[Article 2/2] Des neurodonnées, personnelles, pas comme les autres…

Rédigé par Régis Chatellier

 - 

01 octobre 2025


Des neurodonnées, personnelles, pas comme les autres… 


La qualification de données personnelles ne fait pas débat lorsqu’il est question de neurodonnées. Collectées directement sur le cerveau ou le système nerveux des personnes concernées, ces données sont couvertes par le RGPD dans la mesure où elles permettent d’identifier directement ou indirectement une personne.

Pourtant, bien que particulièrement sensibles dans leurs usages, ces données issues des neurotechnologies ne sont pas inscrites à l’article 9 du RGPD, qui liste les « catégories particulières de données à caractère personnel », communément appelées les « données sensibles ». Si dans cet article figure le « traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé », les neurodonnées n’y figurent pas explicitement. Selon les contextes de collecte et d’usage, les neurodonnées sont des données de santé, « relatives à la santé physique ou mentale d'une personne physique », notamment pour tous les cas relevant du soin. De la même manière, les neurodonnées peuvent constituer des données biométriques, dès lors qu’il s’agit d’identifier une personne, à l’image de cette la startup française Yneuro, qui propose un système d’authentification basé sur la « signature électronique du cerveau », à partir de capteurs neuronaux intégrés à des casques audio. La question peut se poser lorsqu’il s’agit d’avoir recours aux neurotechnologies dans le champ de l’éducation, ou pour améliorer l’expérience dans un jeu vidéo, par exemple.

De la même manière, comme le note le Groupe de Berlin, l’article 4 du RGPD introduit dans la définition des données à caractère personnelles la notion d’identité psychique, mental identity dans sa version anglaise, sans que, « aucune définition explicite [ne soit] fournie dans le RGPD en ce qui concerne les limites ou les frontières de ce qui peut constituer l'identité psychique, compte tenu d'autres contextes philosophiques complexes et ancrés dans la culture » (p. 10). Il relève également l’article 3 de la Charte des droits fondamentaux de l'Union Européenne, qui précise que « toute personne a droit à son intégrité physique et mentale ».

La collecte et l’usage des neurodonnées, en ce qu’ils tendent à analyser le cerveau, dans certains cas et d’une certaine manière à « lire dans les pensées » ou à modifier la manière dont les personnes pensent ou réagissent en certaines circonstances, pose des enjeux et des débats quant au caractère éthique des neurotechnologies, mais aussi de la pertinence du cadre légal tel qu’il existe en 2025 pour couvrir les différents cas d’usages de ces données personnelles.

Dans la plupart des cas, le RGPD s’applique. Le groupe de Berlin note cependant quelques spécificités relatives aux neurodonnées constitutives d’enjeux spécifiques pour la bonne application du texte. Il pointe notamment les obligations de transparence et information : le caractère très exploratoire et nouveau de ces nouvelles technologies pourrait poser la question du niveau d’information à apporter aux personnes concernées, depuis les informations strictement nécessaires, concernant la collecte, le stockage, les durées de conservations et finalités, auxquelles il pourrait être nécessaire d’ajouter des éléments sur les conséquences potentielles associées à l’usage de ces technologies, en termes de risques notamment. Le principe de loyauté fait également débat, notamment du fait des attentes raisonnables des personnes sur les effets produits par les neurotechnologies et ses conséquences potentielles. Le groupe de Berlin note également que l’inexactitude des données pourrait affecter directement les droits et libertés des personnes, notamment son droit à l’intégrité. De la même manière, les principes de proportionnalité et de nécessité devraient être analysés en prenant en compte les droits fondamentaux en jeu.

Le plus souvent, le traitement des neurodonnées pourrait reposer sur le consentement, notamment lorsqu’il s’agit de données de santé ou biométriques. Cependant, « la complexité de la neurotechnologie et des données qu'elle traite crée des défis intrinsèques au consentement en tant que base juridique du traitement », dès lors que celui-ci doit être libre, éclairé et spécifique. Dans le cadre du travail, par exemple, le consentement ne peut être libre, comme le rappelle la CNIL dans son référentiel sur la gestion des ressources humaines (p. 4) : « les employés ne sont que très rarement en mesure de donner, de refuser ou de révoquer librement leur consentement, étant donné la dépendance qui découle de la relation employeur/employé. Ils ne peuvent donner leur libre consentement que dans le cas où l’acceptation ou le rejet d’une proposition n’entraine aucune conséquence sur leur situation ». Pour les usages de la sphère « privée », ou de loisirs, le caractère éclairé du consentement pourrait être difficile à atteindre, dans un contexte où les technologies sont complexes et encore en développement. Une information complète pourrait le cas échéant devenir complexe pour des non spécialistes, avec ce défi (p. 19) : « La technologie elle-même est incroyablement complexe et les personnes qui ne disposent pas d'une expertise technique poussée ont-elles une réelle possibilité de fournir des informations concises, transparentes, intelligibles et facilement accessibles sur les données collectées, la manière dont elles sont traitées et tous les risques et avantages dans un tel contexte ? Et comment pouvons-nous être sûrs que les personnes concernées comprennent réellement les informations qui leur sont fournies sur le traitement des données ? »

