Le blog juridique de Murielle Cahen

Identité numérique post mortem

Le 29/01/2010, par Murielle Cahen, dans Technologies / Droit de l'internet.

Vos réactions...

   

I - Les contours de la notion d'identité numérique

Avant de nous pencher plus en profondeur sur la problématique de la gestion de l'identité numérique post mortem, il est indispensable de revenir sur la notion même d'identité numérique et sur les enjeux de sa gestion.

A) Qu'est ce que l'identité numérique ?

Actuellement, aucune définition juridique n'est donnée de la notion d' "identité numérique" ; il est donc encore difficile d'en apprécier les contours. Nous nous fierons ici, à la définition de Frédéric CAVAZZA, professionnel dans le domaine de l'Internet.

1) Une définition de l'identité numérique

Même si les notions d' "e-réputation" et d' "identité numérique" sont proches et très souvent employées l'une pour l'autre, il est très important de ne pas les confondre.

L'identité d'une personne est le fondement de l'existence de sa personnalité juridique dans notre société.

Dans le "monde réel", cette identité, formée de l'état civil, du nom et du prénom, est soit attribuée de façon autoritaire par le lien de filiation pour le nom patronymique, soit sous contrôle des autorités publiques : nul ne peut donc se "façonner" sur mesure une identité qui ne serait pas reconnue par les autorités publiques.

A l'inverse, dans le "monde virtuel", aucune autorité n'intervient dans l'attribution d'une identité. C'est à nous, pour exister virtuellement, de nous créer ce qu'on appelle une "identité numérique" composée le plus souvent d'un compte personnel, de son mot de passe et d'une adresse email électronique. Ces attributs de l'identité numérique sont librement choisis par celui qui la créée. Elle peut par conséquent être tout à fait fantaisiste via l'utilisation d'un pseudonyme ou le reflet de l'identité réelle : les internautes peuvent donc se créer des dizaines d'identités différentes.

Selon Frédéric CAVAZZA, l'identité numérique est aussi composée de l'ensemble des traces ou informations qu'un internaute laisse, ramenant à sa personnalité, son caractère, son entourage, ses habitudes : par exemple ses coordonnées (email, numéro de téléphone, adresse IP etc.), ses photos, ses vidéos, ses achats effectués sur Amazon ou Ebay qui permettent de modéliser ses habitudes de consommation, ses articles dans Wikipédia ou ses avis sur des forums [1]. Il est donc important d'avoir une vision nette de toutes les traces que nous laissons au quotidien sur Internet de manière à maîtriser l'image que l'on donne de nous-même.

2) L'intérêt de la gestion de l'identité numérique

Bien que dans le monde réel, toute personne dispose d'une identité définitive, sur Internet, les internautes peuvent se créer des dizaines d'identités différentes. Il est donc possible à tout un chacun d'usurper l'identité numérique d'un tiers. Le danger le plus irrémédiable de toute usurpation d'identité numérique est bien évidemment l'atteinte à l'e-réputation d'une personne. Il s'avère donc nécessaire de gérer au mieux son identité numérique sur Internet.

Avec les atteintes à l'e-réputation, on commence à prendre conscience de l'ampleur des dommages qu'un tel outil peut provoquer s'il n'est pas parfaitement maîtrisé. Sur Internet, chaque internaute devient une personnalité publique, explique Jean-Marc MANACH, journaliste spécialiste des questions de protection de la vie privée. "Le web 2.0 a donné naissance à un nouveau paradigme : celui du "e-branding", soit le fait que l'identité de chacun est assimilée à une marque. D'où l'importance de savoir faire ce qui auparavant ne concernait que les politiques et les personnalités publiques : gérer sa visibilité sur le web" [2]. Chacun est responsable de l'image qu'il renvoie sur Internet. Toutefois, cela nécessite une stratégie de communication précise et efficace. On distingue alors la "gestion" de la "maîtrise" de son identité numérique [3] qui sont deux volets complémentaires :

"Tandis que la maîtrise représente une démarche personnelle, individuelle et peut être assumée par tout un chacun, la gestion de l'identité numérique est l'aspect le moins maîtrisable puisqu'il ne dépend plus uniquement de l'intéressé mais aussi des autres internautes ». La gestion de l'identité numérique englobe donc toutes les traces que peuvent laisser les internautes à notre sujet sur la Toile.

D'après Jean-Marc MANACH, "la meilleure solution pour protéger son identité numérique consiste à publier soi-même des informations qu'on contrôle : par exemple créer son site ou son blog qu'on alimente régulièrement suffit pour le faire apparaître en tête des résultats de recherche".

Qu'en est-il de sa gestion post mortem ? Les enjeux sont-ils les mêmes que pour la gestion de l'identité numérique d'une personne vivante ?

