Le document intitulé « Emerging Neurotechnologies and Data Protection », publié le 15 mai 2025 par le groupe de travail international sur la protection des données dans les technologies (IWGDPT, aussi appelé Berlin Group), fournit une analyse approfondie des implications juridiques, techniques, éthiques et sociales de l’utilisation des neurotechnologies et du traitement des neurodonnées. Il est structuré en dix sections principales, chacune abordant une dimension spécifique du sujet, et s’adresse aux autorités de protection des données, aux développeurs de technologies, aux décideurs politiques et aux praticiens du droit.

L’introduction établit le cadre général. La montée en puissance des technologies capables de capter, traiter et interpréter des données directement issues de l’activité cérébrale et du système nerveux central remet en question les frontières classiques de la vie privée, autrefois définies en termes de distance physique et de contrôle spatial. Désormais, il est techniquement possible d’accéder à des aspects profondément intimes de la personnalité humaine, comme les émotions, les intentions ou la concentration. Si les applications médicales sont les premières concernées, le rapport alerte sur leur possible extension à des contextes professionnels, éducatifs ou domestiques, via des dispositifs de consommation courante comme les casques audio, les lunettes de réalité augmentée ou les objets connectés. Ces perspectives soulèvent des enjeux inédits de dignité humaine, d’identité mentale, de libre arbitre et de discrimination.

La deuxième section définit les concepts centraux. Les neurodonnées sont classées en deux ordres : les données de premier ordre sont directement issues du cerveau ou du système nerveux (par exemple, des signaux EEG ou l’activité neuronale captée via des implants), tandis que les données de second ordre sont des inférences directement déduites de celles-ci (par exemple, des informations sur l’état émotionnel ou les intentions motrices). Les neurotechnologies sont définies comme les dispositifs – invasifs ou non – qui permettent de collecter ou moduler ces données, que ce soit à des fins de diagnostic, d’interaction homme-machine ou de stimulation cérébrale. Sont exclus les systèmes qui émulent simplement l’activité cérébrale sans données neurales réelles, comme certaines formes d’intelligence artificielle.

La troisième section examine le cadre juridique, en particulier européen. Le RGPD ne contient pas de définition spécifique des neurodonnées, mais l’article 4 ch. 1  évoque l’« identité psychique » comme élément de la notion de données personnelles. L’article 3 de la Charte des droits fondamentaux de l’Union européenne consacre le droit à l’intégrité physique et mentale, ce qui pourrait servir de fondement à une protection renforcée des neurodonnées. Le rapport souligne aussi que certaines utilisations (comme le profilage à des fins de sécurité ou de marketing) présentent des risques inacceptables et sont probablement illicites au regard du droit de l’Union.

La quatrième partie introduit le concept de « neurorights » – des droits fondamentaux spécifiques à la sphère cérébrale, comme le droit à l’intégrité mentale, à la liberté cognitive, à la vie privée mentale ou à la non-manipulation. Si ces droits ne sont pas encore formellement intégrés dans les traités internationaux, certaines initiatives nationales, comme au Chili, ont déjà inscrit un droit explicite à la neuroprotection dans leur Constitution. L’Espagne et le Brésil ont aussi exploré des pistes similaires. À ce stade, la communauté internationale débat encore de la pertinence de créer un corpus juridique autonome ou d’adapter les droits existants.

La cinquième section traite de la licéité du traitement des neurodonnées. Elle insiste sur la difficulté, voire l’impossibilité, de fonder certaines utilisations sur le consentement éclairé. Le caractère involontaire et souvent inconscient des données mentales pose un défi éthique fondamental. Une personne peut croire consentir à l’analyse de ses réactions dans un jeu vidéo, sans savoir que ses données révèlent aussi son état émotionnel, sa santé mentale ou sa capacité de concentration. Cette ambiguïté impose une vigilance accrue sur les principes de finalité, de minimisation et de proportionnalité. Il est aussi rappelé que même un consentement explicite ne saurait légitimer un traitement attentatoire à la dignité humaine.

