Le règlement européen sur la protection des données personnelles[1] définit de façon large les données de santé comme « des données à caractère personnel concernant la santé physique ou mentale passée, présente ou future d’une personne physique ». Cette définition englobe de ce fait les informations obtenues à partir de données génétiques ou d’échantillons génétiques comme l’ADN.

Outre atlantique, le 19 juillet 2020, la base de données américaine de profils généalogiques GEDmatch a été victime d’une faille de sécurité[2]. Pendant quelques heures, les profils des utilisateurs ainsi que leurs données génétiques ont été exposés au public sur le site de l’entreprise, et ce même si les utilisateurs avaient préalablement fait part de leur volonté d’interdire la publication de leurs résultats. L’entreprise a par la suite affirmé qu’aucune donnée de santé n’avait été dérobée durant l’incident mais ce dernier a mis en lumière le problème de la commercialisation et de la détention d’informations biologiques et génétiques qui sont hautement sensibles.

GEDmatch était à l’origine une base de données open-source en ligne à but non lucratif qui permettait aux utilisateurs des entreprises de tests ADN privées, telle que AncestryDNA[3], de mettre en ligne leurs données génétiques afin de retrouver des membres de leur famille. Ce site est notamment connu pour avoir participé à la résolution de nombreux « cold cases » par la police américaine. On peut notamment citer l’identification du « tueur du Golden State » en Californie durant le mois d’avril 2018. Si la police américaine s’est longtemps servie de cette base de données sans restriction, la situation a évolué en mai 2019, lorsque GEDmatch a renforcé le caractère privé de ces données en laissant aux utilisateurs la possibilité de partager ou non leurs données génétiques avec les forces de l’ordre.

En décembre 2019, le service est racheté par la société privée Verogen.Inc[4], une société de séquençage spécialisée dans la science forensique et qui a pour objectif de vendre ces données aux laboratoires des forces de l’ordre. Aux États-Unis il n’y a pas encore de législation sur le commerce des données ADN et la situation est la même dans la plupart des États, à l’exception de certains, comme New York ou la Californie, qui exigent une accréditation des laboratoires concernés ainsi qu’une transmission des demandes par un professionnel de santé pour la réalisation d’un test. Néanmoins la Food and Drug Agency (F.D.A.) travaille sur l’élaboration d’une réglementation dans un objectif de qualité technique des analyses. Les entreprises sont les seules responsables du traitement et de la protection des données de leurs utilisateurs mais aucune protection au niveau fédéral ou national n’existe pour le moment et c’est le modèle libéraliste qui est privilégié pour les échanges commerciaux de ces données.

Comme l’a démontré l’incident de GEDmatch survenu en 2018, ces données ne sont pas à l’abri des failles de sécurité ou des piratages, or de nombreux experts informatiques ont relevé des défaillances au sein de ces bases de données ne garantissant qu’une protection minime pour les utilisateurs. Les risques liés au vol de ces données sont variés, on peut citer : le fait de demander une rançon contre les dites-données ou encore la vente pure et simple de celles-ci à des compagnies d’assurances ou des compagnies de fabrication de médicaments. Ces données ont beaucoup de valeur pour les groupes privés et circulent en masse aux États-Unis, mais leur protection n’est pas la priorité de ces grands groupes qui s’auto-régulent en l’absence de contrainte normative importante sur ce territoire.

[1] CNIL.fr

[2] Engadget.com

[3] LeMonde.fr

[4] Slate.com