RGPD et décès : comment les organismes doivent-ils gérer les données des défunts ?

31/10/2025 - Article rédigé par Ninon MAIRE

Les entreprises et organismes qui traitent des données personnelles doivent anticiper la gestion des données post-mortem pour respecter la loi et faciliter les démarches des proches. En France, la législation offre un cadre spécifique pour les données des personnes décédées, en complément du Règlement général sur la protection des données (RGPD) au niveau européen.

Voici un aperçu clair du cadre juridique applicable, des mesures à prévoir en amont et des procédures à suivre lors du décès d’une personne concernée.

Cadre juridique en France et positionnement européen/international

🔦 Droit européen (RGPD) et vide juridique pour les défunts

Le RGPD (applicable depuis 2018 dans l’UE) ne protège que les personnes vivantes. Le considérant 27 du RGPD précise explicitement qu’il « ne s’applique pas aux données à caractère personnel des personnes décédées » et laisse aux États membres le soin d’établir leurs propres règles en la matière.

Ainsi, au niveau de l’UE, il n’existe pas de droit uniforme pour les données des défunts, et chaque pays peut légiférer pour combler ce vide.

⚖️ Cadre légal français

La France a été pionnière en adoptant des dispositions spécifiques sur les données post-mortem via la Loi pour une République numérique de 2016, qui a modifié la Loi « Informatique et Libertés » (LIL).

Depuis, le Chapitre V de la LIL (articles 84 à 86) régit le traitement des données à caractère personnel des personnes décédées. Ces articles prévoient notamment la possibilité pour chacun de décider du sort de ses données après son décès, et encadrent les droits des héritiers et proches en l’absence de directives laissées par le défunt.

💡 Autres pays européens

D’autres pays de l’UE ont profité de la marge laissée par le RGPD pour introduire des règles similaires. Par exemple, l’Espagne a explicitement prévu que les proches et héritiers peuvent demander l’accès, la rectification ou la suppression des données d’une personne décédée, sauf si celle-ci s’y était opposée de son vivant (notamment via testament ou directive).

Ce droit espagnol comporte une exception pour les données patrimoniales : les héritiers peuvent toujours accéder aux informations nécessaires au règlement de la succession, indépendamment d’une éventuelle opposition du défunt.

Globalement, la plupart des législations européennes alignées sur le RGPD ont dû combler l’absence de protection post-mortem par des lois nationales, avec des nuances selon les pays.

🗺️ Perspective internationale

À l’échelle mondiale, la protection des données des personnes décédées n’est pas uniformément réglementée. Dans de nombreux pays hors UE, aucune loi générale ne s’applique aux données des défunts, ce qui signifie que ces données peuvent souvent être traitées sans consentement puisque la personne n’est plus là pour s’y opposer.

Par exemple, aux États-Unis, il n’existe pas de loi fédérale de protection des données personnelles des morts – la confidentialité s’éteint en principe avec la personne. Seules certaines lois sectorielles ou locales interviennent : le secret médical (HIPAA) protège les informations de santé jusqu’à 50 ans après le décès, et la plupart des États américains ont adopté des lois (inspirées du Revised Uniform Fiduciary Access to Digital Assets Act) pour permettre aux exécuteurs testamentaires d’accéder aux actifs numériques du défunt dans certaines conditions.

Néanmoins, ces dispositifs restent fragmentaires et souvent subordonnés aux volontés exprimées par le défunt ou à une décision judiciaire. Ainsi, comparativement, la France dispose d’un cadre légal post-mortem plus structuré et protecteur que beaucoup d’autres juridictions.

Directives anticipées : prévoir le sort de ses données après la mort

La loi française reconnaît à toute personne le droit d’organiser à l’avance sa “mort numérique” en définissant des directives sur le devenir de ses données personnelles après son décès.

Ces directives anticipées peuvent être de deux types :

• Directives particulières : Elles portent sur des traitements ou services précis (par exemple le compte d’un réseau social, une messagerie, un service en ligne particulier). Elles doivent être enregistrées auprès du responsable de traitement concerné (l’entreprise ou plateforme qui détient les données). Leur mise en place requiert un consentement spécifique de la personne et ne peut pas résulter d’une simple acceptation générale des conditions d’utilisation. Autrement dit, une clause cachée dans les CGU ne suffit pas : la personne doit exprimer clairement ses volontés post-mortem pour ce service.
• Directives générales : Elles couvrent l’ensemble des données personnelles de la personne, tous services et fichiers confondus. La loi prévoit qu’elles puissent être confiées à un tiers de confiance numérique certifié par la CNIL, qui les enregistrerait dans un registre national unique. En pratique toutefois, ce dispositif centralisé n’a pas encore vu le jour (les décrets nécessaires n’ont jamais été publiés). En attendant, il est possible de confier ses directives générales à un notaire, ou de les insérer dans son testament, pour qu’elles soient prises en compte légalement.

