Assurance : l’assureur doit communiquer les données personnelles aux héritiers

Les héritiers d’une victime peuvent-ils exiger d’obtenir auprès de l’assureur l’ensemble de ses données personnelles relatives à la réparation du préjudice subi ? Le Conseil d’Etat a apporté des éclaircissements à ce sujet dans une décision du 7 juin 2017.

accès données personnelles assureur héritier victime

Décès de la victime en cours de procédure

En l'espèce, un assuré décède des suites de blessures liées à un accident de la circulation. Avant son décès, celui-ci avait intenté une action en réparation contre le responsable de l'accident et son assureur. Suite à sa disparition, son héritier demande à l'assureur en cause l'accès aux différentes données et informations relatives à la procédure en cours.

En réponse, l'assureur adresse un courrier comportant un résumé des différents courriers relatifs au sinistre échangés entre lui et la victime décédée. Le fils, estimant ces informations insuffisantes, porte plainte contre l'assureur auprès de la CNIL (Commission nationale de l'informatique et des libertés). Cette dernière rejette la demande.


La CNIL précise qu'en application de la loi Informatique et Libertés de 1978 (articles 2 et 39), la communication de données à caractère personnel n'est possible qu'à la personne concernée. L'assureur ne peut donc pas être tenu de fournir ces informations à un tiers, même héritier de la victime. Le fils saisit alors le Conseil d'Etat.

L'action en réparation et tous les droits qui s'y attachent sont transmis aux héritiers

Dans une décision du 7 juin 2017 (n°399446), le Conseil d'Etat censure la décision de la CNIL. Il précise que le droit à réparation d'une personne victime d'un dommage, intègre son patrimoine à son décès. Ce droit est donc directement transmis à ses héritiers en application de l'article 724 du Code Civil. Ainsi, lorsqu'une action en réparation était en cours au moment du décès ou que les héritiers ont eux-mêmes engagé une telle action, ces derniers peuvent être considérés comme étant les personnes directement concernées.

Il précise cependant que cet accès aux données ne doit être limité qu'à l'établissement du préjudice subi et son étendue et ne peut concerner que les informations nécessaires à l'action entamée par la victime en vue de la réparation (en l'espèce, il s'agissait de médicaux détenus par l'assureur). Le Conseil d'Etat revient ici sur sa jurisprudence du 8 juin 2016, qui consistait à ne pas considérer les héritiers comme les « personnes concernées » en ce qui concerne la communication de données personnelles.