Afin de mieux comprendre le malaise qui s’est installé vis à vis de la CNIL au sein d’un grand public, pour qui la notion de données à caractère personnel et des droits qui y sont associés reste assez floue, une analyse approfondie de l’évolution des textes législatifs et normatifs relatifs aux données individuelles a été entreprise. Elle pointe des incohérences normatives. Seul un véritable sursaut législatif permettrait d’éviter qu’elles ne deviennent des failles irréductibles.
1) Du respect de la vie privée à la protection des informations nominatives.
Il faut rechercher dans les origines de la notion de vie privée pour identifier les racines profondes du concept d’informations personnelles et de son évolution récente à l’aune des progrès portés par le développement fulgurant des biotechnologies depuis le début du XXIe siècle.
La référence au concept de vie privée fortement défendu par les artisans de la révolution française disparaît des textes constitutionnels et législatifs dès 1793. Elle ne réapparaitra sporadiquement qu’à l’aube du XIXe siècle et refera surface en 1970, avec l’article 9 du Code Civil [3], soit vingt ans après l’émergence des textes qui consacraient, au niveau international, une acception et une reconnaissance très large du droit au respect de la vie privée en lui associant des piliers fondamentaux concernant des aspects immatériels de la vie personnelle [4].
Les craintes concernant les atteintes que pourraient faire peser les développements de l’informatique sur la vie privée personnelle, ont conduit dans les années 70 à l’élaboration, en Europe et aux Etats Unis, de textes législatifs [5].
En France, un projet de fichage général [6], fut dénoncé en 1974 dans un article du quotidien Le Monde [7].
Le sentiment d’inacceptable surveillance étatique déclenché par ces révélations eut pour effet le retrait du projet et l’arrêt immédiat de nouvelles interconnexions. Une loi relative à l’informatique, aux fichiers et aux libertés, promulguée le 6 janvier 1978 (dite Loi Informatique et Libertés), instituait la Commission Nationale de l’Informatique et des Libertés (CNIL) chargée d’informer les individus de leurs droits et obligations en « contrôlant les applications de l’informatique aux traitements des informations nominatives ».
2) Des informations nominatives aux données à caractère personnel : la glissade.
La promulgation de la loi du 6 juillet 1978 relative à l’informatique, aux fichiers et aux libertés s’inscrivait dans un courant international, né du besoin grandissant de protéger les caractéristiques individuelles nominatives alimentant des fichiers dont l’exploitation ouvrait des horizons prometteurs aux institutions nationales et organisations privées.
L’article 4 de la loi du 6 janvier 1978 dispose
« Sont réputées nominatives, au sens de la présente loi, les informations qui permettent, sous quelque forme que ce soit, directement ou non, l’identification des personnes physiques auxquelles elles s’appliquent, que le traitement soit effectué par une personne physique ou par une personne morale ».
En instituant le concept « d’informations nominatives », la loi française de 1978 devenait un paradigme fondamental qui bouleversera le paysage juridique afférent à la protection de la vie privée personnelle. Ce fut une grande première aux nombreuses répercussions internationales.
A cette époque la notion de caractéristique individuelle nominative recouvrait les informations relatives à l’identité des individus, leurs numéros d’identification (tel que le NIR [8], appelé aussi numéro INSEE), des informations concernant leur localisation, un identifiant en ligne, ainsi que des éléments spécifiques propres à leur identité physique, physiologique, psychique, économique, culturelle ou sociale.
Quelques années plus tard, les évolutions technologiques ont fait naître un besoin d’encadrement des pratiques novatrices apparues dans plusieurs domaines de la médecine, qui s’est concrétisé par la promulgation de la loi de bioéthique de 1994.
C’est à cette occasion qu’a été introduit, dans la loi Informatique et Libertés de 1978 un chapitre concernant les « Traitements automatisés de "données nominatives" ayant pour fin la recherche dans le domaine de la santé (articles 40-1 à 40-10) ».
La modification législative introduit la notion ambiguë de « données nominatives », un flou sémantique qui amorçait un mélange des genres.
Le coup de grâce à la rigueur linguistique, juridique et scientifique sera porté par la directive 95/46/CE [9] qui sacrifiera une fraction de sa portée sur l’autel du consensus de l’union européenne.
C’est ainsi que l’article 2 de la directive définit les données à caractère personnel comme toute information concernant une personne physique [10].