🎯 Contenu et portée des directives

Qu’elles soient générales ou particulières, ces directives déterminent comment la personne souhaite que ses droits “informatique et libertés” soient exercés après sa mort.

Concrètement, on peut y stipuler si l’on veut que ses données soient conservées, supprimées ou communiquées à des tiers après le décès. Par exemple, on peut demander l’effacement de ses comptes et données personnelles, ou au contraire autoriser leur conservation (pour archivage ou mémoire), voire organiser leur transmission à une personne désignée.

Les directives peuvent également prévoir la désignation d’une personne chargée de leur exécution. Cette personne, une fois informée du décès, aura le pouvoir de prendre connaissance des directives laissées et de demander aux organismes concernés de les appliquer (fermeture de compte, transmission de données, etc.).

Enfin, ces directives sont révocables et modifiables à tout moment du vivant de la personne. Une personne peut changer d’avis et mettre à jour ses instructions post-mortem si sa situation ou ses préférences évoluent. Le responsable de traitement (l’entreprise) doit obtenir ce consentement explicite pour chaque directive particulière, et toute clause standard dans un contrat qui limiterait ce droit de laisser des directives est nulle et non avenue.

Droits des héritiers et des proches en l’absence de directives

👨‍👩‍👧‍👦 Les différents droits

Si le défunt n’a laissé aucune instruction particulière sur ses données (ce qui reste le cas le plus fréquent), la loi française permet aux proches d’agir afin de gérer ses données personnelles.

En l’absence de directives contraires, les héritiers (ou personnes ayant qualité à agir, comme un conjoint ou un mandataire successoral) disposent de plusieurs droits pour prendre en compte le décès :

Accès aux informations pour la succession

Les héritiers peuvent obtenir communication des données strictement nécessaires au règlement de la succession du défunt. Cela permet par exemple d’identifier des avoirs financiers en ligne, des contrats numériques ou des factures stockées dans sa messagerie, utiles à la liquidation et au partage de l’héritage.

Ce droit d’accès “succession” est toutefois limité aux informations ayant une utilité patrimoniale ou administrative.

Récupération des biens numériques à valeur mémorielle

La loi prévoit que les héritiers peuvent recevoir les biens numériques ou données s’apparentant à des souvenirs de famille du défunt.

Cela peut inclure des photos, vidéos, écrits personnels ou autres contenus numériques à forte valeur sentimentale, que le défunt conservait (sur un cloud, un réseau social, etc.). Ces éléments, considérés comme un patrimoine immatériel familial, sont transmissibles aux héritiers au même titre que des albums photo ou correspondances papier.

Bien sûr, cela doit se faire dans le respect des droits éventuels des tiers apparaissant dans ces données (autres personnes sur les photos, etc.) afin de ne pas violer leur vie privée.

Prise en compte du décès par les responsables de traitement

Les héritiers peuvent demander aux organismes détenant les données du défunt de tenir compte de son décès.

Concrètement, ils peuvent exiger la clôture ou suppression des comptes utilisateurs du défunt (fermeture d’un profil sur un site, d’une adresse e-mail, etc.).

Ils peuvent aussi s’opposer à la poursuite du traitement des données du défunt – par exemple faire cesser l’envoi de newsletters ou l’utilisation commerciale des données.

Enfin, ils peuvent demander la mise à jour des données, c’est-à-dire par exemple faire indiquer dans une base de données que la personne est décédée, afin d’éviter tout traitement ultérieur inapproprié.

🔧 Conditions d’exercice de ces droits

Lorsqu’ils exercent ces droits, les héritiers doivent justifier de leur identité et de leur qualité d’héritier auprès du responsable de traitement.

En pratique, il leur sera demandé un justificatif comme un acte de décès, un livret de famille ou un acte de notoriété héréditaire, prouvant le lien avec le défunt.

Une fois la demande reçue, le responsable du fichier doit s’exécuter gratuitement et informer le demandeur qu’il a bien procédé aux opérations requises (fermeture du compte, suppression des données, etc.).

