Nouvelles

May 27, 2023

Les questions de réglementation

Rechercher un article

Rechercher un article

Les neurodonnées personnellement identifiables sont toujours considérées comme des informations personnelles, quel que soit leur objectif. Cependant, il n'existe pas de définition explicite des neurodonnées en tant que forme spécifique d'informations personnelles ou de données de catégorie spéciale dans le cadre du RGPD britannique. Par conséquent, les organisations doivent examiner attentivement à la fois :

Les principaux défis comprennent :

Lorsque des neurodonnées sont collectées et traitées à des fins médicales, par exemple, il est probable qu'il s'agisse de données de santé de catégorie spéciale (SCD) en vertu de l'article 9, paragraphe 1, du RGPD britannique. Il exige donc une base légale pour le traitement en vertu de l'article 6 et la satisfaction d'une condition pour le traitement des données de catégorie spéciale en vertu de l'article 9. Les organisations peuvent identifier une base appropriée pour le traitement et le consentement peut être la base légale appropriée et la condition de catégorie spéciale.

Certains groupes, tels que l'entreprise privée Neurorights Foundation, ont recommandé qu'un consentement explicite soit fourni avant que les neurodonnées ne soient traitées dans tous les cas.14 Nous devons traiter ces appels avec soin ; alors que le consentement médical reste une question distincte et importante, le consentement explicite pour le traitement des données n'est qu'une des nombreuses conditions de catégorie spéciale appropriées en vertu du RGPD britannique. Elle n'est pas intrinsèquement « meilleure » que d'autres conditions ; les organisations doivent examiner attentivement ce qui est le plus approprié.

Tout recours automatique plus large au consentement pour l'utilisation d'informations personnelles à des fins de consommation pourrait également semer la confusion et pourrait bien être inapproprié dans le cadre du RGPD britannique. Le dialogue plus large et les appels à l'utilisation du consentement peuvent amener les gens à supposer qu'ils ont le droit de retirer automatiquement leur consentement aux organisations utilisant leurs informations. En fait, les organisations peuvent utiliser d'autres bases appropriées pour le traitement et il leur appartient d'être transparents surqui base qu'ils ont utilisé et quels droits sont applicables. Au lieu de toujours se concentrer sur le consentement, la transparence du traitement peut s'avérer plus efficace pour aider les gens à comprendre comment les organisations utilisent leurs informations.

Dans de rares cas, les organisations peuvent utiliser directement les neurodonnées pour identifier ou vérifier une personne physique. Dans ce cas, il s'agit d'une catégorie spécialebiométrique données qui relèvent également de l'article 9, paragraphe 1, du RGPD. Cependant, bien que techniquement faisable, il est probable que la plupart des utilisations seront classificatoires, comme exploré dans les scénarios. Cela est dû au coût et à la complexité de l'identification des personnes de cette manière par rapport à d'autres méthodologies biométriques robustes. Où les informationspeut permettent aux organisations d'identifier des personnes, les neurodonnées peuvent également être des données biométriques en vertu de l'article 4, paragraphe 14, du RGPD britannique. Il s'agit donc d'informations personnelles mais pas de données de catégorie particulière. (Les données biométriques de catégorie spéciale obligent les organisations à traiter des informations personnelles à des fins d'identification unique). Les organisations qui traitent des informations personnelles doivent tenir compte du moment et de la manière dont les informations qu'elles utilisent peuvent permettre d'identifier une personne et de l'impact probable.

En revanche, les organisations peuvent utiliser de manière intensive certaines neurodonnées à grande échelle sans appliquer les garanties supplémentaires pour le traitement des données de catégorie spéciale.

Par exemple, bon nombre des scénarios ci-dessus traitent de la classification des personnes sur le plan émotionnel et comportemental, à des fins telles que l'emploi, le bien-être ou le divertissement. Il existe donc un risque de profilage supplémentaire, voire de dé-pseudonymisation. Cela est dû à la complexité des informations recueillies et à la facilité accrue avec laquelle les informations peuvent être associées à une personne. Les organisations pourraient à dessein lier des informations à une personne après l'identification ou la vérification afin d'en tirer le maximum d'avantages.

