personnel concernant le défunt, dans la mesure nécessaire à l’établissement du préjudice que ce dernier a subi en vue de sa réparation et pour les seuls besoins de l’instance engagée. »

Cette décision fait écho à la loi du 7 octobre 2016 dite pour une République Numérique qui a instauré la possibilité pour une personne de définir des directives générales ou particulières relatives à la conservation, à l’effacement et à la communication de ses données à caractère personnel après son décès.