Le droit à l’oubli dans le funéraire

Cette nouvelle règlementation européenne sur la protection des données, entrée en application depuis fin mai 2018, responsabilise les organismes privés ou publics traitant les données de leurs utilisateurs. Le règlement prend notamment en compte l’évolution des technologies et la montée en puissance des outils numériques. Les personnes qui souhaitent faire valoir leur droit à l’oubli peuvent s’adresser directement aux responsables de traitement détenant les données à supprimer.

Dès lors que les entreprises stockent, enregistrent ou conservent des données à caractère personnel, elles sont considérées comme responsables de traitement. Elles peuvent aussi être sous-traitantes si ces entreprises traitent des données personnelles pour le compte d’autres organismes. Ces nouvelles obligations européennes ont pour but d’offrir plus de transparence dans les relations professionnelles à différents échelons : salariés, clients, fournisseurs, …

Le RGPD veut réglementer la protection des données personnelles, mais qu’entend-on par ‘données personnelles’ ? Elles sont de deux ordres dès qu’il s’agit de personnes physiques. La personne peut être identifiée directement dans les fichiers, c’est par exemple le cas lorsque son nom apparaît. Elle peut aussi être identifiée indirectement lorsque le fichier contient des informations qui permettent l’identification de la personne comme une photographie, une date de naissance ou un numéro de téléphone. Toutes les données qui, recoupées, permettent d’identifier un individu sont considérées comme des données à caractère personnel. Les organismes qui traitent ces données sur le papier sont soumis à ces mêmes règles. Toute donnée collectée doit faire l’objet d’une protection spécifique, physique et informatique. La CNIL, Commission nationale de l’informatique et des libertés demande aux entreprises de mener diverses actions pour protéger les données des utilisateurs : le recensement des fichiers, le tri dans les données, le respect du droit des personnes et la sécurité des données.

Les organismes du secteur funéraire sont soumis aux mêmes règles que toutes les entreprises et doivent se plier à cette nouvelle réglementation. Les données de leurs salariés et celles de leurs clients doivent être managées. Il faut traiter les données récoltées pour établir les devis des clients, proposer les contrats obsèques ainsi que toutes prestations contenant des informations privées.

Les organismes du secteur funéraire doivent se doter d’un système d’information permettant d’assurer une certaine sécurité dans le traitement des données. Les données personnelles peuvent être stockées sur intranet, extranet ou encore sur disque dur et doivent faire l’objet de procédures de sécurisation permettant d’éviter le piratage. Si l’organisme funéraire dispose d’un site internet vitrine qui récolte des informations par formulaire (devis contrat obsèques, …), la sécurité du système d’information doit être assurée.

Le chef d’entreprise de pompes funèbres se doit de connaître la manière dont les données informatiques sont utilisées, dans sa propre entreprise, tout comme dans celles de ses fournisseurs ou de ses sous-traitants. Sa responsabilité est directement engagée. Les entreprises de pompes funèbres doivent à la fois gérer les données liées à leurs ressources humaines (salariés) et celles des futurs défunts. La réglementation RGPD s’applique aussi aux nouvelles technologies du funéraire : films, photos, textes postés sur internet, QR codes doivent être gérés.

Le RGPD stipule que le droit à l’oubli ne s’applique pas aux personnes décédées mais laisse libre chaque pays européen de légiférer sur ce point dans son propre pays. La France, à ce titre, a mis en place un droit à la mort numérique. Toute personne est libre de faire savoir comment ses données numériques doivent être traitées après sa mort ainsi que les conditions de ce traitement : suppression / conservation / communication de ces données.

Les directives de la personne sont enregistrées auprès d’un tiers de confiance et certifiées par la CNIL, la procédure est notifiée dans un registre. Les responsables de traitement doivent être contactés directement (Facebook par exemple), les directives liées à ces organismes faisant l‘objet d’un consentement spécifique. Les directives données par la personne avant sa mort peuvent être modifiées à tout moment ou supprimées, une personne en charge de faire exécuter les directives peut être désignée par la personne elle-même, les héritiers peuvent aussi s’en charger si personne n’a été désigné.

Si la personne décède sans avoir prévu de directives, les héritiers peuvent faire valoir leur droit d’accès à ces informations, leur droit d’opposition ou leur droit de rectification après la mort de la personne. Le décès de la personne peut ensuite être pris en compte auprès du responsable de traitement. Les héritiers peuvent demander une fermeture définitive des comptes utilisateur du défunt, faire mettre à jour les informations ou demander la cessation des traitements de données à caractère personnel.

Nouvelle réglementation européenne, le RGPD impacte tous les secteurs et le funéraire doit se mettre à la page pour offrir à ses utilisateurs, ses clients et ses salariés la protection de leurs données.