par Raniya SAID MANSOIB, étudiante du Master 2 Droit des communications électroniques

Il y a environ six ans, plusieurs youtubeurs faisaient la promotion de tests ADN récréatifs proposés par des sociétés américaines telles que 23andMe ou MyHeritage, destinés à révéler les « origines cachées » des utilisateurs. En 2019, entre 100 000 et 200 000 personnes se seraient tout de même laissées tenter chaque année, selon l’Inserm. Ces pratiques sont en principe interdites en France et dénoncées par la CNIL pour les risques sérieux sur la vie privée.

Alors que ces pratiques étaient autrefois vues comme un simple loisir, le gouvernement souhaite désormais les exploiter à des fins judiciaires. En effet, Gérald Darmanin a déclaré à la presse le 20 octobre 2025 qu’il y a environ une trentaine d’affaires au pôle « cold case » qui trouveraient une réponse si la généalogie génétique était acceptée et il souhaite présenter un projet de loi pour autoriser cette technique.

Le projet de loi de Darmanin sur l’exploitation des ADN français issus de tests interdits marque-t-elle une avancée pour la justice ou une atteinte aux protections légales ?

Une prohibition claire des tests ADN récréatifs

Comme expliqué précédemment, les tests ADN récréatifs sont interdits en France. En effet, l’article 16-10 du Code Civil limite les tests génétiques aux cas strictement encadrés par la loi. C’est notamment le cas pour des raisons médicales ou pour de recherche scientifique avec consentement de la personne concernée. 

D’autre part, l’article 226-28-1 du Code pénal prévoit une amende de 3 750 € pour toute sollicitation ou réalisation d’examen génétique en dehors du cadre légal. De plus, les personnes ou entreprises proposant des tests génétiques hors finalités médicales ou scientifiques encourent des sanctions plus sévères. En effet, en vertu de l’article l’article 226-28 du code pénal, l’amende peut atteindre 15 000 € lorsque des examens génétiques sont réalisés de façon frauduleuse.

Le législateur affirme sa volonté de protéger les Français contre ces tests et les risques qu’ils comportent. 

Ces risques ont également été soulignés par la Cour européenne des droits de l’homme. Dans son arrêt du 7 septembre 2023, elle cite les tests ADN récréatifs, comme ceux de 23andMe, pour illustrer les dangers liés à la divulgation non contrôlée de données génétiques. L’affaire concernait un requérant né d’un don de gamètes qui a utilisé un test ADN pour retrouver ses origines, contournant les restrictions françaises, mettant ainsi en évidence les enjeux de vie privée et d’anonymat face à la diffusion croissante de ces données.

Une protection encadrée des données sensibles en France

Les données recueillies lors de ces tests sont protégées puisqu’elles constituent des données personnelles au sens de l’article 4 du RGPD, qui les définit comme toute information permettant d’identifier directement ou indirectement une personne, y compris les données génétiques. 

Ces dernières font partie des données sensibles, dont le traitement est en principe interdit par l’article 9 du RGPD, qui précise « le traitement des données génétiques ou biométriques aux fins d’identifier une personne physique de manière unique ». Des exceptions existent, strictement encadrées, comme le consentement explicite ou les finalités médicales et scientifiques.

Cette situation soulève des questions importantes, car ces pratiques comportent des risques pour la sécurité des données et la vie privée, amplifiés par des piratages comme celui de la société américaine 23andMe en 2023. Lors de cet incident, sept millions de données génétiques de ses clients ont été exposées sur le dark web, provoquant perte de confiance et poursuites judiciaires. 

Une tentative de réponse aux défis des cold cases grâce à la généalogie génétique

Gérald Darmanin propose d’étendre l’utilisation des bases de données en exploitant des données génétiques absentes du fichier national d’empreintes génétiques français (FNAEG) étrangères pour aider à résoudre des affaires graves, sous autorisation judiciaire. L’objectif est d’accélérer la résolution des cold cases. Un cold case est une affaire criminelle non élucidée, souvent un crime de sang ou un viol de prédation, caractérisée par la difficulté à identifier ou juger l’auteur malgré les investigations menées. L’IHEMI souligne l’importance d’améliorer la gestion des cold cases pour renforcer la crédibilité de la justice et restaurer la confiance du public. Le cold case est à la fois un drame humain et un défi institutionnel majeur.

Le ministère de la Justice prévoit d’utiliser la généalogie génétique pour élucider les crimes les plus graves avec le pôle « cold case » en accédant à des bases étrangères, sous contrôle judiciaire. Ce pôle traite les affaires non résolues depuis plus de 18 mois et se concentre sur les dossiers complexes ou sériels.

Aux États-Unis, cette pratique est déjà utilisée. La société Othram, spécialisée en généalogie génétique médico-légale, exploite des analyses ADN avancées et de vastes bases de données pour aider les forces de l’ordre à résoudre des cold cases. Ses méthodes ont permis d’identifier des suspects longtemps introuvables, illustrant le potentiel de cette technique.

