Ali Data et les 40 voleurs: fin de la récré pour le business des tests ADN commerciaux?

Curieux de découvrir ton origine ethnique, construire ton arbre généalogique, trouver de nouveaux cousins ? Le test ADN récréatif ou commercial est vendu sur Internet (et non prescrit par un professionnel de santé ni la justice) pour une centaine d’euros. Si tout se passe bien, l’acheteur reçoit de l’étranger un kit d’analyse à effectuer chez lui. En revanche, si les douanes s’en mêlent, l’acheteur s’expose à une amende de 3 750 euros (art.226-28-1 du code Pénal) car cette activité est illégale en France (1). Un détail dont le vendeur a volontairement masqué l’existence.

Surtout, le test ADN commercial est très contesté par les spécialistes en génétique. De là à parler d’arnaque, il n’y a qu’un pas. Si on y ajoute les risques inhérents à la collecte de données génétiques ultra-sensibles, on commence à détecter un modèle économique très contestable. A l’ère des big data, la donnée génétique est LA donnée qui vous distingue de milliards d’individus sur terre et vous relie à vos ascendants et descendants. C’est bien là que le business devient bien plus que lucratif…

Pourquoi les tests ADN commerciaux sont-ils interdits en France ?
Comment nos données génétiques sont-elles exploitées ?
Quels sont les dérives et risques de ce braquage 3.0 réalisé en bonne et due forme ?
Que faire si vous avez déjà transmis votre échantillon pour analyse ?

Ne pas succomber au chant des sirènes

Si vous recevez un tel kit généalogique en cadeau, surtout déclinez poliment le présent, et expliquez pourquoi.

Les vendeurs promettent des dizaines de fonctionnalités, de révéler vos prédispositions en matière de santé, y compris les risques génétiques, et l’arbre généalogique des antécédents médicaux, de vous révéler l’existence d’un oncle là où vous de l’auriez jamais cherché (à l’autre bout de la France ?), car oui, on croise vos données avec celles déjà collectées…

En dehors du risque d’amende précité, vous seriez sûrement déçu des résultats. En effet, analyser dans les règles de l’art une dizaine de gènes coûte 1.500 € (Paul Bolot, conseiller en génétique à l’hôpital de Niort). Alors pour 99 euros forcément… une forte susceptibilité génétique au lait de vache, quelle révélation !

La Federal Drug Administration américaine a mis un stop depuis 2013 aux tests génétiques récréatifs à visée de santé en raison de l’ « absence d’information suffisante sur la fiabilité des diagnostics et des conseils en prévention » (2).

Le service AncestryHealth vient d’être fermé en avril 2022 (3) ce qui implique le remboursement des clients. Une décision qui aurait été prise pour simplifier la stratégie de la société selon sa porte-parole Julie Miller (Ancestry Shutters Health Offering, Raising Questions About Future of Consumer Genomics | Genomeweb).

La France n’est pas « à la traîne » derrière les pays qui autorisent ces tests. Le droit français protège ces données hautement sensibles contre un hold-up des sociétés étrangères. C’est bien la raison pour laquelle les tests génétiques en France ne sont possibles que dans trois hypothèses : ordonnance médicale, injonction judiciaire ou projet de recherche strictement défini. Celle d’une visée généalogique, débattue en 2020 lors de la révision de la loi de Bioéthique (art.10) a été écartée (4).

L’ADN contient les détails les plus intimes de votre passé, de votre présent et de votre futur potentiel. Ce code génétique unique peut vous permettre de vous prodiguer des soins de santé sur mesure, à vous et aux membres de la famille (ou parentèle).

C’est le médecin généticien qui doit réaliser un tel examen. Ses modalités figurent dans le code de la Santé publique (art.1131-1 et s.), y compris l’information de la parentèle quant aux résultats si une anomalie génétique pouvant être responsable d’une affection grave justifiant des mesures de prévention, y compris de conseil génétique, ou de soins était diagnostiquée.

Comment voler un million de données ADN ?