Dans ces cas, les organisations peuvent disposer d'informations qui peuvent ne pas répondre à la définition de l'article 9 du RGPD du Royaume-Uni sur les données de catégorie spéciale, mais qui peuvent néanmoins entraîner un préjudice substantiel en cas d'utilisation abusive. (En particulier, la perte d'autonomie, la discrimination, les effets dissuasifs et la détresse personnelle au niveau personnel).15 Le traitement à grande échelle de ces informations est susceptible de poser un défi pour encourager les meilleures pratiques. Cela souligne la nécessité de considérer les neurodonnées comme ayant un impact élevé et un risque élevé, même lorsqu'elles sont utilisées dans des contextes qui ne comptent pas explicitement comme des données de catégorie spéciale. Enfin, les organisations doivent également rester conscientes du fait que les informations personnelles peuvent devenir des données de catégorie spéciale. Par exemple, suivre les informations sur les employés, telles que la concentration, qui pourraient révéler des données sur la santé mentale.

Des protections solides sont en place pour le traitement de toutes les informations personnelles dans le cadre du RGPD britannique. Pour les organisations traitant des neurodonnées, il est important de savoir clairement quand les neurodonnées sont considérées comme des données sur la santé aux fins de l'article 9 du RGPD britannique. C'est une question que nous avons explorée plus en détail dans notre récent rapport sur les horizons technologiques. Les organisations ne doivent pas supposer que les neurodonnées sont immédiatement des données de santé simplement parce qu'elles découlent de la physiologie d'une personne. Les organisations doivent également savoir clairement quand un traitement complexe implique le traitement de données biométriques et les situations dans lesquelles les données biométriques sont des données de catégorie spéciale.

Le traitement des neurodonnées est particulièrement nouveau et présente un risque important en raison du caractère intime des informations personnelles qu'il pourrait révéler. La neurotechnologie peut collecter des informations dont les gens ne sont pas conscients. Les neurodonnées peuvent inclure des estimations des états émotionnels, de l'efficacité et de l'engagement en milieu de travail ou en éducation, ainsi que des informations médicales sur la santé mentale, parmi de nombreux autres types de données. Les organisations peuvent mettre en péril de manière significative les droits des personnes en matière de protection des données en collectant et en traitant ultérieurement ces catégories d'informations personnelles.

Les neurotechnologies présentent un risque particulier si elles analysent une émotion ou un comportement complexe (plutôt que le niveau de concentration ou l'indication d'une pathologie neurodégénérative par exemple). La science qui sous-tend l'analyse des émotions humaines est très débattue (comme nous l'avons exploré dans notre rapport Biometrics Foresight). De nombreux intervenants et chercheurs ont des inquiétudes importantes quant à la capacité des algorithmes à détecter avec précision les signaux émotionnels. Le processus consistant à tirer des conclusions aussi complexes à partir d'ensembles de données quantitatives sur le cerveau humain devrait rester extrêmement difficile.

Au fur et à mesure que les organisations dérivent et analysent des ensembles de données de plus en plus volumineux, de nouvelles formes de discrimination peuvent émerger qui n'ont pas été précédemment reconnues par la législation associée, telle que la loi de 2010 sur l'égalité. Sans une vérification solide et indépendante de ces modèles, il existe un risque que ces approches être enracinés dans des préjugés systémiques et susceptibles de fournir des informations inexactes et discriminatoires sur les personnes et les communautés. Ces informations peuvent ensuite alimenter des systèmes automatisés dans de nombreux cas. Il peut alors soulever d'autres questions concernant le traitement et la transparence de l'article 22 (qui énonce les droits liés au traitement automatisé et au profilage évoqués ci-dessus). En particulier, les personnes neurodivergentes risquent d'être discriminées par des systèmes et des bases de données inexacts qui ont été formés sur des schémas neuronormatifs.