B) La problématique juridique de sa gestion sur Internet

Par définition, un défunt ne peut plus gérer son identité numérique sur Internet. Il ne peut donc plus récupérer ses photographies, effacer ses articles, fermer ses sites Internet. Ses données personnelles sont donc condamnées à errer sur la Toile et les atteintes à celles-ci sont plus que jamais possibles car l'identité numérique survit à la personne. Une "mort virtuelle" est donc impossible. Cela pose donc plus que jamais la problématique du droit à l'oubli sur Internet.

1) Les atteintes à l'image et aux données du défunt sur Internet

Conformément aux articles 226-1 à 226-8 du Code civil, tout individu jouit d'un droit au respect de sa vie privée ainsi que d'un droit à l'image.

En vertu de ces dispositions, la publication ou la reproduction sur support papier ou sur Internet d'une photographie sur laquelle une personne est clairement reconnaissable n'est possible qu'avec son consentement préalable, et ce, que l'image soit préjudiciable pour la personne ou non.

En pratique, la publication d'une photographie sur Internet se fait rarement avec le consentement ou après consultation de la personne représentée. Il devient donc parfaitement impossible de garder le contrôle sur ses photos dès lors qu'elles sont publiées sur Internet.

Toute personne vivante bénéficie de moyens juridiques mis à sa disposition pour se défendre contre ce genre d'attaques : il y a tout d'abord l'action en violation du droit au respect de la vie privée, et l'action en violation du droit à l'image.

Mais qu'en est-il du défunt ? Ces mêmes actions sont-elles ouvertes à ses ayants-droits ? La gestion de l'identité numérique post-mortem est-elle possible ?

Il sera alors d'autant plus facile de porter atteinte à l'identité d'une personne défunte et de salir sa réputation.

De même, existe -t-il une action en diffamation, injure ou dénigrement pour défendre l'image des personnes décédées ?

Cela pose alors le problème de l'atteinte à l'image et aux données du défunt sur Internet et plus largement au droit à l'oubli de la personne décédée.

2) Le droit à l'oubli sur Internet

"Face aux risques de l'informatique, le législateur a prévu depuis longtemps un droit à l'oubli. celui-ci résultant de l'association de plusieurs dispositions contenues dans la Directive européenne du 24 octobre 1995 sur la protection de la vie privée. Ces dispositions ont été intégrées en France à la loi Informatique et Libertés du 6 janvier 1978» [4]. Le temps de conservation des données nominatives stockées dans la mémoire des ordinateurs est désormais limité dans le temps [5], la conservation des informations nominatives durant une période supérieure à celle qui a été déclarée lors de l'accomplissement des formalités préalables est même sanctionnée pénalement [6].

Mais face à la mémoire gigantesque d'Internet, le droit à l'oubli rencontre inévitablement des obstacles.

"En 2001, à l'instigation du député-maire d'Issy-les-Moulineaux, André Santini, un groupe de travail réunissant quelques experts de l'Internet publiait une déclaration des "droits de l'homme numérique" [7]. Il s'agissait d'adapter le nécessaire équilibre entre liberté collective et liberté individuelle au monde de l'Internet. Bien qu'ayant fait l'objet d'une loi, parmi les propositions soumises au législateur, le cas du "droit à l'oubli" est resté "sur la touche"".

Pourtant, "l'homme numérique doit pouvoir compter sur la loi pour faire effacer des données sur le net qui pourraient être attentatoires à son intégrité morale, à sa liberté individuelle (…)" [8].

S'agissant d'une personne défunte, que deviennent alors ses données personnelles ? sont-elles définitivement disponibles pour tous ? [9] Peut-on faire valoir le droit à l'oubli d'une personne défunte ?

II - La gestion de l'identité numérique post mortem

Tout cela pose alors la problématique des droits dont dispose chacun sur son identité numérique.

A) La transmission de l'identité numérique aux ayants-droits

1) L'identité numérique fait-elle partie du patrimoine d'une personne ?

Autrement dit, est-on propriétaire de son identité numérique ? Cela renvoie à la problématique de l'usurpation d'identité numérique sur Internet.

Nous avons vu précédemment que, dans le monde virtuel, chacun peut se créer l'identité numérique qu'il souhaite, qu'elle soit fantaisiste ou le reflet de son identité réelle. Une même personne peut alors avoir plusieurs identités numériques sur Internet alors qu'il n'en aura qu'une seule dans le monde réel. En cela, il est possible à tout un chacun de prendre volontairement l'identité réelle d'un tiers pour s'en faire une identité numérique fantaisiste.

On en déduit donc que l'identité numérique d'une personne ne lui appartient pas même si elle est le reflet de son identité réelle.

