Dans la première partie de ce blog, nous avons déjà dans ce que sont les neurodonnées sont et si si elles protégéeset par le GDPR.
Dans cette partie, nous examinerons si le GDPR offre une protection suffisante et les conséquences possibles d’une protection inadéquate des données neurologiques.
1. Le GDPR offre-t-il une protection suffisante ?
Comme nous l’avons vu dans la première partie, il existe des appareils capables d’enregistrer le cerveau et dont les données pourraient être utilisées par des tiers.
Ces données et leur éventuelle réutilisation par des tiers peuvent avoir de sérieuses implications en matière d’éthique et de protection des données.
C’est certainement le cas maintenant que toute une série de dispositifs d’enregistrement du cerveau sont en cours de développement et qu’ils seront utilisés pour des applications non médicales, telles que les jeux ou d’autres activités économiques.
Ces dispositifs sont actuellement commercialisés par des sociétés telles qu’ Emotiv et Neurosky .
Heureusement, ils ne sont pas encore aussi répandus que les téléphones mobiles, les ordinateurs portables, etc. Cela peut être dû à l’absence d’applications, à des problèmes de facilité d’utilisation ou peut-être à un manque de besoin.
Cependant, ce n’est un secret pour personne que de plus en plus d’entreprises technologiques annoncent leur entrée dans le domaine et investissent des sommes importantes. Ces développements soulignent l’intention de mettre au point des interfaces cérébrales pour les consommateurs et de relier directement les ordinateurs à nos cerveaux.
Elon Musk fait partie des personnalités qui investissent des sommes colossales dans de tels développements. Il y a aussi Kernel, une entreprise de plusieurs millions de dollars basée à Los Angeles, qui a l’intention de “pirater le cerveau humain”.
Plus récemment, Facebook s’est joint à eux, eux aussi souhaitant découvrir un moyen de contrôler les appareils directement à partir des données provenant du cerveau.
À l’avenir, ces entreprises commerciales, si elles disposent d’une capacité suffisante de traitement des données et des signaux, pourront déduire des informations potentiellement sensibles à partir d’un ensemble d’activités cérébrales enregistrées.
Ce phénomène peut être exacerbé par l’utilisation d’algorithmes d’apprentissage adaptatif travaillant avec de grandes quantités de données.
Il est ainsi possible d’obtenir une grande variété d’informations sur l’utilisateur sans que celui-ci ait à faire quoi que ce soit de particulier. Il leur suffit d’utiliser leur ordinateur par l’intermédiaire du BCI.
Le fait que l’on puisse déduire de ces données neurologiques certaines pensées très intimes et l’état mental d’un individu, et que ces données soient susceptibles d’être de plus en plus commercialisées à l’avenir, est significatif au regard de l’article 9.1 du GDPR.
La manière dont les données sont classées comme sensibles ou non affecte le niveau de protection requis par le règlement.
Dans le GDPR, cette classification est basée sur la finalité du traitement. Si les données neurologiques sont obtenues au moyen d’appareils médicaux, par exemple un BCI pour la rééducation motrice ou vocale, ces données seront considérées comme des données de santé.
On peut se demander si les données neurologiques peuvent encore être considérées comme des données de santé si elles proviennent de la neurotechnologie grand public proposée par des entreprises telles que Facebook, Kernel et Neuralink .
Cela ne nous semble pas être le cas car ces données n’ont pas été enregistrées pour des raisons de santé.
En ce qui concerne les données relatives à la santé ou les données médicales, l’article 9 du GDPR interdit le traitement à moins que certaines exceptions ne soient remplies. En résumé, si des données d’une catégorie particulière doivent être traitées, il doit exister, outre une base juridique au titre de l’article 6 du GDPR, une base juridique au titre de l’article 9 du GDPR.
Cela signifie-t-il que lorsque les données neurologiques proviennent d’entreprises telles que Facebook, elles ne bénéficient pas de la protection de l’article 9 ? Le GDPR ne donne pas de réponse claire à cette question.
Plus précisément, nous pouvons en déduire les problèmes suivants :
- Les neurodonnées sont un type particulier de données, car leur signification peut varier en fonction de leur traitement.
- La catégorisation des données neurologiques n’est pas claire au regard du GDPR si le traitement n’a pas été effectué pour des raisons de santé.
- La législation sur la protection des données devrait faire la distinction entre les différents types de données et le degré de sensibilité de chaque type de données. En particulier, la probabilité que les données révèlent des données personnelles sensibles doit être prise en compte.
Le GDPR n’apporte donc pas encore de solution aux problèmes susmentionnés. C’est un problème, car le traitement des données neurologiques devient de plus en plus pertinent.
Toutefois, au-delà du GDPR, les données liées aux BCI suscitent d’autres inquiétudes. Fournir une protection appropriée aux personnes concernées par le biais de la réglementation peut ne pas suffire.
Comme le montre la façon dont les smartphones sont utilisés, en particulier les applications et les médias sociaux les plus courants, les personnes concernées ne sont que trop heureuses de consentir à l’enregistrement et à l’utilisation de leurs données.
En effet, en ce qui concerne les médias sociaux, nous “payons” avec nos données les biens et services de la plateforme en question. Il est très probable que cela devienne également le modèle commercial pour les neurodonnées.
Et pour cela, le GDPR actuel – et les politiques en général – ne suffisent pas.
2. Quels sont les risques potentiels si les données neurologiques ne sont pas protégées de manière adéquate ?
Si le GDPR et d’autres réglementations en matière de protection de la vie privée n’ont pasrden adaptés qu’ils qu’ils offrent des solutions concrèteset En ce qui concerne les questions relatives aux données neurologiques, on peut s’attendre à ce que les problèmes suivants se posent :
- Des entreprises extérieures peuvent acheter des données neurologiques aux sociétés BCI et les utiliser pour prendre certaines décisions clés, telles que l’obtention d’un prêt ou l’accès aux soins de santé.
- Les tribunaux pourraient ordonner le neuromonitoring des individus qui pourraient être plus susceptibles de commettre des crimes en fonction de leur histoire ou de leur environnement sociodémographique.
- Les BCI spécialisés dans la “neuro-amélioration” pourraient devenir une condition d’emploi, comme dans l’armée, par exemple. Cela pourrait brouiller les frontières entre le raisonnement humain et les influences algorithmiques.
Comme dans tous les secteurs où la protection desprotection des données il existe un risque réel de piratage des neurodonnées..
Ce faisant, elle accès des cybercriminels peut se rendre les neurodonnées d’un énorme nombre de personnes et cette données peut opérer pour leurs propres besoins personnels cibles.
3. Conclusion
Le traitement des données neurologiques prend de plus en plus d’importance dans notre vie.
Les neurodonnées peuvent être très utiles à la société, comme le montre l’exemple de l’homme paralysé qui a pu tweeter en 2021 grâce à la technologie BCI, mais comme beaucoup de choses merveilleuses dans la vie, les neurodonnées peuvent devenir dangereuses si nous ne prenons pas les mesures nécessaires.
À l’avenir, il se peut que nos pensées soient utilisées et vendues par des entreprises comme Facebook. Il est donc impératif que le GDPR et les autres lois sur la protection des données se concentrent davantage sur les neurodonnées et recherchent activement des moyens de protéger ces données.