Alternativement, une discrimination active plutôt que systémique peut émerger. Les organisations peuvent considérer des neuropatterns et des informations spécifiques comme indésirables, s'ils ne sont pas considérés comme une caractéristique protégée en vertu de la législation actuelle, telle que la loi de 2010 sur l'égalité. Les personnes peuvent subir un traitement injuste dans le travail ou les services qui leur sont proposés sur la base de leurs états émotionnels perçus. ou même des conditions physiques ou mentales non reconnues ou non diagnostiquées.

La discrimination peut également se produire par le biais d'appareils ; pas seulement par le biais d'organisations qui collectent et utilisent leurs données personnelles (décrites ci-dessus). Les experts ont noté que des risques peuvent apparaître lorsque les appareils ne sont pas testés et évalués sur une grande variété de personnes pour garantir que la collecte de données reste précise et fiable. Cela peut être aussi simple que de s'assurer que les appareils sont assis de manière appropriée et confortable afin de recueillir des informations précises et appropriées. Si cela n'a pas lieu, il existe un risque accru que les ensembles de données deviennent biaisés et incomplets en raison de problèmes d'étalonnage de l'appareil.

Comme indiqué ci-dessus, dans des contextes non médicaux, les données neurologiques peuvent ne pas être classées comme données de catégorie spéciale. Cela réduit les garanties légales et les restrictions entourant son traitement. Cela peut empêcher les organisations de mettre en œuvre les meilleures pratiques. Par exemple, autour de la sécurité technique, afin de s'assurer que les neurodonnées restent à l'abri de la perte ou du vol. Ce risque lié à la nature classificatoire des informations est également abordé ci-dessus.

Existe-t-il des circonstances dans lesquelles une personne peut donner son consentement pleinement éclairé à des organisations pour qu'elles utilisent ses informations personnelles alors qu'elle n'est pas au courant dequoi la nature exacte de cette information est? C'est la question fondamentale lorsqu'il s'agit de déterminer si les organisations peuvent obtenir un consentement valide pour le traitement de neurodonnées. Lors de l'utilisation de neurodonnées qui n'atteignent pas le seuil des données de catégorie spéciale, les organisations doivent toujours identifier une base légale pour le traitement des données personnelles en vertu de l'article 6 du RGPD du Royaume-Uni. Les bases potentiellement pertinentes que les organisations devraient considérer à des fins commerciales sont le consentement, l'intérêt légitime et l'exécution d'un contrat.

Par exemple, si une personne utilise un casque EEG pour améliorer ses performances de jeu en ligne, peut-elle réellement connaître et comprendre la nature précise des informations qu'elle est susceptible de révéler ? L'organisation peut-elle également le savoir ? Le fait que de nombreuses personnes sont peu susceptibles de posséder les connaissances techniques sur la collecte et l'utilisation des neurodonnées pour bien comprendre les flux d'informations accroît encore les risques liés à l'utilisation du consentement. Toutefois, les organisations peuvent se demander si elles peuvent fournir des garanties précises quant aux conclusions qu'elles entendent tirer des informations qu'elles recueillent afin d'obtenir un consentement valide. Lorsque les organisations s'appuient sur cela, elles doivent revoir nos directives sur l'utilisation du consentement comme base de traitement.

Même dans le cadre de scénarios sur l'emploi, les organisations doivent démontrer un besoin clair d'utiliser les neurodonnées plutôt que d'autres techniques de collecte d'informations. Compte tenu du déséquilibre des pouvoirs entre l'employeur et l'employé, il est probable que le consentement ne soit pas la base appropriée pour le traitement dans la plupart des cas.

Lorsque le consentement au traitement est inapproprié, les organisations doivent également déterminer si l'utilisation d'un intérêt légitime ou d'une obligation contractuelle est appropriée. Cela peut s'avérer particulièrement important pour le traitement du divertissement ou du bien-être. Il peut s'avérer difficile de réussir le test en trois parties de l'intérêt légitime dans de tels cas. Cela est dû au risque élevé et à la nature intime des informations obtenues par les appareils, ainsi qu'à la difficulté de définir clairement les attentes et la compréhension des personnes concernant les informations qu'elles peuvent fournir.

