Un article publié au printemps sur le site theconversation.com m’a donné à penser. L’auteur, Chip Colwell, de l’université de Denver, Colorado (l’article original est en anglais), pose la question: La science a-t-elle tous les droits sur l’ADN des morts?

Ce qui me frappe dans cet article est le rapprochement entre la démarche scientifique de l’archéologie sur des restes humains et la question de l’exploitation des données personnelles des individus.

Le point de départ de la polémique rapportée par l’auteur est les tests ADN réalisés sur une toute petite et curieuse momie retrouvée au Chili il y a une vingtaine d’années (voir l’article du New York Times).

Ces tests ont permis d’affirmer que, malgré l’étrangeté du corps, il ne s’agissait pas d’un extraterrestre mais bien d’un membre de la population locale, une fillette affligée d’une maladie osseuse et qui n’avait pas survécu; la momie étant âgée aujourd’hui d’environ cinq siècles.

Les autorités chiliennes ont alors accusé les chercheurs américains d’avoir profané la tombe de la jeune fille et d’avoir emporté illégalement ses restes hors de son pays. Une déclaration de la société chilienne d’anthropologie biologique va dans le même sens, de manière assez détonante: “Pouvez-vous imaginer la même étude réalisée en utilisant le cadavre d’un bébé avorté américain ou européen?”

BOUM!

La fin de l’article pose la question du consentement, évident pour les études scientifiques sur les personnes vivantes, et inepte pour des squelettes préhistoriques (et encore, le lieu de la découverte pourrait susciter des revendications), mais entre les deux?

Cette évocation du consentement nous ramène à l’actualité du Règlement général pour la protection des données personnelles (RGPD). Tout n’y est pas dit et nous ne sommes qu’au début de cette nouvelle période du droit.

L’utilisation de données à caractère personnel à des fins scientifiques est prévue par le RGPD. L’article 89 du règlement prévoit des “garanties et dérogations applicables au traitement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques” mais cela n’enlève pas l’exigence du consentement à la collecte des données. Et l’article 9, alinéa j) précise que ” le traitement est nécessaire à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques” doit “respecter l’essence du droit à la protection des données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée”.

On peut remarquer au passage que le texte du RGPD associe “fins archivistiques dans l’intérêt public“, “fins de recherche scientifique ou historique” et “fins statistiques” (pas moins de 16 occurrences du triplet!). N’y a-t-il pas là de quoi structurer un nouveau concept (et, avec 126 caractères espaces compris pour la formule complète, les textes serait plus courts!)?

Mais il reste des points à éclaircir, notamment:

Un premier point est la prise en compte de la volonté exprimée de son vivant par le défunt pour des traitements utilisant ses données après son décès, même si ces données ne sont pas précisément identifiées par la personne concernée (on ne peut nommer ce que la science n’a pas encore formalisé). Peut-on s’autoriser le parallèle entre le don ou le refus de donner ses données personnelles à la science ou à la collectivité dans l’intérêt commun, et le don ou le refus de don d’organe en cas de décès? Il s’agit bien dans les deux cas de disposer de la propriété d’un individu (propriété matérielle dans un cas, immatérielle dans l’autre). Le don d’organe, lui, est encadré par une loi qui instaure le “consentement présumé” de sorte que la personne qui ne veut pas donner un morceau de son corps doit faire la démarche de se faire inscrire sur le “registre national des refus“. Pourrait-on aller jusque-là pour les données personnelles ? La loi peut être puissante.

Un autre aspect est la propriété des données qui n’est pas si simple. Le RGPD laisse supposer, en interdisant l’utilisation de données personnelles sans le consentement de l’intéressé, que ledit intéressé est propriétaire des données qui le concernent, mais cela n’est pas explicite dans le Règlement qui n’aborde pas à proprement parler la notion de propriété des données. En tout cas, la monétisation de ses données personnelles par un individu est en débat mais n’est pas officiellement autorisée.

Par ailleurs, l’expression “données personnelles” renvoie, dans le contexte actuel, à des données qui sont enregistrées sur un support quelque part, un téléphone, un serveur, une application, ou même un document papier, et non à des données virtuelles autrement dit sans aucun support. Mais le squelette humain n’est-il pas un support matériel? Sans doute mais pas au sens où le support reçoit l’enregistrement de données énoncées par un humain ou sous sa responsabilité dans l’exercice d’une activité. On peut écrire sur des os humains (j’espère que personne n’a idée de le faire – sauf les archéologues pour numéroter les pièces recueillies lors de la fouille) mais les données ADN du squelette correspondent-elles à la définition du RGPD (“toute information se rapportant à une personne physique identifiée ou identifiable”)? Ces données ADN ne sont pas des informations créées par un “traitement” opéré par un “responsable du traitement”. Sont-ce seulement des informations? Des informations virtuelles, oui, mais réelles? Pas si sûr. Cela renvoie à la définition de l’information, un vaste sujet… Bref, si les données ADN sont enregistrées à l’occasion d’une intervention médicale avec le consentement du patient ou à l’occasion d’une enquête judiciaire, avec ou sans le consentement de l’intéressé, il y a traitement et responsabilité. Mais si les données sont uniquement stockées sur le corps sans vie ou sur le squelette …

Enfin, plus directement en lien avec l’affaire de la momie, se pose la question de la prescription de la propriété, voire du consentement, au bout d’un certain temps, années, décennies ou siècles. Si les données personnelles sont la propriété du défunt avant sa mort, les données extractibles de ses restes après son décès font partie de son héritage, comme ses biens, ses livres, etc. Le droit romain puis le code Napoléon fixaient à trente ans (une génération) le délai de prescription civile le plus long mais cette fameuse prescription trentenaire a été en bonne part évacuée du code civil par la loi du 17 juin 2008 et pas vraiment remplacée, sinon par le concept d’imprescriptibilité (crimes contre l’humanité, domaine public…) qui n’est pas si ancien. Tout bouge au fil du temps.

Peut-on considérer qu’il arrive un moment où les données liées à ces restes humains n’appartiennent plus à personne, et que personne, même le gouvernement du pays où ces restes reposent, ne peut en revendiquer la propriété physique ou morale?

“L’utilisation publique des données personnelles “archivées” sera généralement possible à la mort des personnes concernées, voire plus tôt si l’utilisation est éthique envers les individus” peut-on lire (traduction MAC) dans le résumé du récent Guide to archiving personal data, publié en août 2018 par les Archives nationales du Royaume-Uni. C’est peut-être un peu vite dit…

La loi peut être puissante, sauf si elle se heurte à une autre loi qui, ailleurs, dit autre chose. Qui vivra verra.