- ▸ Ce qui change concrètement avec le Health and Location Data Protection Act
- ▸ Les faits : l'évolution de la proposition législative
- ▸ Décryptage : l'enjeu de la santé et des données dans l'ère IA
- ▸ Qui est concerné : de ChatGPT aux outils médicaux spécialisés
Une proposition américaine veut interdire aux entreprises d’IA de revendre vos informations de santé et de localisation aux courtiers en données. Le texte, dans sa version remaniée, couvre aussi ce que vous confiez à un chatbot comme ChatGPT ou Claude, et alloue 1 milliard de dollars à la FTC sur dix ans pour le faire respecter.
Points clés – Interdiction visée : stopper la vente des informations de santé et de localisation par les entreprises d’IA aux courtiers en données, selon The Verge (29 juin 2026). – Champ élargi : la nouvelle mouture couvre spécifiquement les données saisies dans les systèmes d’IA, au-delà du périmètre du texte de 2022. – Acteurs visés : OpenAI et Anthropic, désormais positionnés sur les produits de santé et médicaux. – Sanction budgétaire : 1 milliard de dollars fléchés vers la FTC sur une décennie pour assurer l’application. – Portage politique : la sénatrice Elizabeth Warren (D-MA) et la représentante Mary Gay Scanlon (D-PA) pilotent la relance du texte.
Ce qui change concrètement avec le Health and Location Data Protection Act
La proposition interdirait la vente des informations de santé et de localisation des Américains à des courtiers en données — y compris ce qu’une personne révèle à un agent conversationnel tel que ChatGPT ou Claude. C’est le cœur du dispositif rapporté par The Verge le 29 juin 2026. La version remaniée du projet vise à limiter cette revente, notamment lorsqu’elle provient des services de chatbot. Autrement dit, le législateur veut fermer une porte que l’usage massif de l’IA générative a grande ouverte.
Pour comprendre — « courtier en données » Un data broker est une entreprise qui collecte, agrège puis revend des informations personnelles, souvent à votre insu. Son modèle économique repose sur la monétisation de données que vous n’avez jamais explicitement vendues.
Ce qui nous amène à la genèse du texte et à ce qu’il ajoute par rapport à sa première version.
Les faits : l’évolution de la proposition législative
Dans les prochaines semaines, la sénatrice Elizabeth Warren (D-MA) et la représentante Mary Gay Scanlon (D-PA) prévoient de présenter une nouvelle version du Health and Location Data Protection Act, mieux adaptée à l’ère de l’IA. Le calendrier exact n’est pas communiqué : les promoteurs évoquent un dévoilement à brève échéance, sans date ferme à ce jour selon les sources disponibles.
Le texte n’est pas inédit. Sa première version, introduite en juin 2022, interdisait déjà aux courtiers en données de collecter et de vendre des informations de santé et de localisation. À l’époque, le débat américain sur la protection des données médicales s’inscrivait dans un contexte différent, antérieur à la généralisation des assistants conversationnels grand public. Quatre ans plus tard, le périmètre du risque a changé de nature.
La mouture 2026 ajoute donc une dimension absente de l’original : la prise en compte explicite des données saisies dans les systèmes d’IA. Là où le texte de 2022 ciblait des courtiers traditionnels, la version remaniée englobe les flux d’informations qui transitent désormais par les chatbots. C’est cette extension qui en fait un texte « mieux adapté à l’ère de l’IA », selon la formulation de ses auteurs.
Le financement constitue l’autre pilier. Le projet prévoit d’allouer 1 milliard de dollars à la FTC (Federal Trade Commission, l’autorité fédérale américaine de protection des consommateurs) sur les dix prochaines années, fléchés vers l’application des nouvelles règles. Cet ordre de grandeur — 100 millions de dollars par an en moyenne — signale une intention : doter l’autorité de moyens d’enquête et de sanction, et non se contenter d’un texte symbolique.