Pour obtenir ce graal qu’est notre ADN, le vendeur avance une offre commerciale à tiroirs, par exemple ici chez l’américain 23andMe :

99 dollars l’analyse de base, 199 dollars celle incluant le pseudo rapport des antécédents de santé. Quand on connaît le coût réel d’un test génétique, on comprend que cette offre alléchante reflète l’ampleur de la marge de revente des données collectées. La politique offensive de partenariats de ces sociétés avec des laboratoires pharmaceutiques (GlaxoSmithKline (5), Pfizer, Roche…) a d’ailleurs été établie puis retournée à l’avantage de ceux-ci : permettre le développement de nouveaux médicaments.

Ainsi, en achetant une analyse à visée de santé, le client contribuerait à ce but louable. Tous les leviers sont bons pour faire rentrer de nouvelles ressources ADN dans les bases de données : après la corde si sensible de la fibre familiale, celle du retour aux origines ancestrales, c’est la noble contribution à la recherche scientifique qui sert d’appât ! Pas sûr que vous auriez accepté au détour d’une conversation avec votre propre médecin pourtant…

Mais en achetant ce kit, en répondant au questionnaire du vendeur, vous avez en réalité accepté une collecte de votre matériel génétique. Collecte qui, si elle avait eu lieu en milieu médical ou à des fins de recherche, aurait respecté les bases de l’éthique médicale, de la déontologie médicale, en plus du droit de la protection des données de santé.

Ajouter dans le panier virtuel un test, répondre à un questionnaire de santé, ne reflète nullement un consentement libre, informé, spécifique et univoque : ces conditions doivent être respectées par le vendeur, même étranger, qui s’adresse à un prospect sur le territoire national (6). Cela signifie que, pour la société, il s’agit avant tout d’un pur acte commercial. Donc le consentement recueilli tacitement par l’ajout dans le panier d’un test et l’acte de paiement ne serait pas recueilli dans le respect du droit français, à moins que les utilisateurs aient à remplir un formulaire spécifique, séparé de l’acte d’achat et antérieur à celui-ci.

Ici on l’a bien compris, le vendeur profite de l’ignorance de l’acheteur. Or, les questionnaires vont parfois très loin et investiguent votre sexualité, votre apparence physique, vos maladies et allergies (!).

C’est un véritable profil 360° qui est construit, et en plus le client paye pour se faire plumer si vous me permettez l’expression.

Le modèle économique se décline avec une 3^ème offre présentée comme ‘premium’ pour la modique somme de 199 dollars. Ceci inclut une nouvelle analyse dans l’année qui suit, preuve que le matériel génétique est conservé.

Et si je cliquais sur « Privacy Statement » (en bas de la page du site du vendeur) ?

Le Privacy statement est l’équivalent d’une politique de confidentialité qui doit nous renseigner sur la protection des données génétiques par le vendeur, et notamment : la nature des données collectées, le lieu de stockage et la durée de conservation des données, les destinataires des données et surtout les mesures de sécurité prises pour protéger ces données particulièrement sensibles.

Ancestry, Family3DNA, Living DNA, MyHeritage, NebulaGenomics, 23andMe… tout vendeur en ligne doit fournir ces informations de façon intelligible pour l’acheteur avant l’achat du kit.

Or, l’information n’est pas délivrée de manière transparente aux clients puisqu’elle n’est disponible qu’en anglais la plupart du temps et dans des documents juridiques parfois longs de plus de 20 pages.

Au final, tout est fait pour maintenir la nébuleuse quant au sort qui sera réservé aux précieux échantillons.

Family3DNA et Living DNA affirment que les données stockées aux Etats-Unis respectent les normes de la Commission européenne (le Privacy Shield). Censée rassurer le client bilingue soucieux d’un accès abusif à ces données génétiques, cette mention révèle l’absence de maîtrise du cadre légal : le Privacy Shield a été annulé par la Cour de Justice de l’Union européenne le 16 juillet… 2020 !!!