Cette définition prendra le pas, dans la loi informatique et liberté, sur l’expression « d’information nominative » correctement utilisée depuis sa création le 6 janvier 1978 jusqu’à la loi du 6 août 2004 [11] qui, en transposant la directive 95/46/CE introduira dans les textes français, une définition des données à caractère personnel calquée sur celle de la directive [12].
L’assimilation du concept de « donnée » à celui d’ « information » est profondément incorrecte, à la fois sur un plan sémantique et sur un plan scientifique [13].
On appelle « donnée » tout caractère, nombre, mot, son, signe, qui, n’est pas informatif tant qu’il n’est pas interprété.
On parlera de données numériques, biochimiques, physiques, qualitatives, quantitatives etc.
Exploitées individuellement, les données n’ont pas de sens.
L’obtention d’informations à partir des données nécessite une ou plusieurs étapes de traitements, dont leur collecte et leur structuration [14].
Une distinction stricte des deux concepts est requise pour leur protection juridique spécifique. On aurait pu, à cet égard, attendre que la confusion des termes « donnée » et « information » soit levée par les nombreux juristes confirmés qui ont dû se livrer à une relecture critique des textes fondateurs du RGPD.
Malheureusement, l’incohérence issue de la directive 95/46/CE a été reprise et même élargie dans l’article 4 du RGPD qui amalgame allègrement les notions de données numériques ou biologiques avec des informations identifiantes en tout genre [15].
La définition apparaissant sur le site internet de la CNIL, après transposition du RGPD dans la législation française, est plus laconique mais persiste dans son imprécision [16].
Il est regrettable que cette confusion terminologique soit également utilisée dans plusieurs textes normatifs [17] qui servent aujourd’hui encore de piliers à des positions juridiques concernant les données à caractère personnel et les notions connexes de données sensibles génétiques et de santé.
3) Les cadres sociétaux et biologiques dans lesquels les notions de données personnelles, génétiques et de santé s’inscrivent aujourd’hui.
La reconnaissance d’un droit individuel à la protection de biens tant matériels qu’immatériels, fut acquise, puis consolidée par la volonté des législateurs et des organismes internationaux d’édicter des textes encadrant au mieux les évolutions sociétales nées des révolutions technologiques qui ont marqué les siècles derniers.
Les progrès scientifiques furent considérables. Les efforts déployés par les juristes et dirigeants politiques pour que les lois gouvernent au mieux les rapports de l’individu à ces progrès furent intenses, même s’ils restent imparfaits.
Aujourd’hui confrontés à des évolutions de la connaissance scientifique biologique, portées par des biotechnologies aux potentialités sociétales fascinantes, les textes encadrant la protection de l’Homme et des sociétés doivent tenter d’apporter des réponses adaptées et agiles à des problématiques nouvelles qui surgissent très rapidement.
Alors que l’ADN avait été identifié dans la première moitié du siècle dernier, comme le support physique de la transmission des traits héréditaires [18], l’établissement, à l’aube du XXIe siècle, de la séquence quasi complète de l’ADN humain [19], a constitué une avancée technologique majeure.
En révolutionnant les méthodologies donnant accès aux bases moléculaires de la personnalité individuelle intime, la connaissance fine de l’organisation du génome a permis des approches plus rationnelles de la notion de données génétiques et d’informations identifiantes qui ne peuvent être ignorées (A).
Elles doivent impérativement être prises en compte pour actualiser de manière positive et productive des terminologies obsolètes, devenues inexactes et paralysantes. L’identification des bases moléculaires de polymorphismes constitutifs a posé les jalons d’une exploitation des données génétiques dans des domaines aussi variés que la médecine prédictive, les études généalogiques et le développement d’une très grande batterie de tests génétiques personnalisés visant à améliorer la qualité de vie des individus.
La protection des données individuelles et leur patrimonialité est au cœur de problématiques juridiques et économiques qu’il est important de bien analyser, à la lumière des connaissances concernant les bases moléculaires de la personnalité génétique (B).
A) L’arrangement physique des données génétiques sur l’ADN.
Les 3 milliards de paires de bases contenues dans chaque molécule d’ADN nucléaire humain constituent la majeure partie du patrimoine génétique des individus [20]. Leur arrangement, révélé par les méthodes de séquençage [21], définit l’identité génétique individuelle.