Si plusieurs héritiers sont en désaccord sur l’exercice de ces droits (par exemple l’un veut conserver le compte ouvert comme mémorial, l’autre veut le supprimer), le litige doit être tranché par le tribunal judiciaire compétent.

Limites et protections particulières

Il convient de noter que si le défunt a laissé des directives de son vivant restreignant l’accès de ses héritiers, celles-ci priment. Par exemple, s’il a explicitement interdit que ses données soient communiquées à ses proches, les héritiers ne pourront pas exercer les droits d’accès ou suppression contraires à cette volonté.

En outre, le droit français maintient le secret des correspondances : les héritiers n’ont pas un droit absolu de lire les courriels ou messages privés du défunt sans son accord. Par principe, les communications personnelles (courriels, messages sur les réseaux sociaux) restent protégées, et l’accès par les proches peut être refusé s’il viole ce secret ou la confidentialité due aux tiers correspondants.

Les plateformes en ligne proposent alors souvent des solutions alternatives, comme la conversion du compte en mode « mémorial » (profil consultable mais inactif) plutôt qu’une divulgation directe du contenu privé.

Enfin, le Code civil français ne reconnaît pas formellement la continuation des droits de la personnalité après le décès, mais il existe un droit au respect de la mémoire du défunt. Si un traitement de données concernant une personne décédée porte atteinte à son honneur, à sa réputation ou cause un préjudice moral aux proches, ces derniers peuvent agir en justice.

Par exemple, si des données du défunt sont diffusées d’une manière qui salit sa mémoire ou blesse la famille, les héritiers peuvent saisir les tribunaux et demander réparation du préjudice. Ce recours s’inscrit dans le prolongement de la protection de la vie privée et de l’honneur, adaptée aux personnes décédées.

Obligations et bonnes pratiques pour les organismes traitant des données post-mortem

💬 Informer les utilisateurs et recueillir leurs choix

La principale obligation proactive introduite par la loi française concerne les prestataires de services en ligne.

Tout fournisseur de service de communication au public en ligne (sites web, réseaux sociaux, messageries, plateformes numériques…) doit informer ses utilisateurs de ce qu’il adviendra de leurs données après leur décès, et leur permettre de décider si leurs données seront communiquées à un tiers de leur choix.

En pratique, cela signifie que les sites internet et applications devraient inclure, par exemple dans les paramètres du compte ou la politique de confidentialité, une section sur la gestion du compte en cas de décès.

L’utilisateur doit pouvoir y exprimer ses volontés : désigner une personne qui recevra certaines données, demander la suppression du compte à son décès, ou au contraire choisir de ne rien transmettre.

De grands acteurs du numérique se sont déjà alignés sur ces principes bien avant qu’ils ne soient obligatoires : Facebook permet depuis 2015 de nommer un contact légataire qui gérera un compte mémorial, Google propose un gestionnaire de compte inactif qui envoie vos données à des contacts désignés après une période d’inactivité, etc. Désormais, en France, toutes les plateformes doivent offrir ce type d’option à leurs usagers et les informer clairement (par exemple lors de l’inscription ou via des communications dédiées) de leurs droits d’anticipation post-mortem. Ne pas le faire vous exposerait à un manquement réglementaire.

📝 Adapter les conditions contractuelles

Les entreprises doivent veiller à ce qu’aucune clause de leurs conditions générales d’utilisation n’aille à l’encontre des droits reconnus par la loi aux personnes et à leurs héritiers.

Toute clause contractuelle qui empêcherait un utilisateur de laisser des directives, ou qui refuserait par avance les demandes des héritiers, est réputée non écrite (sans effet).

Par exemple, une clause stipulant que « le compte sera automatiquement supprimé après 1 an d’inactivité y compris en cas de décès, sans possibilité pour les proches d’intervenir » serait invalide en France, car elle priverait les héritiers de leurs droits ou l’utilisateur de choisir les modalités.

Il est donc recommandé de mettre à jour les CGU et politiques de confidentialité pour intégrer la prise en compte du décès et les droits afférents, en conformité avec la loi.

