Les neurodonnées et le GDPR : Comment protéger nos données cérébrales ? (Partie 1)
Avec les récents développements en matière de neurotechnologie et d’IA, on assiste à une prolifération rapide de l'”Internet des corps” (IoB), qui comprend toute forme de technologie permettant de surveiller l’activité cérébrale et de transmettre les informations recueillies via l’internet, directement ou indirectement par l’intervention d’un autre appareil tel qu’un smartphone.
Cette interface de programmation nous permet d’accéder aux données cérébrales ou neurodonnées d’un individu donné. Ce type de données peut être utilisé pour identifier des personnes, déduire leur état émotionnel, leurs idées ou leurs sentiments et révéler une multitude d’autres types de données.
Le GDPR tient-il compte de cette évolution rapide et offre-t-il une protection suffisante pour protéger nos données cérébrales ? Dans la première partie de ce blog, nous verrons ce que sont les neurodonnées et si le GDPR est applicable à ces neurodonnées. Dans la deuxième partie, nous discuterons de la protection que le GDPR peut fournir et des conséquences possibles si cette protection n’est pas suffisante.
1. Qu'est-ce que les neurodonnées ?
Le terme “neurodonnées” désigne les données qui représentent directement la fonction du cerveau humain. Il s’agit de données générées par le système nerveux, qui consiste en des activités électriques entre les neurones ou les proxies. Ces neurones contribuent à l’accomplissement de tâches telles que la compréhension, le mouvement et la communication.
Ces données permettent à leur détenteur de regarder littéralement à l’intérieur du cerveau humain et de voir les processus qui s’y déroulent.
La possession de ces informations peut s’avérer très utile dans divers contextes où une partie souhaite exercer une influence sur une autre ou acquérir certaines connaissances, en particulier lorsqu’elle permet de mieux comprendre et prédire les actions d’une partie.
Au cours des dernières décennies, nous n’avons pas eu à nous préoccuper beaucoup de ces données neurologiques. En effet, en raison de plusieurs obstacles médicaux, il n’était pas encore possible d’appliquer les neurodonnées de manière très active.
Certains développements récents dans le domaine des sciences cognitives nous ont amenés à un point où c’est le cas.
L’un de ces développements consiste à perfectionner les interfaces cerveau-ordinateur (BCI). En décembre 2021, par exemple, les premiers mots ont été tweetés par un homme complètement paralysé en utilisant uniquement ses pensées et une interface cerveau-ordinateur (BCI) implantée par la société Synchron .
Les BCI donnent aux personnes paralysées, qui ne peuvent même pas bouger les yeux, la possibilité de communiquer avec leur proche. Il s’agit évidemment d’un phénomène merveilleux, mais nous ne devons pas oublier que les données cérébrales contiennent nos données les plus personnelles. En effet, ces données cérébrales peuvent nous en apprendre beaucoup sur l’identité et l’état mental d’une personne.
2. Le GDPR s'applique-t-il aux données neurologiques ?
Pour savoir si le GDPR peut assurer la protection des neurodonnées, il faudra la question de savoir quand le GDPR s’applique.
En général, les dispositions du GDPR s’appliquent aux personnes concernées en termes de “traitement des données à caractère personnel”. Ainsi, pour déterminer si des activités entrent dans ce champ d’application, deux éléments devront être évalués.
Tout d’abord, les données doivent être “traitées”. La loi sur la protection des données adopte une vision très large de ce qui constitue un traitement. Il est généralement admis que le traitement des données à caractère personnel comprend les éléments suivants :
“…tout acte ou série d’actes effectués sur des données à caractère personnel…”. . . “
En outre, le GDPR s’applique au traitement qui peut être entièrement ou partiellement automatisé.
Le terme “traitement des données” a donc une signification très large et inclut probablement la plupart des traitements susceptibles d’être effectués dans le cadre de la collecte et du stockage des données relatives au cerveau. En ce qui concerne cette dimension du règlement, il semble évident que tout BCI concevable traitera certainement les données d’une manière conforme à la réglementation.