Il n'existe pas, actuellement en France, de délit d'usurpation d'identité numérique : le fait de se faire passer pour une autre personne sur un forum de discussion n'est par conséquent pas sanctionné. En revanche, l'usurpation constitue un délit dans un cas bien précis : celui « de prendre le nom d'un tiers dans des circonstances qui ont déterminé ou auraient pu déterminer contre celui-ci des poursuites pénales" [10]. Bien entendu, il faut que cette usurpation s'accompagne d'une volonté de nuire à la victime, de lui créer un préjudice.

Dans ce cas, l'usurpation est punie de 5 ans d'emprisonnement et de 75 000 euros d'amende.

Avec l'augmentation considérable des cas d'usurpation d'identité sur Internet, une loi sur le sujet apporterait une première solution non négligeable au problème ainsi posé. Tant qu'il n'y aura pas de définition juridique et de contours clairs de la notion d' "identité numérique", la question de la propriété de l'"identité numérique" ne pourra être évoquée.

2) Peut-on céder les composantes de son identité numérique à ses ayants-droits ?

Si les données personnelles d'une personne lui appartiennent, que deviennent-elles quand la personne décède ? Sont-elles la propriété des ayants-droits ?

Toutes ces questions nous ramènent à la problématique de la conservation des données par les moteurs de recherche ou les réseaux sociaux.

Prenons le cas de Facebook : une personne décède : que deviennent ses photographies ?

Il est stipulé dans les conditions générales d'utilisation du réseau social, que dès lors que des données sont publiées, celles-ci reviennent de droit à Facebook. En d'autres termes, Facebook peut réutiliser ces données comme il l'entend ; elles ne font donc pas partie du patrimoine des ayants-droits : elles sont ab initio propriété de Facebook dès lors qu'elles sont publiées. Facebook est donc libre de les revendre à des tiers et d'en faire un usage commercial. De plus, même après suppression d'un compte Facebook, les données personnelles sont conservées. Cela a fait polémique dans de nombreux pays notamment en Europe dans la mesure où cette clause était contraire à la Directive 95/45 de la Commission européenne.

Pour ce qui est moteurs de recherche, cette problématique a été abordée par le "Groupe de l'article 29" [11] dans un avis du 4 avril 2008.

Il préconisait l'effacement au bout de 6 mois des données personnelles enregistrées sur les moteurs de recherche. En effet, il estime que les moteurs doivent également se soumettre aux règles de protection des données personnelles définies par la directive 95/46/CE à savoir que la collecte de données ne peut être effectuée que si cela "est nécessaire à la réalisation d'un intérêt légitime", et si la personne concernée par cette collecte a "indiscutablement donné son consentement ».

Les ayants droits disposent-ils donc de moyens juridiques à leur disposition pour imposer aux moteurs de recherche et aux réseaux sociaux l'effacement des données personnelles au bout de 6 mois - conformément aux dispositions de la Directive 95/46/CE ?

B) La gestion de l'identité numérique par les ayants-droits

1) Une absence de moyens juridiques pour la gestion de l'identité numérique du défunt par les ayants droits

Les dispositions de la Directive européenne 95/46/ce sont applicables dès lors que le siège social de la société gérant un moteur de recherche est établi sur le territoire européen ou chaque fois que la société recourt à des moyens de traitement et de collecte de données effectués sur le territoire européen. En théorie, il est donc possible d'imposer à Google et à Facebook l'effacement des données personnelles d'une personne défunte au bout de 6 mois à compter de leur publication. Cependant, Google n'est pas prêt à se soumettre à la législation européenne sur la protection des données et cela même s'il a des serveurs implantés en Europe. Il annonce en revanche qu'il est prêt à essayer de trouver un compromis à discuter avec les autorités européennes.

Pour ce qui est de Facebook la constatation que toutes les données des utilisateurs sont conservées même après suppression du compte Facebook a particulièrement inquiété l'Australie et le Canada quant à la protection des données personnelles de leurs citoyens, [12] estimant qu'il existe "de graves lacunes dans la protection de la vie privée dans la manière dont le site fonctionne". C'est pourquoi, le 24 juillet dernier, le Canada a posé un délai de 30 jours pour que Facebook prenne acte de ces critiques et réagisse en conséquence, sous peine de quoi, des mesures judiciaires risquent d'être prises. A la suite de cela, Facebook a annoncé qu'il allait modifier les paramètres de confidentialité du réseau pour respecter davantage le droit au respect de la vie privée des internautes. Mais selon le chef de service de l'expertise informatique de la CNIL, "tout porte à croire que Facebook est en mesure de conserver indéfiniment ces données" [13]. Il n'y a jusqu'à ce jour, aucune jurisprudence sur ce sujet.

2) Des situations encore non abordées par le droit

On voit donc bien que l'internaute verra son identité numérique (ses comptes email, ses mots de passe etc…) lui survivre sans que ses ayant droits ne puissent la contrôler. Le danger est que cette même identité pourra être salie, malmenée.

