Un dossier funéraire contient souvent plus d'informations personnelles qu'on ne l'imagine : état civil du défunt, situation familiale, coordonnées des proches, documents administratifs, parfois un numéro de sécurité sociale ou des données de santé. Pour une agence de pompes funèbres, ces informations ne sont pas de simples champs à remplir dans un logiciel : ce sont des données que la loi encadre strictement, et dont la responsabilité repose, en premier lieu, sur l'agence elle-même.
Le RGPD (Règlement Général sur la Protection des Données) s'applique à toutes les entreprises qui traitent des données personnelles, y compris les plus petites structures funéraires. Voici ce qu'il faut vraiment savoir.
Au quotidien, une agence de pompes funèbres collecte et manipule des informations très personnelles : état civil du défunt, situation familiale, coordonnées des proches, documents administratifs, et parfois des données encore plus sensibles comme un numéro de sécurité sociale, des données de santé (port d'un pacemaker, par exemple) ou des préférences cultuelles.
Ce n'est pas un sujet à traiter avec inquiétude, mais avec rigueur : ces données méritent la même attention que celles d'un cabinet médical ou d'un notaire, et la loi le prévoit explicitement.
C'est le point le plus mal compris du RGPD dans le funéraire : utiliser un logiciel conforme ne transfère pas votre responsabilité légale. Le RGPD distingue deux rôles bien précis.
Votre agence : responsable de traitement
Votre logiciel funéraire (et tout autre prestataire numérique) : sous-traitant, au sens de l'article 28 du RGPD
En clair : votre prestataire vous couvre sur sa part du travail, mais la responsabilité légale de premier niveau reste la vôtre.
Si votre agence propose un site internet, un espace hommage ou une boutique en ligne accessible aux familles, ces interfaces collectent elles-mêmes des données, ce qui implique une gestion rigoureuse du consentement :
Cas particulier de l'espace hommage : les coordonnées d'un visiteur qui dépose un message de condoléances ne doivent être collectées que pour informer la famille d'une réponse et cette finalité doit être indiquée au moment de la saisie.
Toute famille ou tout proche peut demander à accéder à ses données, les faire corriger, ou les faire supprimer. Le RGPD impose un traitement de ces demandes dans un délai maximal d'un mois (extensible dans certains cas complexes).
Une nuance propre au funéraire : les données d'un espace hommage relèvent souvent d'une conservation sans limitation de durée, sauf demande expresse contraire, leur nature mémorielle le justifie. C'est une exception à connaître, pas une faille : elle doit rester documentée et transparente pour les familles.
La plupart des manquements RGPD dans le funéraire ne viennent pas d'un logiciel non conforme, mais de pratiques internes à corriger :
En cas de manquement, c'est votre entreprise, responsable de traitement, qui peut être mise en cause, avec des sanctions possibles de la CNIL, même si l'origine du problème est une habitude de travail plutôt qu'un outil défaillant.
Si une violation de données survient (piratage, perte d'un fichier, envoi à la mauvaise personne...), le RGPD impose au responsable de traitement :
Un bon prestataire technique doit vous alerter suffisamment vite pour que vous puissiez honorer ce délai de 72 heures, c'est un point à vérifier avant de signer un contrat, pas après un incident.
De plus en plus de logiciels funéraires intègrent des fonctionnalités d'intelligence artificielle : génération de fiche défunt à partir du certificat de décès, retouche de photos pour l'avis de décès, assistants de rédaction. Ces outils sont utiles, mais posent une question RGPD spécifique : que devient la donnée envoyée à ces outils ?
Avant d'adopter ce type de fonctionnalité, il est légitime de demander à votre prestataire si les données transmises sont conservées ou réutilisées pour entraîner des modèles, et si elles restent couvertes par les mêmes garanties contractuelles que le reste de vos traitements.
Ces obligations peuvent sembler nombreuses, mais elles se résument à trois réflexes : savoir ce que vous traitez, savoir avec qui vous le partagez, et savoir informer les familles. Le reste relève de bonnes pratiques du quotidien, pas d'une expertise juridique.
Chez Simplifia, on a organisé un webinar dédié à ces questions, animé par notre Délégué à la Protection des Données. Si vous voulez faire le point sur ces obligations dans votre agence, notre DPO reste disponible à dpo@simplifia.fr.