La justification politique est portée frontalement. « Il est plus que jamais important de sévir contre les courtiers en données qui engrangent des profits colossaux en vendant les informations les plus sensibles des Américains », plaide Elizabeth Warren, citée par The Verge. La sénatrice ajoute : « D’autant plus que de plus en plus de gens saisissent leurs données de santé privées dans l’IA, nous devons nous assurer que ces informations ne soient pas exploitées par le plus offrant. »
Ce qui nous amène à la raison pour laquelle les laboratoires d’IA se retrouvent au centre de cette régulation.
Décryptage : l’enjeu de la santé et des données dans l’ère IA
La régulation ne cible pas l’IA par principe, mais un basculement d’usage. Les laboratoires d’IA ont placé la santé et les produits médicaux dans leur ligne de mire. Ce mouvement stratégique transforme des plateformes généralistes en réceptacles potentiels d’informations cliniques — un type de donnée parmi les plus sensibles qui soient, et historiquement protégé par des régimes juridiques dédiés.
L’illustration la plus crue remonte à janvier 2026. Elon Musk a publiquement appelé le public à téléverser ses dossiers médicaux, comme des images d’IRM, vers Grok, le chatbot de son entreprise xAI. L’épisode résume l’enjeu : un dirigeant invite des millions d’utilisateurs à confier des examens d’imagerie médicale à un système privé, sans cadre légal spécifique encadrant la réutilisation de ces données.
Le problème tient à la mécanique de la donnée. Une fois une information de santé saisie dans un chatbot, sa trajectoire échappe largement à l’utilisateur. Elle peut être conservée, analysée, et — c’est précisément ce que le texte veut empêcher — revendue. Le projet de loi parie qu’une interdiction de vente à la source coupera le robinet en amont, avant que l’information n’alimente l’écosystème opaque des courtiers.
Pour comprendre — pourquoi la donnée de santé est « spéciale » Contrairement à un historique d’achats, une donnée de santé est durable, difficilement modifiable et lourde de conséquences : assurance, emploi, discrimination. Sa fuite ne se « répare » pas. C’est ce qui justifie un régime de protection renforcé dans la plupart des ordres juridiques.
Pour le lecteur français, le rapprochement avec le RGPD est tentant — les données de santé y relèvent des « catégories particulières » de l’article 9, soumises à un régime strict. Mais le texte américain procède différemment : il vise la vente, un acte commercial, plutôt que le traitement dans son ensemble. La nuance compte pour évaluer sa portée réelle.
Ce qui nous amène aux acteurs concrètement visés.
Qui est concerné : de ChatGPT aux outils médicaux spécialisés
Le périmètre dépasse le seul Grok. Les principaux laboratoires ont déjà industrialisé l’entrée des données de santé dans leurs produits.
OpenAI a lancé ChatGPT Health, un onglet cloisonné (sandboxed) au sein de ChatGPT, présenté comme plus sécurisé, et a encouragé les utilisateurs à y téléverser leurs dossiers médicaux ainsi que d’autres informations sensibles. Le terme « cloisonné » suggère une séparation technique des données, mais ne constitue pas en soi une garantie légale opposable.
Anthropic a rapidement suivi avec Claude for Healthcare, un outil qualifié de « HIPAA-ready », destiné aux particuliers, aux professionnels de santé et aux hôpitaux. La mention « HIPAA-ready » mérite prudence : elle signale une compatibilité revendiquée avec la norme, non une certification automatique.
Pour comprendre — HIPAA Le Health Insurance Portability and Accountability Act est la loi fédérale américaine de 1996 qui encadre la confidentialité des données de santé détenues par les acteurs du soin. Un outil « HIPAA-ready » se déclare techniquement apte à respecter ces exigences, ce qui n’équivaut pas à une conformité validée par un tiers.
Côté utilisateurs, le spectre est large. Sont concernés les particuliers qui décrivent un symptôme à un chatbot généraliste ; ceux qui téléversent un compte rendu d’examen ; mais aussi les structures de soin qui testent ces outils en environnement professionnel. Pour chacun de ces segments, la question est identique : qui contrôle la donnée une fois qu’elle a quitté l’écran ?
