Dans le cadre de notre projet, nous serons amenés à exploiter des données électroencéphalographiques et à les stocker afin de former des datasets utiles à des fins de test, de calibrage ou encore pédagogiques.
Ainsi, nous devons nous demander si une telle conservation de données pose des problèmes en termes de gestion des données personnelles.
Tout d'abord, il faut définir ce qu'est une donnée à caractère personnel. D'après le site internet de la CNIL, une donnée à caractère personnel est “toute information relative à une personne physique susceptible d'être identifiée, directement ou indirectement”. Une telle donnée est, lorsqu'elle concerne un résident de l'Union Européenne, protégée juridiquement par le Règlement général sur le protection des données (RGPD) et la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés en France, qui en est le précurseur.
Dans notre cas, il semble dans un premier temps possible de contourner le problème en anonymisant les données électroencéphalographiques recueillies. En effet, en ne retenant pas le nom de la personne concernée il serait impossible de retrouver l'identité du volontaire ayant fourni ce dataset. Une donnée ainsi anonymisée ne serait plus concernée par les mesures du RGPD.
Cependant, nous nous sommes renseignés auprès de différents professeurs au sein de l'ENSIM qui nous ont tous confirmés qu'il est bien nécessaire de protéger les signaux électroencéphalographiques récoltés. En effet, il existe déjà dans le monde de la recherche en informatique des applications permettant de réidentifier une personne à partir d'un signal EEG : il s'agit de la biométrie électroencéphalographique. De tels procédés existent déjà et pourraient très bien s'améliorer de plus en plus dans les années à venir.
De plus, il s'avère que des données électroencéphalographiques peuvent s'avérer sensibles en détenant des informations directes sur l'état de santé d'une personne (mental et cérébral notamment). Il est aussi possible à l'aide d'algorithmes exploitation de l'intelligence artificielle d'extraire des informations identifiantes telles que le sexe ou l'âge d'une personne (qui sont alors estimés avec une marge d'erreur).
Dans un groupe comme le nôtre où, par exemple, la connaissance du sexe d'une personne suffirait à identifier complètement une personne (Estelle Ganot étant la seule femme du groupe), il semble encore plus nécessaire de prêter attention à la protection des données issues de ce projet.
Les interfaces neuronales sont également sujettes à des dérives pouvant s'avérer graves pour les personnes concernées. Effectivement, les travaux de recherche de Mme Tamara Bonaci les travaux de recherche de Mme Tamara Bonaci montrent une utilisation possible des interfaces cerveau machine abusive dans un cadre malhonnête.
Elle a ainsi démontré, en proposant à des sujets de jouer à un jeu vidéo nommé Flappy Whale intégrant des images subliminales telles que des images de marques, que des interfaces neuronales pouvaient être utilisées pour connaître des préférences d'un utilisateur à son insu. La personne concernée n'a donc pas conscience qu'une image subliminale a été diffusée et le responsable de traitement peut, en analysant les signaux électroencéphalographiques, déduire si l'image proposée (par exemple un nouveau produit) a plu à l'utilisateur.
Cela pourrait donc conduire à des dérives très graves si des mesures de protection des données ne sont pas appliquées aux interfaces neuronales.
Il découle ainsi de toute cette analyse que les données électroencéphalographiques recueillies doivent être considérées comme des données à caractère personnel et donc respecter les règles fixées par le RGPD.
Il va être nécessaire de rédiger une analyse d'impact sur les données personnelles (ou PIA, pour Privacy Impact Assessment). En effet, le RGPD précise notamment ceci :
Article 35 - Analyse d'impact relative à la protection des données
Lorsqu'un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement effectue, avant le traitement, une analyse de l'impact des opérations de traitement envisagées sur la protection des données à caractère personnel. Une seule et même analyse peut porter sur un ensemble d'opérations de traitement similaires qui présentent des risques élevés similaires.
Ainsi, il semble clair que notre projet rentre dans le cadre de l'obligation de rédaction d'un PIA. Il concerne une technologie émergente (une interface cerveau machine), concerne une donnée à caractère personnel et est susceptible d'engendrer des risques pour les personnes concernées (car possiblement identifiantes et révélatrices de données sensibles tel qu'évoqué précédemment).
Nous devrons donc réaliser un PIA (dans notre cas à l'aide du logiciel fourni par la CNIL) qui nous permettra d'établir une politique précise et complète de gestion des données à caractère personnel en conformité avec le RGPD. Il nous faudra respecter l'ensemble des mesures qui y seront décidées pendant l'ensemble du projet, notamment concernant les droits et la cybersécurité.
Il faudra ainsi également rédiger des formulaires de consentement à l'exploitation des données personnelles et des protocoles permettant aux personnes concernées d'exercer leurs droits garantis par le RGPD. Ces droits sont respectivement le droit à la portabilité (c'est-à-dire d'obtenir sur un format lisible ses données personnelles), le droit à l'effacement, le droit à la rectification, le droit à la limitation et le droit à l'opposition (mettre fin au traitement des données). Ils doivent pouvoir être exercés à tout moment et accomplis par le responsable de traitement dans un délai raisonnable.
Nous avons également décidé de nommer un responsable à la protection des données personnelles, Dylan Jacquot, qui aura la charge de rédiger avec l'aide de l'équipe ces différents documents et de s'assurer du respect du RGPD tout au long du projet.
Enfin, nous souhaitons conclure en insistant sur la nécessité de protéger les données personnelles. Il est en effet de plus en plus important d'assurer une bonne protection des données. Les citoyens européens, comme dans le reste du monde, sont de plus en plus préoccupés par la manière dont sont traitées leurs informations personnelles et l'émergence de nouvelles technologies (applications de l'intelligence artificielle, casques neuronaux, Metavers…) pose de sérieux soucis à ce niveau.
Prendre en compte la protection des données personnelles dans le cadre de ce projet nous permettra ainsi de nous exercer à garantir les droits relatifs aux données personnelles ce qui est de plus en plus important, à la fois éthiquement mais aussi juridiquement puisque les législations imposent de plus en plus aux entreprises de respecter des normes.
En cas de non-respect d'une ou plusieurs règles définies par le RGPD, les sanctions pouvant être prononcées par la CNIL se constituent notamment d'une amende allant jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires dans le cas d'une entreprise. Elle peut également enjoindre de mettre le traitement en conformité, limiter temporairement ou définitivement un traitement suspendre les flux de données, ordonner de satisfaire aux demandes d'exercice des droits des personnes, y compris sous astreinte ou encore prononcer une amende administrative. Les sanctions peuvent donc s'avérer lourdes et dissuasives, d'où le fait qu'une multitude d'entreprises (entre autres) recrutent désormais des DPO (Data Protection Officers) chargés de gérer la protection des données personnelles au sein de l'organisation.