Transmise par notre héritage héréditaire individuel, notre identité génétique détermine notre apparence et nos comportements, caractéristiques elles-mêmes soumises aux influences et à la variabilité des composantes du microenvironnement et du milieu dans lequel l’organisme évolue (notion d’épigénétique).
Les données génétiques constituent le génotype propre à chaque individu.
On appelle phénotype individuel, permettant l’identification et la reconnaissance des individus, l’ensemble des caractéristiques physiques et comportementales visibles, informations résultant de l’interprétation des données par la machinerie cellulaire.
Compte tenu de ce qui précède et pour que les qualifications des données et des informations reflètent l’état actuel de nos connaissances biologiques, il faut abandonner l’amalgame des notions de données avec celles de caractéristiques identifiantes et employer une terminologie traduisant les relations hiérarchiques biologiques qui existent entre les différents types de données.
De manière opérationnelle il serait souhaitable et préférable d’utiliser par exemple, les qualifications suivantes :
1) Les données génétiques sont les blocs de séquences de l’ADN qui constituent le plan de construction des individus et leur identité génétique [22].
2) les données personnelles sont les données génétiques qui permettent de différencier les Hommes entre eux. Leur exploitation livre des informations identifiantes.
3) les données biométriques sont les données génétiques dont l’interprétation permet d’établir des caractéristiques physiques spécifiques à chaque individu. Les caractéristiques biométriques individuelles sont la manifestation physique de l’identité génétique personnelle [23].
Il est opportun à ce stade de remettre en question la pertinence de la notion de données de santé elle même, telle qu’elle est utilisée par la CNIL.
En effet, le RGPD définit les « données concernant la santé » comme « les données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne ». L’expression « qui révèlent » n’assimile pas les données à des informations mais laisse entendre que l’interprétation des données fournit des informations.
Par contre l’interprétation de la CNIL semble bien malheureuse, car elle jette une confusion terminologique encore plus large, en faisant entrer dans la définition des catégories de données qu’elle retient i) des données de santé par nature : antécédents médicaux, maladies, prestations de soins réalisés, résultats d’examens, traitements, handicap, etc. ii) des données de santé en ce qu’elles permettent de tirer une conclusion sur l’état de santé ou le risque pour la santé d’une personne : croisement d’une mesure de poids avec d’autres données (nombre de pas, mesure des apports caloriques…), croisement de la tension avec la mesure de l’effort, etc. et iii) celles qui deviennent des données de santé en raison de leur destination, c’est-à-dire de l’utilisation qui en est faite au plan médical.
Toute cette collection de données n’est qu’un ensemble d’informations qui sont en réalité des informations personnelles relatives à l’état biologique des individus, pathologique ou non. Elles ne correspondent pas au critère de donnée défini plus haut [24].
On peut regretter que les ajouts de la CNIL rendent la qualification des informations relatives à la santé confuse, incohérente et prisonnière de cadres technocratiques dont les effets peuvent être stérilisants [25].
B) Les données génétiques personnelles et le droit.
En droit, l’ADN est souvent considéré comme un produit du corps et de ce fait est soumis aux règles de droit applicables aux objets détachés du corps.
Le frein exercé à l’encontre d’un ajustement de règles dont « il faut à tout prix empêcher l’obsolescence », est l’exemple même d’une conception archaïque de l’Homme aujourd’hui confrontée à une évolution galopante des concepts de propriété du soi et des progrès fulgurants de la Science.
Le droit n’a d’autre choix que de reconnaitre l’Homme comme le produit de l’ADN, même si cette conception relationnelle heurte certaines idéologies qui paralysent la pensée critique.
La nécessité de protéger de manière distincte les données génétiques et les informations générées par leur exploitation est justifiée par le fait qu’elles sont des entités distinctes.
Le support physique des données personnelles génétiques est la molécule d’ADN alors que les informations qui en sont déduites par des sociétés spécialisées sont le résultat de processus d’analyses et de comparaisons mettant en jeu des algorithmes complexes.
Lorsqu’un individu confie son matériel génomique à une entreprise de génotypage, il fournit des données génétiques qui ne changent pas avec le temps.
Par contre, la qualité et la quantité des informations qui seront obtenues par l’entreprise après l’exploitation des données, sont étroitement dépendantes de la somme de connaissances disponibles au moment où sont effectués les traitements.
