Photo libre de droits de Vitaly Gariev sur Unsplash
De leur vivant, les personnes concernées ont le droit d’accéder à leurs données personnelles, en application des articles 15 du Règlement général sur la protection des données (RGPD) et 49 de la loi n°78-17 relative à l’informatique, aux fichiers et aux libertés.
Lors du décès d’une personne, ses données ne sont pas automatiquement supprimées par les entreprises, les administrations, les équipes de soins ou les réseaux sociaux. Ses données restent dans leurs bases de données ou en ligne.
Souvent et pour diverses raisons, les membres de la famille souhaitent accéder aux données du défunt voire aux données médicales en principe couvertes par le secret médical.
Les données des personnes décédées sont-elles accessibles et à quelles conditions ?
I. Les conditions d’accès aux données des personnes décédées
En amont, il est possible de dicter des directives sur la gestion de ses données après son décès, comme je l’expliquais dans mon article intitulé « Décès et données personnelles sur internet : comment s’organiser ? » publié sur le site Village de la Justice en septembre 2025.
Pour les entreprises et les administrations, il sera nécessaire de mettre en place une procédure pour la gestion des données des personnes décédées et la gestion des demandes d’accès à leurs données par leurs proches ou des tiers.
Cette procédure devra prendre en compte les dispositions de l’article 89 de la loi dite Informatique et libertés qui prévoit qu’en l’absence de directives de la personne concernée de son vivant, les héritiers de la personne concernée peuvent exercer son droit d’accès aux données personnelles lorsque cela est nécessaire :
- 1° A l’organisation et au règlement de la succession du défunt ;
- 2° A la prise en compte par le responsable de traitement de son décès.
Cette procédure est une mise en œuvre de la politique de durée de conservation, qui guide la vie des données et des documents au sein de l’organisme. Cette procédure fera partie de sa documentation de conformité au RGPD. A ce titre, le délégué à la protection des données de l’organisme devra être consulté afin de conseiller utilement le responsable de traitement.
II. L’accès aux données des personnes décédées couvertes par le secret médical
Le secret médical ne fait pas obstacle à ce que les membres de la famille aient accès aux données d’une personne décédée mais cet accès est encadré par l’article L.1110-4 du code de la santé publique.
Seuls les ayants droit, concubin et partenaire lié par un pacte civil de solidarité peuvent obtenir des informations concernant une personne décédée.
Néanmoins, ces informations doivent être nécessaires pour leur permettre de connaître les causes de la mort, de défendre la mémoire du défunt ou de faire valoir leurs droits.
Là encore, cet accès est empêché si la personne décédée a exprimé une volonté contraire avant son décès.
Les règles applicables sont différentes pour les personnes mineures décédées.
En application du même article du code de la santé publique, les titulaires de l’autorité parentale conservent leur droit d’accès à la totalité des informations médicales les concernant.
Toutefois, cet accès ne concerne pas les éléments relatifs aux décisions médicales pour lesquelles la personne mineure s’est opposée à l’obtention du consentement des titulaires de l’autorité parentale pour toute action de prévention, de dépistage, de diagnostic, de traitement ou d’intervention nécessaire pour sauvegarder sa santé ou sa santé sexuelle et reproductive, comme prévu aux articles L. 1111-5 et L. 1111-5-1 du code susmentionné.
Enfin, à moins que la personne décédée ait exprimé un refus avant son décès, ses informations sont communicables au médecin assurant la prise en charge d’une personne susceptible de faire l’objet d’un examen des caractéristiques génétiques dans les conditions prévues au I de l’article L. 1130-4 du code de la santé publique.
Jessy Pollux
Avocate au barreau de Paris