Deuxièmement, nous devons nous demander si les données neurologiques peuvent être considérées comme des données à caractère personnel.
En effet, le GDPR ne s’applique qu’aux données “personnelles”. Si les données s’avèrent anonymes, les règles du GDPR ne s’appliquent plus (
Voir : Parlement européen et Conseil 1995 : article 3 ; considérant 26 et article 29 Groupe de travail, avis 5/2014 sur les techniques d’anonymisation, adopté le 10 avril 2014, 0829/14/NL WP 216).
.
Des données telles qu’une adresse ou un nom peuvent facilement être associées à une personne en particulier, ce qui est plus difficile avec les données neurologiques. Les neurodonnées sont essentiellement des signaux provenant de l’activité cérébrale. Peuvent-elles être reliées à une personne particulière de la même manière qu’une adresse peut être reliée à une personne ?
Souvent, les données neurologiques sont personnellement identifiables, en particulier lorsqu’elles sont combinées à d’autres données d’identification liées à une personne. C’est le cas, par exemple, lorsque des données neurologiques sont liées à un profil d’utilisateur particulier.
Cela signifie-t-il que les données neurologiques pourraient être rendues anonymes et que le GDPR ne s’appliquerait plus ?
Il est important de rappeler dans ce contexte que, malgré le fait que le lien entre les neurodonnées et l’état civil d’une personne identifiable puisse être clairement rompu (dans le sens où l’on pourrait détruire le nom en tête d’un fichier de neurodonnées, ne laissant que les données brutes), les données restent une représentation unique de l’identité et de l’état mental d’une personne spécifique. Cela signifie que les données neurologiques ne pourront jamais être “anonymisées” de la même manière que, par exemple, les informations sur les voyages.
En outre, le GDPR stipule dans son considérant 30 que :
“Les personnes physiques peuvent être liées à des identifiants en ligne par le biais de leurs appareils, applications, outils et protocoles, tels que les adresses de protocole internet (IP), les cookies d’identification ou d’autres identifiants tels que les étiquettes d’identification par radiofréquence”.
Cette considération confirme que les identificateurs techniques peuvent être considérés comme des données à caractère personnel s’il existe un lien clair avec une personne physique.
Nous pouvons certainement conclure de tout ce qui précède qu’il s’agit de données à caractère personnel.
Une autre question à se poser à cet égard est de savoir si ces données sont sensibles. À notre avis, il faut certainement répondre à cette question par l’affirmative.
Le fait est que
-âge,
-Sexe
-l’orientation sexuelle
peut être prédite sur la base de l’activité cérébrale. Elle irait même jusqu’à prédire les tendances politiques d’une personne sur la base de l’activité cérébrale, selon certaines études. La recherche sur l’activité cérébrale d’une personne peut donc révéler les aspects les plus intimes d’une personne. Qualifier ces données de sensibles pourrait en soi être qualifié d'”euphémisme”.
Le fait que les données neurologiques puissent être utilisées pour identifier les pensées et les intentions de la personne concernée est peut-être encore plus important d’un point de vue éthique. Cela peut avoir de graves conséquences pour l’individu, son “état cérébral privé” devenant alors essentiellement une source ouverte apparente à partir de laquelle ses processus de pensée peuvent être caractérisés.
Cependant, la manière dont ces enregistrements cérébraux et les données qui en découlent doivent être pris en compte est une question difficile. En vertu du GDPR, les données seront certainement traitées. Par conséquent, en étant un identifiant d’une personne concernée, soit par elles-mêmes, soit en étant liées à d’autres données, les données sont personnelles. En outre, il s’agit de données très importantes qui peuvent certainement être considérées comme sensibles.
3. Conclusion
Il est indéniable que les neurodonnées accès kpeut peut donner accès à des données très sensibles sur les individus.
Il s’agit donc a Il est certain que le GDPR s’applique et devrait s’appliquer à ce type de données. Dans la deuxième partie de ce blog, nous développerons la protection que le GDPR fournit déjà et comment cette protection peut être améliorée.d devrait être.