On ne peut donc regrouper sous une qualification unique les données génétiques de l’individu et les informations qu’elles peuvent livrer.
Ces considérations conditionnent étroitement une éventuelle patrimonialité des données et de l’information.
4) La patrimonialité des données et des informations.
Les données personnelles, telles que définies par leur origine génétique et identifiées à des data, sont devenues des ressources convoitées par les mondes de l’économie, du commerce électronique, de la biomédecine et de la criminologie.
La dématérialisation des caractéristiques individuelles qui en a découlé a provoqué une immense vague de problèmes et différends relatifs aux modalités de collecte, traitement, diffusion et conservation de ces données, ainsi qu’à la patrimonialité des données et de l’information.
L’actualité récente, montre combien l’intérêt économique des données génétiques dans un marché économiquement en pleine croissance [26], peut avoir de conséquences néfastes vis à vis de la protection des données et informations personnelles intimes.
On retiendra ici i) l’installation dans les Monoprix de cabines permettant aux clients d’accéder à leur espace santé et de profiter d’une téléconsultation, ii) la cotation en bourse de la société 23andMe qui détient à ce jour plusieurs millions d’échantillons d’ADN qui lui ont été confiés par les internautes et iii) l’annonce d’un accord entre la compagnie pharmaceutique Pfizer et l’Etat d’Israël, pour que ce dernier fournisse, en échange de livraisons accélérées de vaccins, les informations médicales digitalisées concernant les effets de la campagne d’immunisation entamée sur sa population, dès la fin 2020 [27].
Toute proposition visant à établir une notion de patrimonialité du soi génétique individuel, doit prendre en compte le fait que son support physique est constitué par un ensemble de données à la fois uniques à la personne et partagées en partie par les membres de sa famille.
La quantité des données partagées par une fratrie pourrait sembler assez grande, au premier abord, pour qu’elle puisse en justifier une certaine copropriété [28].
Cependant, l’idée d’une copropriété des composants génétiques de l’ADN ou des informations issues de son exploitation est incompatible avec la nature même des données génétiques et de leur plasticité tenant à leur mode de transmission et aux influences épigénétiques du milieu biologique environnemental.
Une telle proposition est aussi affaiblie par le fait que la plus grande quantité des séquences nucléotidiques constituant les génomes humains est très conservée au sein de l’espèce [29].
Pour être un homme au sens anthropologique du terme, l’individu doit utiliser une base génétique commune, qu’il partage avec les autres [30] et qui constitue notre « moi » génétique [31].
On ne peut pour autant négliger la très grande spécificité génomique individuelle, sur laquelle il est légitime de vouloir exercer un droit de patrimonialité.
Dans ce contexte, définir un statut juridique aux ressources génétiques humaines n’est pas une tâche aisée.
5) Quelques considérations prospectives.
A) Les écueils à une réglementation souple et adaptée au contexte évolutif.
L’amalgame entre données et information a entraîné une dénaturation nuisible des textes fondateurs pionniers et de la singularité de la loi française de 1978.
On peut regretter que la France se soit rangée docilement derrière les choix linguistiques des instances européennes en transposant mot pour mot des définitions lourdes de conséquences pour l’avenir de concepts essentiels, alors que les procédures de transposition laissent aux États membres une certaine latitude d’adaptation.
Si l’on doit reconnaître que les textes européens ont dans l’ensemble confirmé la volonté française de protéger l’exploitation des informations nominatives identifiantes (telles que le nom, l’adresse postale ou le numéro d’identification nationale), il est regrettable que les rédacteurs aient évité de prendre en compte les progrès gigantesques des connaissances biotechnologiques déclenchés par le séquençage du génome humain en 2001. Le texte adopté en 2016 ignore totalement l’évolution du déchiffrage des données génétiques sur lesquelles sont fondés tous les aspects modernes de leur exploitation qui doit plus que jamais être protégée efficacement.
Créé par la loi 94-654 de bioéthique de 1994 [32] le troisième alinéa de l’article 16-1 du Code civil dispose « le corps humain, ses éléments et ses produits ne peuvent faire l’objet d’un droit patrimonial ».
Cet alinéa, publié plus d’un demi-siècle après l’identification de l’ADN comme support physique de l’hérédité, ne s’applique pas au génome humain.