Les risques en termes de sécurisation des systèmes sont particulièrement sensibles dans les neurotechnologies. Dans un article publié en 2016, des chercheurs qualifient cette menace de « brainjacking » (piratage du cerveau), soit la capacité pour les attaquants à « exercer un contrôle malveillant sur des implants cérébraux », selon deux modalités possibles : par des attaques aveugles, pour lesquelles l'agresseur n'a besoin d'aucune connaissance spécifique du patient, ou des attaques ciblées, qui nécessitent des informations spécifiques au patient. « Les attaques aveugles comprennent l'arrêt de la stimulation, le vidage des batteries de l'implant, la destruction des tissus et le vol d'informations. Les attaques ciblées comprennent l'altération des fonctions motrices, la modification du contrôle des impulsions, la modification des émotions ou des affects, l'induction de la douleur et la modulation du système de récompense ». Dès 2017, aux Etats-Unis, la Food and Drug Administration (FDA), organisme fédéral en charge de la protection des patients et de la mise sur le marché des produits, avait ordonné le rappel de pacemakers qui comportaient des failles de sécurité. Celles-ci pouvaient permettre « à une personne non autorisée d’accéder à l’appareil », et de « modifier les commandes du pacemaker, ce qui pourrait nuire au patient en vidant rapidement la batterie ou en imposant un rythme cardiaque non approprié ».

Parmi les débats en cours sur les neurotechnologies, la nécessité de mettre en place des nouvelles législations, des outils de droit souple ou des mécanismes de régulation revient régulièrement dans les discussions. Plusieurs initiatives peuvent déjà être recensées lors de la dernière décennie.

 

L’appel controversé à des neurodroits

La Neurorights Foundation, une organisation à but non lucratif étasunienne fondée en 2017, dont l’objectif est de « promouvoir une utilisation éthique des neurotechnologies au profit de la société », promeut la création de nouveaux droits spécifiques :

  • le droit à la vie privée mentale (mental privacy), qui doit empêcher que l’activité neuronale soit déchiffrée sans le consentement de la personne ;
  • le droit à l’identité mentale (mental identity), qui doit protéger contre des technologies qui altèrent la conscience, ou la personnalité ;
  • le droit au libre-arbitre, ou liberté cognitive (free will), qui doit empêcher les neurotechnologies d’altérer les capacités décisionnelles ;
  • le droit à un accès équitable à la neuroaugmentation, dès lors que les neurotechnologies pourraient améliorer et « augmenter » les capacités des personnes qui auraient les moyens d’y avoir recours ;
  • le droit de ne pas être victime de neurodiscrimination, au regard notamment des biais embarqués dans les algorithmes utilisés pour le traitement des neurodonnées.

Le Chili a été le premier Etat dans le monde a adopter ces « neurodroits », en les intégrant à sa constitution dès 2021. Le courrier de l’Unesco pointait à l’époque le caractère prématuré de l’intégration de tels droits, « compte tenu du développement des neurotechnologies, qui ont encore une capacité limitée à agir sur le cerveau humain », non sans préciser que « les progrès dans le domaine des neurotechnologies continuent de s'accélérer ». Un psychologue et professeur à l’Université de Valparaiso, indiquait alors que « si le développement de ces technologies n'est pas un problème en soi, il peut toutefois franchir des limites dangereuses en l'absence de réglementation [..] qu’il « serait naïf de penser que les avancées [en neurotechnologies] ne se traduiront pas par des applications commerciales ». Il pointait notamment le risque d’intégration de « neuro cookies » qui « permettraient d'identifier les préférences d'un consommateur et, à terme, d'en implanter de nouvelles ». Dès le mois d’août 2023, la Cour suprême du Chili a sommé l’entreprise étasunienne Emotiv, qui développe des casques et des logiciels de collecte et traitement de données d’électroencéphalographie, d’effacer des données qu’elle avait collectée d’un ancien sénateur Chilien.