De même, des internautes peuvent tout à fait lancer la rumeur du décès d'une personne sans que le "défunt" ne puisse contrôler le buzz.

Toutes ces situations n'ont pas encore été abordées par le droit, Internet étant encore trop récent pour en envisager toutes les conséquences à long terme. De plus, la notion même d'identité numérique ne trouve pas encore de contours à l'heure actuelle : il existe plusieurs définitions mais aucune n'a été proposé par le législateur. Tout est donc à faire dans ce domaine et la jurisprudence sur ces questions devraient se développer dans les années à venir.

par Murielle-Isabelle Cahen, Avocat
---

[1] - Voir l'article intitulé "qu'est-ce que l'identité numérique ?" du 22/06/06 de Fred Cavazza.

[2] - J-M. MANACH dans un article intitulé "La mauvaise e-réputation" du 07/07/09 de Marjorie Philibert.

[3] - "Maîtrise et gestion d'une identité numérique" par Aref JDEY (21/09/09).

[4] - M. CIPRUT dans l'article "Réputation sur Internet (3) : le droit à l'oubli ?" du 10/11/08 de Bernard Sady.

[5] - Voir l'article 24 et suivants de la Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, dite Loi "Informatique et Libertés" modifiée par la loi n°2004-801 du 6 août 2004.

[6] - C. pen., art. 226-20 : "Le fait de conserver des données à caractère personnel au-delà de la durée prévue par la loi ou le règlement, par la demande d'autorisation ou d'avis, ou par la déclaration préalable adressée à la Commission nationale de l'informatique et des libertés, est puni de cinq ans d'emprisonnement et de 300 000 Euros d'amende, sauf si cette conservation est effectuée à des fins historiques, statistiques ou scientifiques dans les conditions prévues par la loi.

Est puni des mêmes peines le fait, hors les cas prévus par la loi, de traiter à des fins autres qu'historiques, statistiques ou scientifiques des données à caractère personnel conservées au-delà de la durée mentionnée au premier alinéa."

[7] - Voir l'article intitulé "Les droits de l'Homme numérique" du 20/01/02 d'André Santini.

[8] - D. ETTIGHOFFER dans son article sur "Les droits de l'Homme numérique : le droit à l'oubli" du 09/06/04.

[9] - "La mort virtuelle, l'identité numérique post mortem, le business des larmes" (29/04/09).

10 - C. pen., Art. 434-23 : "Le fait de prendre le nom d'un tiers, dans des circonstances qui ont déterminé ou auraient pu déterminer contre celui-ci des poursuites pénales, est puni de cinq ans d'emprisonnement et de 75000 euros d'amende.

Nonobstant les dispositions des articles 132-2 à 132-5, les peines prononcées pour ce délit se cumulent, sans possibilité de confusion, avec celles qui auront été prononcées pour l'infraction à l'occasion de laquelle l'usurpation a été commise.

Est punie des peines prévues par le premier alinéa la fausse déclaration relative à l'état civil d'une personne, qui a déterminé ou aurait pu déterminer des poursuites pénales contre un tiers."

11 - Dénomination faite par référence à l'article 29 de la Directive européenne du 24 octobre 1995 qui a institué un comité consultatif des autorités nationales en charge de la protection des données à caractère personnel. Ce groupe a pour mission de donner à la Commission un avis autorisé au nom des Etats membres sur les questions relatives à la protection des données

12 - Voir l'article intitulé "Données personnelles : Facebook inquiète l'Australie" du 24/07/09.

13 - "En publiant un contenu utilisateur sur tout ou partie du site, vous concédez expressément à la Société, et vous garantissez détenir les droits nécessaires à cet effet, une licence irrévocable, perpétuelle, non exclusive, transférable et pour le monde entier sans rétribution financière de sa part, d'utiliser, copier, représenter, diffuser, reformater, traduire, extraire et distribuer ce contenu utilisateur, à des fins commerciales, publicitaires ou autre, sur le site ou en relation avec le site, de créer des oeuvres dérivées du contenu utilisateur et de l'incorporer à d'autres création, et d'en concéder des sous-licences des élements cités" - "cette licence de propriété intellectuelle se termine lorsque vous supprimez votre adresse IP et le contenu de votre compte (...) Cependant, le contenu supprimé reste stocké dans des copies de sauvegarde pour une période de temps raisonnable". (Conditions utilisation Facebook).

© 2010 Net-iris & Murielle Cahen

   

Commentaires et réactions :


 Fiche de Murielle Cahen

Profession : Avocate
Société : Cabinet d'avocats Murielle Cahen
Site web : Murielle-cahen.com/

Blog ouvert le : 27/11/2000
Nombre d'articles publiés : 155

Ses publications antérieures au 29/01/2010 :


Ses dernières publications au 30/09/2016:

-