Blog
Conformité RGPD et bonnes pratiques

L'au-delà numérique : qui protège les données des fœtus et des défunts ?

Le RGPD protège les personnes physiques. Mais que deviennent les données de ceux qui ne le sont pas encore — ou ne le sont plus ? Entre séquençage génomique prénatal rattaché au dossier de la mère et données médicales qui continuent de circuler après un décès, le droit numérique révèle ses angles morts. Les récentes fuites de l'UNSS et de Cegedim Santé ont mis en lumière l'urgence de ces questions. Tour d'horizon d'une zone grise où l'éthique et la conformité RGPD s'entrechoquent.

Par
Guillemette Songy
1
Min
Partagez cet article
Données personnelles défunts foetus
Sommaire
Heading 2

Alors que les récentes fuites massives de l'UNSS et de Cegedim Santé ont exposé les failles de notre sécurité actuelle, une question plus sombre émerge dans les prétoires et les laboratoires : que deviennent les données de ceux qui ne sont pas encore — ou ne sont plus — considérés comme des "personnes physiques" par le droit ? Entre vide juridique pour l'enfant à naître et "testament numérique" pour les disparus, plongée au cœur d'une zone grise où l'éthique et la technologie s'entrechoquent.

Le Règlement Général sur la Protection des Données (RGPD) est clair : il protège les "personnes physiques". Mais cette définition, d'apparence simple, devient un véritable casse-tête lorsqu'elle rencontre les deux extrémités de la vie.

Le fœtus : une donnée sans sujet de droit ?

C'est l'un des points les plus troublants du droit numérique actuel. Juridiquement, en France, la personnalité juridique s'acquiert à la naissance, vivant et viable. Avant cela, le fœtus n'est pas une "personne concernée" au sens du RGPD. Pourtant, la science moderne génère des téraoctets de données le concernant : séquençage génomique, échographies 3D haute résolution, dépistages prénataux (test NIPT).

Si le fœtus n'est pas une personne, à qui appartiennent ces données ? Aujourd'hui, elles sont juridiquement rattachées au dossier médical de la mère. Mais que se passe-t-il lorsque ces données révèlent une pathologie future de l'enfant ? Dans l'affaire Cegedim Santé, des millions de lignes de commentaires médicaux ont fuité. Parmi elles, des comptes-rendus de grossesses. Ici, le risque est double : l'exposition de l'intimité de la mère, mais aussi le "marquage" numérique de l'enfant avant même son premier cri. Une assurance pourrait-elle, dans 20 ans, utiliser une donnée fœtale fuitée aujourd'hui pour ajuster une prime ?

Le "fantôme numérique" : la survie des données après le décès

Contrairement à une idée reçue, le RGPD s'arrête là où la vie s'éteint. Le règlement européen ne s'applique pas aux personnes décédées. Cependant, la France, via la loi Lemaire de 2016 (loi pour une République numérique), a instauré un cadre unique en Europe.

Ce que dit la loi (art. 85 de la loi Informatique et Libertés)

Toute personne peut définir des "directives post-mortem". Vous pouvez décider de l'effacement, de la conservation ou de la communication de vos données après votre mort. À défaut de directives, vos héritiers n'ont qu'un droit limité : ils peuvent accéder aux données uniquement si cela est nécessaire pour la "liquidation de la succession" ou pour protéger la mémoire du défunt.

Le cas pratique : imaginez un patient victime de la fuite Cegedim qui décède peu après. Ses données médicales continuent de circuler sur le Dark Web. Les héritiers peuvent-ils exiger la suppression ? Oui, mais le processus est un parcours du combattant administratif si rien n'a été anticipé.

Dans la pratique : situations paradoxales du quotidien

Dans notre usage quotidien, cette distinction juridique crée des situations paradoxales :

  • Le Dossier Médical Partagé (DMP) : à la mort du patient, le dossier est clôturé, mais les données sont conservées pendant 10 ans. Sans instructions claires, vos proches pourraient se voir refuser l'accès à des informations cruciales (antécédents génétiques par exemple)
  • Les tests ADN récréatifs : vous donnez votre salive à une plateforme. Vous décédez. Vos données génétiques (qui concernent aussi vos enfants et fœtus à naître) restent la propriété commerciale de la plateforme si vos clauses de sortie n'ont pas été activées

Sécurisation des données médicales : les leviers stratégiques pour les professionnels

Pour les professionnels de santé, la gestion des données de grossesses et des patients décédés est une responsabilité critique. L'actualité (UNSS, Cegedim) montre que le maillon faible est souvent la durée de conservation.