Même si chacun s’accorde sur le fait que le traitement de ces données est particulièrement sensible et qu’il faut fixer certaines limites, la nécessité de ces nouveaux droits continue cependant de faire débat. Nita Fahrany, professeure à l’université de Duke aux Etats-Unis, et autrice de l’ouvrage « The battle for your brain - Defending the Right to Think Freely in the Age of Neurotechnology », considère par exemple que de nouveaux droits sont nécessaires, notamment pour la protection de la « liberté cognitive », et contre des technologies qui pourraient prédire des états cognitifs, quand bien même ils ne seraient pas mesurés à partir de neurodonnées. De son côté, le Service de recherche du Parlement européen (EPRS), dans un rapport publié en juillet 2024 : « The protection of mental privacy in the area of neuroscience - Societal, legal and ethical challenges », considère, à propos de ces neurodroits, que la manière dont ils seraient régulés « n’est pas claire ». Il pointe notamment certains problèmes liés à la perception et aux usages des neurotechnologies par la Neurorights Foundation. Il y voit d’abord un certain « neuro-enchantement », qui donnerait aux technologies utilisant le terme « neuro » un pouvoir fort de persuasion, qui alimenterait des imaginaires socio-techniques « optimistes et sans limites » quant aux capacités des neurotechnologies. Ceci aboutirait au « neuro-essentialisme », soit une réification des neurotechnologies. Des critiques qui auraient pu être formulées à d’autres moments pour des technologies telles que le big data, la blockchain ou désormais l’intelligence artificielle. Le rapport affirme que ses premières analyses « ont montré que les droits consacrés par la Convention européenne des droits de l'homme et la Charte des droits fondamentaux de l'Union européenne pourraient fournir un cadre juridique approprié ». Il pointe qu’en revanche, « si de nouveaux droits humains et/ou fondamentaux étaient introduits, les droits existants pourraient être restreints et de nouvelles lacunes réglementaires pourraient apparaître », dans un contexte où « il existe un manque de jurisprudence établie en matière de nouveaux droits ». L’EPRS en conclu qu’il faudrait plutôt envisager de relever le défi posé par les neurotechnologies par le biais des réglementations existantes, qu’il s’agisse du RGPD ou de l’IA Act, par exemple.

 

Des recommandations pour un développement « responsable » et « éthique »

En parallèle de ces débats sur le recours à de nouveaux droits spécifiques, une organisation internationale comme l’OCDE a publié dès 2019 ses neuf recommandations sur « l’innovation responsable dans le domaine des neurotechnologies », un instrument juridique non contraignant qui vise à « aider les pouvoirs publics et les innovateurs à anticiper et affronter les défis éthiques, juridiques et sociaux [tout en assurant] la promotion de l’innovation dans ce domaine ». Sans appeler à la constitution de nouveaux droits spécifiques, la recommandation énonce neuf principes, parmi lesquels la promotion d’une innovation responsable, notamment « la prise en compte des droits humains et des valeurs sociétales, en particulier le respect de la vie privée, de la liberté cognitive et de l’autonomie des individus », la promotion de l’inclusivité, la protection d’une culture responsable et de la confiance, ainsi que l’anticipation des éventuels usages non intentionnels et/ou abusifs des neurotechnologies. Dans le prolongement de ces recommandations, le European Brain Council (un réseau d’acteur des neurotechnologies fondées en 2002) a publié sa charte européenne pour le développement responsable des Neurotechnologies.

En France, une charte des neurotechnologies françaises a été inaugurée le 17 novembre 2022, portée par le Ministère chargé de l’enseignement supérieur et de la recherche. Il faut également noter qu’avec la loi relative à la bioéthique d’août 2021, des interdictions sont formulées dans le Code de la santé publique (Article L1151-4) : « Les actes, procédés, techniques, méthodes et équipements ayant pour effet de modifier l'activité cérébrale et présentant un danger grave ou une suspicion de danger grave pour la santé humaine peuvent être interdits par décret, après avis de la Haute Autorité de santé », mais aussi dans le Code civil (art. 16-14) : « Les techniques d'imagerie cérébrale ne peuvent être employées qu'à des fins médicales ou de recherche scientifique ou dans le cadre d'expertises judiciaires, à l'exclusion, dans ce cadre, de l'imagerie cérébrale fonctionnelle », avec le « consentement exprès de la personne ».

