RGPD et contacts décédés dans un CRM : ce que dit la CNIL.

Le RGPD s'applique-t-il aux personnes décédées ?

Strictement parlant, non. Le considérant 27 du RGPD précise que « le présent règlement ne s'applique pas aux données à caractère personnel des personnes décédées ». À première vue, on pourrait conclure qu'un contact décédé sort du champ RGPD le jour de son décès.

Ce serait une lecture dangereusement incomplète. Le même considérant ajoute que « les États membres peuvent prévoir des règles relatives au traitement des données des personnes décédées ». La France l'a fait, via la loi Informatique et Libertés (article 85), qui donne aux héritiers et ayants droit des leviers d'action concrets. Et surtout, dans la pratique, vous ne savez pas que le contact est décédé : vous continuez donc à le traiter comme un vivant, ce qui déclenche d'autres obligations.

Les 3 obligations RGPD qui restent activables sur un contact décédé

1. Le devoir de fraîcheur des données (article 5)

L'article 5.1.d) du RGPD impose que les données soient « exactes et, si nécessaire, tenues à jour ». Si vous traitez un contact comme un vivant alors qu'il est décédé, vos données sont objectivement inexactes. La CNIL peut considérer cette inexactitude comme un manquement, indépendamment du fait que la personne soit décédée.

2. Les directives post-mortem (loi française)

Depuis 2016, la loi française permet à toute personne de définir des directives anticipées sur le devenir de ses données après sa mort (article 85 LIL). Les héritiers peuvent demander à exercer ces directives, notamment l'effacement. Un refus de votre part déclenche un signalement CNIL.

3. Le droit à l'oubli demandé par les ayants droit

Même sans directives anticipées, les ayants droit peuvent saisir la CNIL en cas de traitement jugé inapproprié : relances commerciales agressives, démarchage téléphonique, courriers nominatifs envoyés à l'adresse familiale. La CNIL apprécie ces signalements au cas par cas, mais avec une sensibilité forte à la dignité familiale.

Pourquoi 1 à 4 % de votre base est concerné

Sur les diagnostics Dataroia 2026, le taux de contacts décédés non détectés varie selon trois facteurs :

• L'âge moyen de la base : une base de contacts seniors (50+) accumule environ 1 % de décès par an d'inactivité. Sur 5 ans non maintenue, c'est 5 %.
• Le secteur : immobilier patrimonial, gestion de fortune, santé, assurance vie : surreprésentation des contacts seniors → taux >4 %. CRM SaaS B2B avec contacts opérationnels jeunes : taux <0,5 %.
• L'historique de maintenance : une base jamais croisée avec le registre INSEE des décès dérive linéairement avec le temps.

Comment détecter objectivement les décès

Le registre des décès de l'INSEE est public et exploitable. Il contient 28,9 millions de lignes (1970-2025) avec, pour chaque décédé : nom, prénoms, date de naissance, date de décès, commune de naissance et de décès. La méthode de croisement honnête repose sur trois critères :

1. Match nom + prénom + année de naissance : élimine 95 % des homonymes.
2. Vérification département de résidence vs département de décès : une personne décédée dans un département différent de son adresse CRM est probablement un homonyme national.
3. Seuil de confiance asymétrique : ne flagger comme « décédé certain » que les matches avec dept de résidence cohérent. Le reste est classé « à vérifier — homonyme », jamais « décédé » en dur.

Cette discipline évite les faux positifs massifs qui transformeraient une opération de mise en conformité en suppression brutale et injustifiée de contacts vivants.

La méthode de purge légalement défendable

1. Détection : croisement INSEE avec scoring de confiance. CT0 Dataroia livre la liste avec marqueurs « certain / probable / à vérifier ».
2. Quarantaine : arrêt immédiat de toute communication marketing/commerciale sur les contacts certains. Pas de suppression hard tout de suite.
3. Vérification manuelle sur les probables : courrier à l'adresse postale, appel téléphonique respectueux, vérification ADD/héritiers via tribunal de commerce si patrimoine en jeu.
4. Effacement justifié : une fois la quarantaine et la vérification effectuées, l'effacement définitif est documenté en interne (date, source, méthode). C'est la traçabilité qui vous protège en cas de contrôle CNIL.
5. Archivage intermédiaire : pour les obligations comptables (10 ans), les données restent archivées en accès restreint, hors flux marketing/commercial.

Ce qu'il faut retenir

Le RGPD ne s'applique pas directement aux défunts, mais ses obligations connexes (fraîcheur, directives post-mortem, droits des ayants droit) sont activables. Continuer à prospecter des contacts décédés expose à une mise en demeure CNIL avec amende potentielle, et au-delà du légal, c'est une faute commerciale et humaine. La détection objective via le registre INSEE est techniquement accessible à toute entreprise française : il n'y a plus d'excuse « on ne savait pas ».