Ce qui nous amène à la principale ligne de tension du dossier.
Analyse contradictoire : confiance utilisateur contre capacité d’innovation
Le débat oppose deux logiques défendables, sans vainqueur évident.
En faveur du texte : la protection actuelle repose sur une base fragile. Face à une fuite de données ou à un accès non autorisé, les utilisateurs sont largement à la merci des entreprises d’IA. La protection des données pour des outils comme ceux d’OpenAI et d’Anthropic « dépend largement de ce que les entreprises promettent dans leurs politiques de confidentialité et leurs conditions d’utilisation », expliquait Sara Gerke, professeure de droit à l’Université de l’Illinois à Urbana-Champaign, à The Verge en janvier 2026. Or une promesse contractuelle se modifie unilatéralement et se révèle inopérante en cas de brèche. Une interdiction légale de vente offrirait, à l’inverse, un socle non négociable.
À l’inverse, on peut objecter qu’une interdiction large risque de freiner des usages médicaux légitimes. Les outils de santé adossés à l’IA promettent des gains diagnostiques et organisationnels ; un cadre trop restrictif sur la circulation des données pourrait peser sur leur développement. La frontière entre « vente à un courtier » et « partage utile au soin » devra être tracée avec précision pour ne pas brider l’innovation médicale tout en fermant la porte à la monétisation abusive.
Ce qui nous amène aux questions concrètes que se posent les utilisateurs.
FAQ sur la protection des données de santé par l’IA
Si j’utilise ChatGPT pour parler de ma maladie, mes données peuvent-elles être vendues ?
Aujourd’hui, la protection dépend largement des politiques de confidentialité de l’entreprise, selon Sara Gerke (The Verge, janvier 2026). La proposition de Warren et Scanlon vise précisément à interdire la vente de ces informations sensibles aux courtiers en données.
Qu’est-ce que cela change concrètement pour moi, utilisateur ?
Si le texte est adopté, la monétisation de vos données de santé saisies dans un chatbot serait encadrée par la loi, et non plus par les seules conditions d’utilisation. Une fuite ou un accès non autorisé resterait toutefois un risque distinct.
Est-ce que la loi s’appliquerait aussi à des outils comme Claude for Healthcare ?
Le projet est conçu pour couvrir les informations partagées avec des systèmes d’IA, ce qui inclut a priori les offres dédiées à la santé. Les modalités précises pour les outils « HIPAA-ready » ne sont pas communiquées à ce stade.
Ce qui nous amène au calendrier à surveiller.
Calendrier : prochaines étapes législatives américaines
Dans les prochaines semaines, Elizabeth Warren et Mary Gay Scanlon doivent dévoiler la nouvelle version du Health and Location Data Protection Act. Aucune date de vote n’est communiquée à ce jour : le dépôt du texte n’est que le point de départ du parcours parlementaire américain. Les acteurs français de la santé numérique gagneront à observer ce précédent, susceptible d’influencer le débat européen sur les données médicales confiées à l’IA.
En résumé – Un texte américain veut interdire la vente de données de santé et de localisation aux courtiers, y compris celles saisies dans les chatbots. – 1 milliard de dollars seraient alloués à la FTC sur dix ans pour l’application. – Le projet, issu d’une version de 2022, est porté par Elizabeth Warren et Mary Gay Scanlon. – OpenAI (ChatGPT Health) et Anthropic (Claude for Healthcare) sont au premier rang des acteurs concernés. – La protection actuelle repose surtout sur les politiques de confidentialité privées, jugées fragiles par la juriste Sara Gerke.
Reste une question ouverte : un cadre national suffira-t-il face à des modèles d’IA déployés à l’échelle mondiale, ou faudra-t-il une coordination transatlantique pour que la donnée médicale cesse d’être une marchandise ?