Le Conseil de l’Europe, pour sa part, a publié un « Rapport d’expert sur les implications de l'utilisation de la neurotechnologie et des données neuronales sur la vie privée et la protection des données du point de vue de la Convention 108+ », dans lequel il considère que le « développement des neurotechnologies qui repose sur le traitement de données neuronales devrait être fondé sur les principes de la Convention 108+ lorsque les données sont considérées comme des données à caractère personnel ». Cependant, compte-tenu du « risque d'utilisation abusive des neurotechnologies », il recommande aux Etats de mettre en place une « classification de ces technologies fondée sur les risques, analogue à celle élaborée pour les technologies d'intelligence artificielle », que « des risques inacceptables (lignes rouges) pourraient être inclus comme option politique ». Le rapport reprend la proposition de Marcello Ienca et Gianclaudio Malgieri d’étudier la possibilité de développer et mettre en œuvre un « Mental Data Protection Impact Assessment », une « analyse d'impact spécifique sur la protection des données visant à mieux évaluer et atténuer les risques pour les droits et libertés fondamentaux liés au traitement des données relatives à la santé mentale ». « Si le traitement des données neuronales est considéré comme présentant un risque élevé par défaut, le responsable du traitement devrait être tenu de : décrire le traitement (y compris une description de la logique de la technologie), effectuer un test de mise en balance fondé sur la nécessité et la proportionnalité du traitement des données par rapport aux finalités poursuivies ; évaluer les risques réels pour les droits et libertés fondamentaux, et proposer des mesures appropriées pour traiter et atténuer ces risques ». Ce MDPIA pourrait impliquer un « audit des composants technologiques du traitement » (par exemple, le traitement basé sur l'IA), une évaluation approfondie et une éventuelle reconsidération de l'algorithme afin de déterminer si certains risques peuvent être atténués « dès la conception ».

Les recommandations sur les neurotechnologies peuvent également être d’ordre « éthique », à l’image du projet en cours porté par l’Unesco, discuté en mai 2025, qui devrait aboutir en novembre 2025, de « recommandation sur l’éthique des neurotechnologies », assez longue et détaillée. Celles-ci entendent adopter une approche centrée sur l’humain, selon des principes de « bénéficience, proportionnalité, innocuité », « autonomie et liberté de pensée », de « protection des données », « non-discrimination et inclusion », « responsabilité », « justice » ou « intérêt supérieur de l’enfant ». Elle appelle notamment les « États membres, les acteurs privés et les institutions internationales à soutenir activement les recherches « de haute qualité » sur les neurotechnologies responsables, ainsi que « leur développement, leur déploiement et leur utilisation dans l’intérêt du public », à des investissements qui « favorisent la santé et le bien-être humains ». Plus largement, l’Unesco appelle dans ce projet à la « coordination globale, transparente et multipartite, intersectorielle et pluridisciplinaire », notamment pour réaliser des études d’impact sur les droits de l’homme, économique et social, sur la vie privée, mais aussi des évaluations du bénéfices-risques.

 

Travaux en cours et à venir

L’encadrement de la collecte et l’usage des données cérébrales, s’il est déjà assuré en Europe par le cadre juridique existant, relatif à la santé, aux droits fondamentaux, aux données personnelles (RGPD), ou désormais à l’intelligence artificielle, continue à susciter de grandes interrogations et débats quant à la manière de traiter ces neurotechnologies.

D’une part, la plupart des organisations reconnaissent, voire cherchent à promouvoir le développement de ces technologies tant elles peuvent offrir de nouvelles perspectives dans le champ de la santé, notamment, tant elles alertent sur les risques inhérents au manque de régulation et de cadre éthique pour des usages qui relèvent du secteur privé, à vocation économique.

Au-delà, c’est l’appréhension globale du cerveau, de la conscience et de la pensée qui pose des questions à l’ensemble des parties prenantes, d’autant plus dans un contexte international composé de traditions philosophiques et culturelles différentes. Comme le note Laure Tabouy, Chercheuse – chargée d'enseignement et cheffe de projet en neuroéthique à Aix-Marseille Université, « le concept de ‘vie privée mentale’ n’est […] pas facile à définir, tant neuroscientifiquement que philosophiquement ». Les préoccupations éthiques sont différentes d’une région du monde à une autre, mais selon la chercheuse, « vu la vitesse de déploiement de ces neurotechnologies et le caractère international des marchés, il est nécessaire de s’accorder sur plusieurs niveaux géographiques (pays, Europe et international) et dans un laps de temps restreint ». Le groupe de Berlin, dans ses recommandations (p. 37), s’accorde sur ce besoin de mettre en œuvre des travaux pour répondre aux enjeux spécifiques, appelant à un examen plus approfondi de l'intersection entre le droit humain à la dignité et les neurotechnologies, afin de mieux comprendre comment et quand celles-ci peuvent être compatibles, ainsi qu’à la « compréhension des régimes spécifiques de protection des données, afin de soutenir une approche mondiale efficace ».



Article rédigé par Régis Chatellier , Chargé des études prospectives