Depuis deux décennies, plus de cinquante millions de personnes ont succombé à l’envie d’en savoir plus sur leur génome. Il faut dire que l’affaire était simple : envoyer sa salive avec un coton tige, par forfait prépayé, et attendre confortablement chez soi que l’on vous dise bientôt tout de vos origines, de vos risques de maladies, de vos traits de personnalité… Une flopée de start-ups s’est ainsi jetée sur ce phénomène révolutionnaire de ce séquençage et a proposé ses services tous azimuts, confortés par la relative absence d’une réglementation très établie, notamment outre-Atlantique.

Et c’est bien le problème. La tentation fascinante de la connaissance a pour corollaire le partage de ses données les plus précieuses car les plus immuables. Et que deviennent-elles, une fois collectées par les entreprises ?

Vous pouvez changer vos données bancaires, en cas de vol. Vous pouvez même changer de nom. Mais votre ADN sera le vôtre jusqu’à votre mort. S’il est utilisé à mauvais escient, c’est irrévocable. Et il y a suffisamment d’acteurs malveillants potentiels, qu’ils le soient dans un but vénal ou politique, pour que chacun ait intérêt à se préserver de manière rigoureuse de leur capacité de nuisance quant à la vie privée.

Le rêve de la génétique prédictive via les tests ADN

On les appelle les tests ADN « récréatifs », mais leur marché représente aujourd’hui, selon The Business Research Company, 2,51 milliards de dollars avec une croissance annuelle de 20 %. Plus de 200 entreprises, de par le monde, proposent ces services de tests génétiques en vente directe. La majorité sont effectués en Amérique du Nord, mais leur usage croît aussi en Europe, en Asie et en Amérique latine (la France fait partie des deux seuls pays européens, avec la Pologne, à les interdire sous peine d’amende).

AncestryDNA ou MyHeritage vous proposeront d’estimer vos origines ethniques ainsi qu’une correspondance ADN avec d’autres utilisateurs. D’autres encore, comme 23andMe, proposent un angle biomédical avec les prédispositions génétiques, le portage de maladies héréditaires etc. Ainsi vous saurez et pourrez prendre soin de vous en conséquence… C’est un peu un rêve. Sauf qu’il se paye – parce que votre génome vaut de l’or.

Un article éclairant du site BiometricUpdate, une plateforme reconnue d’actualité sur la biométrie, raconte avoir examiné de près les pratiques de cybersécurité des principales entreprises de ces tests ADN en vente directe au consommateur. Leurs chercheurs ont pu découvrir que plus de 85 % d’entre elles ne respectaient même pas les normes de sécurité les plus élémentaires.

« Ayant passé des années à sonder les vulnérabilités numériques, j’ai rarement vu une combinaison aussi dangereuse : des données précieuses, des défenses faibles et une responsabilité quasi inexistante », écrit l’auteur, chercheur en sécurité de l’information chez Cybernews.

Données génomiques : « la frontière entre altruisme et monétisation est floue »

Les consommateurs ne comprennent pas ou ne sont pas assez informés que leurs données, à savoir leur ADN, vont être utilisées à des fins lucratives, car comme le dit l’auteur, « la frontière entre altruisme et monétisation est floue » dans le domaine des données génomiques. La majorité le font pour contribuer à la recherche scientifique (80 % des utilisateurs de 23andMe, par exemple : l’entreprise est d’ailleurs associée à près de 300 articles scientifiques). Mais ils n’ont pas la moindre idée de l’enjeu financier, alors que « près de 70 % de ces entreprises partagent des données génétiques avec des partenaires de recherche, tandis que plus de la moitié les transmettent à des services de marketing et de publicité. Nombre d’entre elles conservent ces données pendant des années, sans mécanismes clairs de suppression ni contrôle de l’utilisateur sur leur utilisation ».

En 2018, une étude menée par James W. Hazel et Christopher Slobogin avait révélé que moins de la moitié de ces entreprises indiquaient si les utilisateurs pouvaient supprimer leurs données génétiques, et que seuls 9 % d’entre elles autorisaient la suppression complète. Certaines entreprises ont explicitement déclaré que la suppression était impossible, souvent en raison d’un partage préalable ou d’une anonymisation à des fins de recherche.

L’anonymisation ? C’est souvent un argument brandi comme une évidence.

Mais elle ne s’avère pas forcément. Une enquête menée en 2022 par Consumer Reports sur cinq grandes entreprises de tests génétiques en vente directe a révélé que, bien que ces entreprises se targuent de protéger rigoureusement la confidentialité des données ADN, leur traitement des données non génétiques présente des risques importants pour la vie privée.

Ensuite, même lorsqu’on vous promet de détruire tout ce qui pourrait vous identifier, comme le nom, le numéro de sécurité sociale, la date de naissance, les coordonnées, rien n’est jamais garanti. Il est pour l’instant encore bien difficile d’obtenir des informations sur une personne à partir de ses seules données génomiques, comme le faisait remarquer le docteur en génomique et bioinformatique LoTempio, cité par le site US News Health. Seulement, l’utilisation de l’IA facilitera très bientôt, certainement, l’association de ces données avec un individu physique.

Ces entreprises peuvent en outre se faire voler leurs données, comme les autres. En 2018, MyHeritage a subi une faille de sécurité qui a exposé les e-mails et les mots de passe hackés de 92 millions d’utilisateurs. En 2023, 23andMe a été victime d’une fuite de données affectant plus de 7 millions de clients, parmi lesquels beaucoup avaient opté pour une fonctionnalité appelée « Parents ADN ». Cette option a permis aux pirates de collecter non seulement leurs informations, mais aussi celles de membres de leur famille génétiquement liés.

Des lois sur la sécurité de votre génome séquencé ? Quelles lois ?

Mais il y a pire. Prenons l’exemple des Etats-Unis. Les données de santé y bénéficient d’une loi qui en assure la protection de la confidentialité et de la sécurité (loi HIPAA), mais ces tests récréatifs, réalisés de façon privée, y échappent et donc demeurent sans réglementation stricte. Dans l’affaire du rachat de l’entreprise 23andMe, évoqué ici par Anne Dolhein, un juge vient de rappeler in extremis la loi californienne qui exige que les consommateurs donnent leur consentement « explicite » avant que leurs données génétiques et leurs échantillons biologiques ne soient transférés ou divulgués. Mais l’affaire est toujours en cours.

D’autre part, bien qu’il y existe une loi fédérale sur la non-discrimination en matière d’information génétique (GINA) qui interdit aux compagnies d’assurance maladie et aux employeurs de pratiquer une discrimination à l’égard de leurs employés en fonction de leurs données génétiques, certains types d’assurance y échappent, et des usagers pourraient en faire les frais. En Nouvelle-Zélande, c’est acté, les assurances de santé privées exigent désormais de leurs clients la divulgation des résultats de leurs analyses…

Enfin, les forces de l’ordre pourraient réclamer d’y avoir accès, d’une manière ou d’une autre : aujourd’hui, elles ne peuvent le faire que sur citation à comparaître ou mandat ou dans le cadre d’affaires médico-légales : l’affaire du Golden State Killer, en 2018, est à ce titre emblématique, et quelque chose de semblable pourrait bientôt se produire en France dans le cas du cold case de la petite Sabine Dumont. Mais tout cela peut évoluer. On imagine à l’échelle d’un pouvoir totalitaire, d’un Etat communiste comme la Chine, le contrôle qu’il pourrait en résulter.

La dispersion de ces tests dans la nature entraîne une vulnérabilité des consommateurs, et une vulnérabilité pérenne, car ces données sont inchangeables et irremplaçables.

Clémentine Jallais