Comme indiqué ci-dessus, nous fournissons déjà des conseils sur les bases du traitement dans le cadre du RGPD britannique que toute organisation prévoyant de traiter des neurodonnées devrait examiner.

Les parties prenantes expertes nous ont fait part de leurs inquiétudes quant au fait que le traitement en boucle fermée deviendra de plus en plus répandu dans les dispositifs de neurotechnologie émergents. Ces dispositifs utiliseront un traitement algorithmique automatisé qui évalue les informations personnelles sous la forme de schémas électriques du cerveau. Ils prendront des mesures automatisées sans y être invité par l'utilisateur et sans intervention humaine importante. Le traitement en boucle fermée est à l'étude pour améliorer la fonction clinique des neurotechnologies, en particulier les dispositifs implantables. La neurotechnologie en boucle fermée, qui utilise souvent l'IA ou l'apprentissage automatique (ML), peut augmenter le risque de traitement automatisé inapproprié. En vertu de l'article 22 du RGPD britannique, les personnes "ont le droit de ne pas faire l'objet d'une décision fondée uniquement sur un traitement automatisé, y compris le profilage, qui produit des effets juridiques la concernant ou l'affecte de manière significative de manière similaire", à moins que les conditions appropriées pour traitement sont remplies en vertu de l'article 22, paragraphe 2. Bien que l'une des conditions soit le consentement explicite, comme indiqué ci-dessus, cela n'est pas sans difficultés.

Nos conseils sur la prise de décision automatisée et le profilage stipulent qu'une décision qui a un 'effet tout aussi significatif est quelque chose qui a un impact équivalent sur la situation, le comportement ou les choix d'une personne. Comme exploré à travers les scénarios ci-dessus, les neurotechnologies et leur traitement associé peuvent avoir un impact significatif sur le comportement des gens (par exemple en affectant la concentration, la productivité ou le sommeil). Lorsque des conditions appropriées pour le traitement uniquement automatisé des informations existent, cela représente un défi important. Une intervention humaine significative dans le cadre du RGPD britannique doit être en mesure de contester et, si nécessaire, d'annuler des décisions. Cela peut ne pas être possible avec la neurostimulation ou les sorties cerveau-parole par exemple. Les organisations doivent considérer à quoi pourrait ressembler une intervention appropriée pour les neurodonnées et les neurotechnologies.

Par exemple, les paramètres de l'appareil peuvent avoir été précédemment définis (et modifiés à l'avenir) par les utilisateurs pour définir la manière dont leurs informations sont traitées. Ils peuvent être révisés à intervalles réguliers par l'organisation à des fins de qualité et de recherche. Cependant, il est peu probable que cela réponde aux exigences d'une intervention significative au titre de l'article 22. En effet, cela se produit avant le traitement, plutôt qu'après. Les organisations doivent également tenir compte du rôle de la personne dans les flux de données ; la seule saisie de données ou de paramètres est encore susceptible de conduire à un traitement uniquement automatisé.

Dans d'autres utilisations, telles que le bien-être, l'emploi ou le divertissement, les organisations peuvent avoir besoin de mettre en œuvre une implication humaine appropriée comme alternative au traitement uniquement automatisé.

De plus, il est possible que le traitement de la neurostimulation ou de la neuromodulation modifie fondamentalement la capacité d'une personne à évaluer ses informations personnelles et à prendre des décisions à ce sujet. Peut-être, plus largement pertinent, est le fait que de nombreuses personnes peuvent ressentir qu'elles manquent d'expertise pour comprendre et prendre des décisions sur la façon d'interagir avec un système compliqué, en particulier lorsque l'appareil est le seul ou le meilleur traitement à leur disposition.

