D’où suis-je originaire ? Ai-je un risque de développer une maladie grave ? Mes enfants, le risquent-ils aussi ? Pourquoi ne pas faire un test ADN pour en être sûr ? Le marché des tests ADN est florissant aujourd’hui. Ils sont des milliers voire des millions aux États-Unis et en Europe, à envoyer des échantillons de salive à des laboratoires commerciaux privés pour en apprendre plus sur eux ou sur leur santé.
23andMe, MyHeritage, FamilyTreeDNA figurent parmi les géants du secteur. Leurs publicités circulent sur les plateformes dans l’espoir d’appâter de nouveaux clients. Cependant, comment ces entreprises utilisent-elles les données emmagasinées ? Les protègent-elles vraiment ? Peuvent-elles vendre nos données ADN ?
23andMe et la vente de données ADN
Créée en 2006, 23andMe est une société californienne qui s’est fait connaître par la commercialisation de tests ADN au grand public. Le prix très attractif des produits (99 dollars pour un kit salivaire) permet à l’entreprise de grossir et d’être rapidement approchée par de grands groupes tels que Google, qui devient l’un de ses actionnaires majoritaires.
Dès 2013, la FDA (Food and Drugs Administration, l’administration américaine des denrées alimentaires et des médicaments) épingle l’entreprise pour infraction à la législation sur les dispositifs médicaux, estimant qu’il n’y a pas d’information suffisante quant à la fiabilité de ces tests. Cependant depuis 2018, le dépistage de 3 mutations génétiques liées au cancer du sein est autorisé par la FDA.
Pour convaincre ses nouveaux clients, 23andMe promet de retrouver leurs origines ou encore les noms des personnes faisant partie de leur famille. De nombreux enfants nés de dons de sperme ou de gamètes font appel à eux, ce qui pose de sérieuses questions concernant le droit à l’anonymat des donneurs.
Le scandale éclate le 25 juillet 2018, lorsque la société 23andMe annonce la vente des données génétiques de près de 5 millions de clients à l’industriel pharmaceutique britannique GlaxoSmithKline (l’une des dix plus puissantes du secteur à l’échelle mondiale) pour la somme de 300 millions de dollars. Le but de cette vente : créer des traitements thérapeutiques pour de nouvelles avancées médicales. Ce n’est pas la première fois que 23andMe fait profiter les laboratoires pharmaceutiques des données génétiques de ses clients. En 2015 déjà, le groupe Roche accède à certaines données dans le cadre d’un programme de recherche contre la maladie de Parkinson.
Les dangers de ces tests ADN « récréatifs »
Puisqu’il s’agit de tests récréatifs, les sociétés telles que 23andMe n’ont pas à se conformer aux mêmes réglementations que les entreprises du secteur de la santé. Là est tout le danger.
En effet l’ADN est une donnée personnelle spéciale qui permet de distinguer chaque être vivant. L’ADN d’un individu étant construit à partir de l’ADN de ses parents, nous partageons des données génétiques avec des membres de notre famille, même éloignés de plusieurs degrés. Si l’un d’eux effectue un test ADN, notre propre ADN est exposé.
C’est ce qu’il s’est passé dans l’affaire du Golden Gate Killer. En avril 2018, Joseph James DeAngelo, un ex-policier américain de 72 ans est arrêté, soupçonné d’être un célèbre tueur en série ayant commis 12 meurtres et au moins 50 viols dans les années 70 et 80 en Californie. Un membre de la famille éloigné du suspect avait fait un test génétique auprès de la société GEDmatch, et c’est grâce à son ADN, « gardée » dans la base de données de l’entreprise et à laquelle la police a pu avoir accès, que le tueur est appréhendé 40 ans plus tard.
Autre danger : une simple recherche sur internet permet d’accéder au site de ces sociétés et de déclencher un test ADN sans véritable contrôle d’identité. Serait-il alors possible de tester l’ADN de quelqu’un d’autre sans être inquiété ? Des fuites ont d’ores et déjà eu lieu. En 2018, la plateforme MyHeritage a annoncé que les adresses e-mails de plus de 92 millions de clients avaient fuité sur la toile.
Autre problème : l’ADN des clients est-il réellement anonymisé ? Le site de la société GEDmatch par exemple, indique dans ses conditions d’utilisation que l’ADN de ses clients n’est pas chiffré. Ces données ne sont donc pas bien protégées. De plus, certains sites permettent le téléchargement des résultats sous forme de document. Cela veut dire qu’un particulier possède une copie lisible de son séquençage ADN sur un support privé qui n’est plus protégé par l’entreprise.
Que dit la Loi ?
Les données génétiques sont considérées comme des données sensibles au sens de la Commission nationale de l’informatique et des libertés (CNIL), la Loi informatique et libertés du 6 juillet 1978 (LIL) et elles bénéficient d’une protection particulière par le Règlement général sur la protection des données (RGPD) dans son article 9. Ces données, qui sont des données de santé ne peuvent être traitées, sauf exception spécifique.
La LIL (article 6) et le RGPD (article 5) disposent que les données personnelles doivent être collectées pour des finalités déterminées, explicites et légitimes et qu’elles ne doivent pas être traitées ultérieurement de manière incompatible avec ces finalités. Or, l’ADN représente une valeur considérable pour certaines entreprises qui n’hésitent pas à revendre les données génétiques de leurs clients (à des laboratoires pharmaceutiques par exemple).
Actuellement en France, le traitement par des organismes privés de données génétiques est strictement interdit sous peine d’une amende de 3750 euros (article 226-28-1 du Code pénal). Ces données peuvent être traitées uniquement dans un contexte judiciaire, scientifique ou médical (article L.145-15 du Code de la santé publique).
Le MIT Technology Review (magazine américain) estime qu’aujourd’hui, 26 millions de personnes ont leur ADN dans une base de données. Et ce chiffre devrait augmenter pour atteindre 100 millions dans les 2 prochaines années, ce qui montre bien la popularité de ce genre de test. L’INSERM (Institut national de la santé et de la recherche médicale) affirme quant à lui que 100 000 français auraient recours à ce type de test chaque année, bien qu’ils s’exposent à des sanctions.
L’avenir de la réglementation sur le sujet reste à l’heure actuelle incertain, et rien n’a été prévu dans la loi de bioéthique votée par l’Assemblée nationale en octobre 2019, les députés ayant rejeté ces tests de manière massive.
Sources
Régis Chatellier., « Des tests génétiques dits récréatifs, mais pas inoffensifs », Linc.cnil, 13 septembre 2018
Jean-Michel France., « Les risques d’atteinte à la vie privée à l’heure des tests ADN en libre-service », Journal du net, 6 novembre 2019
Jurilexblog., « Test ADN interdit en France, autorisé ailleurs », Haas Avocats
Lucas Mediavilla., « Tests ADN : une vente de données crée la polémique », Les Echos, 8 août 2018
« L’ADN, un défi de plus dans l’épineux problème de la protection des données », Ouest France, 2 mai 2018
« Votre ADN peut-il être hacké ? », We demain, 19 juillet 2018
« 23 raisons de ne pas dévoiler votre ADN », Internet Health Report, avril 2019