🧭 Mettre en place une procédure interne de gestion des cas de décès

Pour être prêt à gérer les données d’un utilisateur décédé, un organisme doit définir des procédures claires :

• Point de contact désigné : Identifier le service ou la personne (DPO, service client, service juridique) chargé de traiter les demandes liées aux décès. Les proches endeuillés doivent pouvoir trouver facilement comment vous contacter pour signaler le décès et faire valoir leurs droits.
• Vérification des demandes : Préparer la liste des documents à exiger pour vérifier la validité d’une demande (acte de décès, justificatif d’identité du demandeur, preuve du lien de parenté ou de la qualité d’héritier comme un acte de notoriété). Il s’agit de protéger l’accès aux données contre des demandes frauduleuses tout en facilitant la démarche pour les ayants droit légitimes.
• Exécution des opérations : Mettre en place un processus technique pour effectuer rapidement les actions demandées (suppression du compte, désactivation du profil, extraction des données à transmettre aux héritiers, etc.). Idéalement, prévoir un délai interne de traitement court, car la loi exige d’agir sans frais et dès que possible une fois la demande validée. Assurez-vous que votre équipe support/DPO sache comment accéder au compte d’un utilisateur décédé et réaliser ces opérations en respectant la confidentialité.
• Journalisation et preuve : Garder une trace des opérations effectuées afin de pouvoir justifier que vous avez bien pris en compte le décès et exécuté les mesures requises, comme l’exige la loi. Ceci est important en cas de contestation ou de contrôle de la CNIL.

🤝 Respect des préférences de l’utilisateur défunt

Si de son vivant l’utilisateur vous a communiqué des directives (particulières) concernant ses données post-mortem, vous êtes tenu de les respecter scrupuleusement.

Cela peut impliquer de transmettre certaines informations à une personne désignée, ou au contraire de ne pas donner suite aux demandes d’accès des proches si tel était son choix explicite.

Il est essentiel que ces volontés, lorsqu’elles vous ont été confiées, soient documentées et conservées en lieu sûr dans vos systèmes, pour être exécutées le moment venu. Une bonne pratique consiste à associer sur le profil client une mention « Directive post-mortem enregistrée » et les coordonnées du légataire numérique éventuel, afin que le jour venu votre équipe puisse immédiatement en prendre connaissance et agir en conséquence.

🏥 Cas particuliers (données de santé et recherche)

Le législateur français a prévu une exception spécifique pour favoriser la recherche médicale.

L’article 86 de la LIL autorise le traitement des informations concernant les personnes décédées – y compris issues de leur certificat de décès – à des fins de recherche scientifique, d’étude ou de statistique dans le domaine de la santé, sauf si la personne s’y était opposée de son vivant par écrit.

Concrètement, un organisme de recherche ou une institution de santé peut exploiter les données de santé d’un patient décédé (dossier médical, données génétiques, etc.) pour la recherche épidémiologique ou historique sans avoir besoin du consentement des héritiers, tant que le défunt n’avait pas signifié de refus de son vivant.

C’est une dérogation notable au principe général, destinée à concilier respect de la volonté individuelle et intérêt public de la recherche. Les organismes dans le secteur de la santé doivent donc intégrer ce point : vérifier l’absence d’opposition du patient décédé (par exemple via son dossier ou registre de refus) avant de réutiliser ses données, et sinon considérer ces données comme librement exploitables pour la recherche dans le respect du secret médical.

Synthèse

En résumé, le RGPD ne protège que les personnes vivantes, mais la loi française a comblé ce vide en reconnaissant aux citoyens le droit de déterminer le sort de leurs données après leur décès (articles 84 à 86 de la loi Informatique et Libertés).
Chaque organisme doit donc pouvoir :

1. Informer les utilisateurs de cette possibilité et leur offrir un moyen clair d’exprimer leurs directives post-mortem ;
2. Conserver et exécuter les volontés exprimées (directives particulières ou générales, légataire numérique, etc.) ;
3. Accueillir et instruire les demandes légitimes des héritiers en l’absence de directives ;
4. Mettre à jour ou supprimer les données des personnes décédées dès que le décès est connu, sauf obligation légale de conservation ;
5. Documenter ces opérations dans ses procédures internes et sensibiliser les équipes concernées.

Anticiper la gestion des données post-mortem, c’est non seulement respecter la loi, mais aussi prolonger la confiance accordée par les personnes de leur vivant — en assurant que leur vie numérique soit traitée avec la même dignité que leur vie privée.

Le logiciel RGPD du DPO

Les DPO internes, vous disposez de documentations et d’outils intuitifs, permettant la collaboration avec vos équipes.

Les DPO mutualisés et externes (consultants freelance, cabinets d'avocats ou de conseil, institutions publiques), en plus de disposer des mémes fonctionnalités que les DPO internes pour tous vos clients, vous gérez ensemble sur une seule plateforme.

En savoir plus