Les leviers stratégiques à mettre en place

  • L'analyse d'impact (AIPD) spécifique : pour les données prénatales, une AIPD doit évaluer le risque de discrimination future de l'enfant
  • La gestion des accès post-mortem : les établissements doivent prévoir des protocoles clairs pour les demandes des ayants droit, afin d'éviter les fuites par ingénierie sociale
  • Le chiffrement de bout en bout : que le patient soit né ou non, la donnée de santé doit être illisible pour quiconque n'est pas le destinataire légitime

Conclusion : une éthique au-delà de la loi

La protection des données des fœtus et des défunts nous rappelle que la privacy n'est pas qu'une règle de droit pour les vivants, c'est un respect de la dignité humaine dans le temps long. Alors que les fuites de données s'accélèrent, nous ne devons plus seulement protéger des "utilisateurs", mais des lignées familiales entières.

Pour les entreprises, la conformité ne s'arrête pas à la sortie du client de votre base active. Elle se poursuit dans la manière dont vous gérez son héritage numérique.

FAQ — questions fréquentes sur la protection des données des fœtus et des défunts

Le RGPD protège-t-il les données des personnes décédées ?

Non. Le RGPD s'applique uniquement aux personnes physiques vivantes. En France, c'est la loi Informatique et Libertés (art. 85, issu de la loi Lemaire de 2016) qui encadre les données post-mortem, en permettant à toute personne de définir des directives sur le sort de ses données après son décès.

Qu'est-ce que les "directives post-mortem" et comment les mettre en place ?

Les directives post-mortem permettent à toute personne de décider, de son vivant, de l'effacement, de la conservation ou de la communication de ses données personnelles après sa mort. Elles peuvent être enregistrées auprès d'un tiers de confiance numérique ou directement auprès des plateformes concernées. En l'absence de directives, les héritiers ne disposent que de droits très limités.

Les données génétiques d'un fœtus sont-elles protégées par le RGPD ?

Pas directement. Le fœtus n'ayant pas la personnalité juridique en droit français, ses données sont rattachées au dossier médical de la mère. Elles bénéficient de la protection accordée aux données de santé sensibles, mais sans que l'enfant à naître soit lui-même "personne concernée" au sens du RGPD.

Que peuvent faire les héritiers en cas de fuite de données médicales d'un défunt ?

Les héritiers peuvent demander l'effacement ou la limitation du traitement des données du défunt, mais uniquement dans des conditions strictes : nécessité pour la liquidation de la succession ou protection de la mémoire du défunt. Sans directives anticipées, le processus est long et complexe. Il est donc fortement recommandé d'anticiper ces situations via un testament numérique.

Qu'est-ce qu'une AIPD et pourquoi est-elle obligatoire pour les données prénatales ?

L'analyse d'impact relative à la protection des données (AIPD) est une évaluation obligatoire pour les traitements susceptibles d'engendrer des risques élevés pour les droits et libertés des personnes. Pour les données prénatales, une AIPD spécifique est nécessaire pour évaluer notamment le risque de discrimination future de l'enfant à partir de données génétiques ou médicales collectées avant sa naissance.

Les dernières actus

Conformité RGPD et bonnes pratiques

L'au-delà numérique : qui protège les données des fœtus et des défunts ?

Le RGPD protège les personnes physiques. Mais que deviennent les données de ceux qui ne le sont pas encore — ou ne le sont plus ? Entre séquençage génomique prénatal rattaché au dossier de la mère et données médicales qui continuent de circuler après un décès, le droit numérique révèle ses angles morts. Les récentes fuites de l'UNSS et de Cegedim Santé ont mis en lumière l'urgence de ces questions. Tour d'horizon d'une zone grise où l'éthique et la conformité RGPD s'entrechoquent.

Guillemette Songy
Conformité RGPD et bonnes pratiques

L'éthique de la santé connectée : entre promesse de soin et aliénation numérique

La santé connectée promet une prévention sans précédent — mais à quel prix ? En traduisant notre corps en données, les objets connectés et algorithmes de santé soulèvent des questions éthiques fondamentales : consentement réellement libre, réduction de l'individu à ses constantes biologiques, risque de fracture sociale et biais algorithmiques. Cet article explore la tension entre promesse technologique et respect de la dignité humaine, à l'heure où le RGPD et l'IA Act redéfinissent les règles du jeu.

Guillemette Songy
Actualités

L'onde de choc Criteo : ce qui change concrètement pour l'AdTech en 2026

L'amende de 40 millions d'euros infligée à Criteo par la CNIL — confirmée par le Conseil d'État — a envoyé un signal clair à tout l'écosystème AdTech : les zones grises, c'est fini. Données pseudonymes, responsabilité du consentement, droit à l'oubli, Retail Media… cet article décrypte ce qui change concrètement pour les startups et scaleups qui opèrent dans la publicité digitale, et les chantiers prioritaires à engager dès maintenant.

Guillemette Songy

Ils nous font confiance depuis des années

Utilisé par plus de 10 000 entités juridiques

Découvrez Adequacy

Un de nos experts vous présente comment Adequacy s’adapte à votre réalité terrain.
Demander un devis