Enfin, la complexité du traitement en boucle fermée peut affecter à la fois la transparence et l'exactitude des informations personnelles. Les organisations utilisant uniquement la prise de décision automatisée doivent s'assurer qu'elles n'enfreignent pas l'article 22. Même lorsqu'une intervention humaine significative est présente dans un système, les organisations doivent tenir compte de nos conseils en matière d'IA. Ceci explique qu'un traitement algorithmique suffisamment complexe puisse être considéré comme un traitement uniquement automatisé en raison de sa complexité et de son manque de transparence pour les utilisateurs du dispositif.

La collecte et l'utilisation de neurodonnées pourraient remettre en question la capacité des organisations à se conformer aux exigences de précision du RGPD britannique. Une précision réduite peut résulter de :

En vertu de l'article 5, paragraphe 1, point d), du RGPD britannique, les données à caractère personnel doivent être "exactes et, si nécessaire, mises à jour ; toutes les mesures raisonnables doivent être prises pour garantir que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquels elles sont traitées, sont effacées ou rectifiées sans délai ("exactitude")".

Cela soulève une question importante pour les neurodonnées et la neuroplasticité. Combien de temps les neurodonnées restent-elles exactes ? Certaines informations sont permanentes ou intrinsèques, comme une date de naissance, des informations génétiques ou certaines données biométriques matérielles. Cependant, les neurodonnées évoluent d'un moment à l'autre. Les neurodonnées peuvent devenir plus détaillées et précises avec les progrès des capacités d'enregistrement et de détection. Si elle est combinée à d'autres types de données biométriques, elle peut également révéler de nouvelles informations qui ne sont actuellement pas possibles. Les organisations doivent consulter nos conseils sur l'IA lorsqu'elles envisagent des seuils de précision par rapport à l'impact des inférences qu'elles tirent.

Pour cette raison, les organisations utilisant des neurodonnées doivent s'assurer qu'elles ne fondent pas leurs décisions sur des instances singulières ou des instantanés de neurodonnées. En effet, de nombreuses techniques, sinon la plupart, d'interprétation des neurodonnées reposent sur des quantités importantes de données comparatives recueillies au fil du temps pour atteindre l'exactitude.

Bien que les organisations doivent recueillir suffisamment d'informations à des fins de traitement, elles doivent indiquer clairement qu'elles prennent des décisions à un moment précis. Par exemple, toutes les décisions ou résultats que les organisations parviennent à un moment donné peuvent avoir été exacts à ce stade, mais ils peuvent ne pas être exacts à une date ultérieure en raison de la neuroplasticité du cerveau.

Il peut y avoir une raison appropriée de conserver ces informations, notamment concernant les données de santé et les traitements médicaux. Mais cela est lié aux exigences de minimisation des données. Les organisations doivent essayer de conserver le moins d'informations dont elles ont besoin pour fournir des résultats précis et équitables. Ils doivent trouver un équilibre entre la conservation des informations pour garantir l'exactitude et l'équité, tout en ne conservant pas d'informations excessives.

Les parties prenantes nous ont informés que la recherche en neurosciences nécessite des informations longitudinales provenant de sources supplémentaires, et en particulier de l'extérieur du laboratoire, en raison de son état de développement. Les chercheurs en médecine, en particulier, sont impatients d'accéder aux informations des appareils commerciaux afin de mieux comprendre les maladies neurodégénératives et en particulier la santé mentale. Cela présente des flux de données potentiellement complexes qui pourraient rendre difficile pour les organisations de fournir des informations de transparence.

Les organisations souhaitant partager leurs informations à cette fin doivent lire nos conseils sur les dispositions relatives à la recherche dans le cadre du RGPD britannique.

Les neurotechnologies émergentes peuvent créer de nouveaux défis pour les personnes exerçant leurs droits en matière d'information. C'est quelque chose que toute organisation qui traite des informations personnelles à l'aide de ces technologies doit être consciente et réactive. Les exemples suivants mettent en évidence certains des problèmes liés aux droits sur les données dans le cadre du RGPD britannique :

14 Ils proposent d'exiger un «serment d'Hippocrate» des technologues (lavanguardia.com)

15 cadre-méthodologique-des-politiques-réglementaires-version-1-20210505.pdf (ico.org.uk)