Un cadre légal existant pour un projet réalisable

L’article 16-11 1° du Code civil autorise l’identification par empreintes génétiques uniquement dans le cadre d’une enquête ou d’une instruction judiciaire, ce qui montre qu’un cadre légal est déjà établi. Gérald Darmanin s’engage à respecter le RGPD dans le cadre de ce projet. Cela semble possible. L’article 6 du RGPD fixe les conditions de licéité d’un traitement. Le point (e) prévoit que le traitement est légal s’il est nécessaire à l’exercice de l’autorité publique ou à une mission d’intérêt public. Ce cadre pourrait s’appliquer dans ce contexte.

Des analyses juridiques spécialisées insistent sur la nécessité d’un encadrement strict des échanges transatlantiques de données génétiques. Cet encadrement viserait à garantir le respect du RGPD et la protection des personnes concernées. Il permettrait un transfert sécurisé des données sensibles, utile pour les enquêtes judiciaires et les cold cases. 

Toutefois, la Commission européenne a adopté en juillet 2023 une décision d’adéquation fondée sur le Data Privacy Framework (DPF). Ce mécanisme encadre le transfert de données de l’UE vers les États-Unis et reconnaît que le pays offre des garanties suffisantes en matière de protection des données. Cela peut rassurer dans une certaine mesure, car même s’il n’existe pas encore de cadre spécifique pour le transfert de données génétiques entre les États-Unis et l’UE, la Commission considère que les garanties américaines sont substantiellement équivalentes.

Une exploitation controversée des données génétiques

Cependant, les tests ADN récréatifs sont commercialisés depuis au moins six ans, donc le DPF n’existait pas encore. On peut donc se demander si la collecte et le transfert de ces données à cette période respectaient les standards européens de protection des données. Un cadre clair dédié au transfert de données ADN serait nécessaire pour sécuriser ces échanges et renforcer la confiance des citoyens français.

Le cadre existant semble protecteur et partiellement défini, mais il soulève tout de même des questions. En effet, certaines données ont été collectées initialement dans un but différent des procédures judiciaires françaises. Cela pose un problème au regard du principe de finalité prévu par le RGPD. 

En vertu de l’article 5, paragraphe 1, point b) du RGPD, les données doivent être « collectées pour des finalités déterminées, explicites et légitimes ». Le principe de finalité impose que l’usage ou la réutilisation des données respecte toujours l’objectif pour lequel elles ont été recueillies. Or, ces données ont été initialement collectées pour permettre aux personnes de découvrir leurs origines, et non pour être utilisées dans des procédures judiciaires.

Pour conclure, l’encadrement actuel assure une certaine protection, mais l’usage de ces données reste fragile et doit être clarifié.

*****

Sources : 

Cour européenne des droits de l’homme. (2023, 7 septembre). Gauvin‑Fournis et Silliau c. France, nos 21424/16 et 45728/17, 5ᵉ section. HUDOC 002‑14176

Commission européenne. (2023, 10 juillet). Décision d’exécution (UE) 2023/1795 concernant un niveau de protection adéquat des données à caractère personnel transférées vers les États‑Unis au titre du Data Privacy Framework. Journal officiel de l’Union européenne.

**

Inserm. (2019, 21 février). Tests génétiques « récréatifs » : juste un jeu ? Inserm.

Dallest, J. (2021). Le cold case, drame humain et défi pour la justice. IHEMI

Ministère de la Justice. (2025, 20 octobre). Recours à la généalogie génétique pour élucider les crimes les plus graves. Justice.gouv.fr

Commission nationale de l’informatique et des libertés (CNIL). (2019, 23 août). Les six grands principes du RGPD. CNIL.

Commission nationale de l’informatique et des libertés (CNIL). (2023, 10 juillet). Transferts de données vers les États‑Unis : la Commission européenne adopte une nouvelle décision d’adéquation. CNIL. 

Commission nationale de l’informatique et des libertés (CNIL). (2024, 6 mars). Tests génétiques sur Internet : la CNIL appelle à la vigilance. CNIL.

**

Ducharne, M. (2025).Transfert de données vers les États‑Unis : le Data Privacy Framework validé. Ducharne‑Avocat. 

**

Konbini. (2019, 26 septembre). Les dessous (flippants) des tests ADN en ligne. Konbini.

Le Monde. (2023, 5 décembre). 23andMe : les données de 6,9 millions d’utilisateurs de l’entreprise de tests génétiques piratées. Le Monde. 

Le Monde. (2025, 20 octobre). Généalogie génétique : Gérald Darmanin veut autoriser la technique pour résoudre les “cold cases” en France. Le Monde.

Sebbar, J., & Zorro. (2025, 14 novembre). Bases de données génétiques : la France prête à ouvrir la boîte de Pandore. Charlie Hebdo.Malkin, R. (2025, 22 novembre). Au Texas, les cow-boys de l’ADN : « Othram est le Google du crime ». Le Monde.