Dans la sixième section, le rapport se penche sur la neurostimulation ou neuromodulation – c’est-à-dire l’envoi de signaux dans le cerveau via des dispositifs actifs (implants, électrodes, stimulation magnétique, etc.). Cette fonction, bien que médicale à l’origine, pourrait être détournée vers des usages commerciaux, comportementaux ou disciplinaires. Elle soulève des inquiétudes majeures en matière de liberté individuelle, d’autonomie et de consentement. Le contrôle de tels dispositifs par des tiers – employeurs, institutions scolaires, assureurs – constitue une menace sérieuse pour l’intégrité psychique et la souveraineté cognitive des individus.

La septième partie aborde la question des mineurs. L’utilisation de neurotechnologies chez les enfants soulève des problèmes accrus, notamment en termes de développement cérébral, de sensibilité à la manipulation et de difficulté à comprendre les implications du traitement de leurs données. Le document recommande une interdiction stricte du profilage neuronal à des fins de marketing, déjà prohibé par le Digital Services Act (DSA), et insiste sur la nécessité d’une approche prudente, fondée sur l’intérêt supérieur de l’enfant.

La huitième section est consacrée à la conception technique des neurotechnologies selon les principes de protection des données dès la conception et par défaut. Elle distingue les aspects liés à la technologie elle-même (confidentialité des transmissions, sécurisation des dispositifs, résilience aux attaques) et ceux liés au traitement des données (finalités précises, minimisation, transparence). Le concept de « neurosecurity » est mis en avant, définissant la nécessité de garantir la confidentialité, l’intégrité et la disponibilité des données cérébrales. Une analogie est faite avec les dispositifs médicaux implantables (pacemakers, pompes à insuline), pour lesquels les failles de sécurité peuvent avoir des conséquences vitales.

La neuvième partie décrit plusieurs cas d’usage sectoriels. Des scénarios dans les domaines du travail, de l’éducation, du marketing, de la sécurité publique ou des transports illustrent les risques potentiels : surveillance de l’attention au travail, détection automatisée de la somnolence chez les conducteurs, adaptation des contenus en fonction de l’émotion perçue, voire détection d’intentions criminelles. Le document insiste sur la nécessité d’évaluer chaque cas au prisme des droits fondamentaux, en particulier la dignité, la liberté de pensée et l’autodétermination.

Enfin, la dixième section formule des recommandations, d’une part pour les régulateurs, d’autre part pour les développeurs et exploitants. Les autorités devraient clarifier les notions clés (intégrité mentale, identité cognitive, liberté de pensée), encadrer les usages selon des niveaux de risque (en s’inspirant du règlement européen sur l’IA), et promouvoir un dialogue international sur les neurorights. Les entreprises, quant à elles, sont appelées à respecter la nécessité et la proportionnalité du traitement, garantir la transparence, segmenter clairement les fonctions de lecture et d’écriture neuronale, tester la compréhension réelle des utilisateurs, documenter leurs choix en matière de gouvernance des données, et éviter toute exploitation abusive des vulnérabilités cognitives, notamment chez les jeunes.

En résumé, ce document est une mise en garde lucide et structurée sur les enjeux de la neurotechnologie. Il appelle à une régulation préventive, fondée sur les droits fondamentaux, et met en évidence les limites du paradigme classique de la protection des données face à des technologies qui touchent au cœur même de l’identité humaine. Pour les avocats suisses, ce rapport constitue une ressource précieuse afin d’anticiper les évolutions réglementaires européennes et internationales dans un domaine où les frontières entre le corps, l’esprit et le traitement algorithmique deviennent de plus en plus poreuses.

(Le document peut être téléchargé ici : https://www.bfdi.bund.de/SharedDocs/Downloads/EN/Berlin-Group/20250515-WP-Neurotechnologies.pdf?__blob=publicationFile&v=2)

Me Philippe Ehrenström, avocat, LLM