La biologie nous a enseigné de longue date que l’Homme est construit et fonctionne selon le patron des données génétiques que son ADN contient.
C’est bien l’Homme qui est le produit de l’ADN et non pas l’inverse.
B) Comment adapter les normes au monde actuel.
Malgré toute l’imprécision qu’on peut lui reprocher, le RGPD fournit une pierre d’angle à cette approche puisqu’il reconnaît implicitement, au travers des articles concernant les droits d’accès, d’opposition, de rétraction et de portabilité que la personne concernée est propriétaire de ses données.
La patrimonialité des données ainsi consacrée par le règlement, est en contradiction avec les articles 16 et suivants du code civil, et la loi de bioéthique de 2011 qui apparaissent aujourd’hui comme obsolètes et bloquants [33].
La patrimonialité implicite des données, érigée par le RGPD, doit cependant être restreinte à la propriété dépourvue de monétisation [34].
L’Homme est dépositaire d’un patrimoine génétique qu’il a reçu et qu’il transmet mais sur lequel il ne doit avoir qu’un pouvoir limité, devant faire l’objet d’une réglementation adaptée.
L’ADN support physique confère à ces données une qualité d’objet de droit comme les éléments du corps, les cellules dont il est issu. Elle ne peuvent être considérées comme un bien immatériel, puisque sans elles il n’y a pas de corps. Elles doivent donc sortir de la qualification de biens de la personnalité.
Ces considérations mériteraient d’être abordées dans des débats dépassionnés fondés sur les acquis de la biologie, en dehors de toute considération morale ou philosophique.
Le droit français des biens pourrait permettre de prendre le recul nécessaire en fournissant une piste intéressante à exploiter permettant de définir les statuts juridiques des données et des informations génétiques. En effet, les articles 570 à 572 du Code Civil consacrent l’attribution de la propriété d’un bien nouvellement conçu à celui qui a créé ou transformé notablement le produit de départ par son savoir faire [35].
La notion d’acquisition par spécification s’applique parfaitement au cas des données génétiques, qui acquièrent une valeur commerciale uniquement au travers des informations obtenues après leur traitement et interprétation selon des procédés techniques performants.
On peut distinguer trois niveaux que sont i) les données brutes sur l’ADN sans valeur pécuniaire intrinsèque, ii) la recherche et l’identification par l’entreprise d’un polymorphisme d’intérêt, et iii) la comparaison des séquences avec des bases de données et la recherche de parenté entre le phénotype d’intérêt et le polymorphisme identifié.
C’est cette dernière étape qui est informative.
Aujourd’hui, dans le monde du génotypage généalogique commercial, les données génétiques appartiennent à la personne qui les confie à une entreprise de génotypage qualifiée, privée ou publique. Il est nécessaire que le droit international respecte ce principe.
Cette dernière est propriétaire des informations tirées de ces données sans que la personne « donneuse » ait un droit quelconque sur ces informations.
Le marché qui existe depuis plusieurs années est alimenté en partie, par les données personnelles de français qui envoient à l’étranger leur ADN puisqu’ils ne peuvent le faire analyser en France.
Offrir au public qui le désire un accès possible à des aspects de sa vie personnelle sur laquelle il souhaite conserver le levier fourni par le RGPD, éviterait le tourisme génétique, responsable d’une regrettable fuite de données vers l’étranger.
Il est prévisible que les blocages de principe, dépourvus de fondement scientifique, auront des conséquences sociales graves à long terme.
Le redressement est encore possible. Seule une véritable prise de conscience des autorités compétentes permettra de s’affranchir de la mainmise des nations étrangères sur notre patrimoine génétique.
On l’aura bien compris, rien ne s’oppose aujourd’hui à une modification par la France de la qualification obsolète des données génétiques qui regroupent tous les éléments du plan de construction humain et à une adaptation de la définition des différents types de données prenant en compte leur origine génétique.
Une réforme appropriée des textes, aurait pour effet d’attribuer aux données une qualification juridique adéquate permettant de les différencier des informations phénotypiques, aujourd’hui objets d’une exploitation commerciale intense.
Elle permettrait aussi à la CNIL et à la France de retrouver une place de leader mondial dans des domaines biotechnologiques pour lesquels la défense des informations identifiantes et de leur support génétique est indispensable.