Vendeur	Lieu du siège social	Lieu de stockage des données
Ancestry	Irlande	États-Unis, Irlande, Royaume-Uni, France
Family3DNA	Houston, Texas, USA	États-Unis
Living DNA	Bridgwater, UK	Dans le cloud
MyHeritage	Or Yehuda, Israël	États-Unis
NebulaGenomics	San Francisco, Californie	États-Unis
23andMe	Mountain View, Californie	États-Unis

Devillier, Tableau de synthèse, 2022

Sur la sécurité des données génétiques, certaines déclarations font frissonner :

Bien que nous ne puissions pas garantir que la perte, l’utilisation abusive ou l’altération des données ne se produise pas, nous déployons des efforts commercialement raisonnables pour empêcher cela (c’est moi qui traduis et souligne). (« While we cannot guarantee that loss, misuse or alteration of data will not occur, we use commercially reasonable efforts to prevent this »). Family3DNA, FamilyTreeDNA – Privacy Statement (le 21/08/2022).

Ce laxisme est malheureusement connu aux Etats-Unis où la société GEDMatch n’a pas su protéger ces données de façon adéquate les rendant perméables à une violation de la sécurité des données génétiques (7).

Enfin, sur la revente, l’exploitation sous forme de licence, ou la cession des données génétiques, seul un décorticage minutieux permettrait de démontrer l’étendue du business secondaire généré par les données génétiques collectées.

Cet extrait est particulièrement éloquent :

Nous pouvons également partager et divulguer vos données utilisateur avec des tiers car cela peut être nécessaire pour conclure une transaction commerciale impliquant Nebula, telle qu’une fusion ou une acquisition de Nebula, ou une vente de tout ou partie de l’activité ou des actifs de Nebula. Dans un tel cas, vos informations personnelles resteraient soumises aux promesses faites dans la présente politique (c’est moi qui traduis et souligne). (« We may also share and disclose your User Data with third parties as it may be necessary to complete a business transaction involving Nebula, such as a merger or acquisition of Nebula, or a sale of all or a portion of the Nebula business or assets. In such a case, your Personal Information would remain subject to the promises made in this Policy. » Nebula Genomics – Privacy Policy 2022 – Nebula Genomics (zendesk.com) (le 21/08/2022).

En passant, ces documents (et les Terms of Use – Conditions générales d’utilisation) comptent plusieurs clauses abusives…

Que faire si vous avez déjà renvoyé votre échantillon ?

Comment protéger les utilisateurs ?

Exercer son droit d’accès à ses données : cela permet de faire l’inventaire de ce que la société a sur vous, et de récupérer tous les supports (rapports, analyses…) : cela se fait avec un formulaire en ligne sur le site commercial ou un email au DPO (délégué à la protection des données) par exemple à privacy@myheritage.com
Exercer son droit de retrait du consentement : cela doit être aussi simple que de faire l’achat, même procédure,
Exercer son droit d’effacement des données identifiées, même procédure.

Exercer vos droits reste un moyen de limiter les abus commis par la société privée :

Autorisations de recherche étendues,
Sur-collecte de données, (la collecte ne se limite pas à l’ADN),
Partage non maîtrisé et à outrance des données.

Cela est d’autant plus nécessaire que l’ADN contient des informations que nous ne savons pas encore interpréter : la recherche en génétique progresse chaque jour.

Bien sûr, vous ne partagerez jamais aucun de vos résultats ou rapports d’analyse ADN sur les réseaux sociaux !

Notes

[1] Le régime juridique des tests ADN résulte du code de la Santé publique, de la loi de Bioéthique de 2021 et de la loi Informatique et Libertés.

[2] Éthique décalée : la FDA interdit la vente d’un test génétique, L. Perino, Le Monde, 4 déc. 2013

[3] Discontinuation of AncestryHealth®

[4] La loi de Bioéthique du 2 août 2021 permet la levée de l’anonymat du donneur de gamètes lorsque l’enfant issu d’une procréation médicalement assistée atteint la majorité. Cette disposition entrera en vigueur le 1^er septembre 2022.

[5] GSK and 23andMe sign agreement to leverage genetic insights for the development of novel medicines | GSK

[6] Des tests génétiques dits récréatifs, mais pas inoffensifs | LINC (cnil.fr)

[7] GEDmatch confirms data breach after users’ DNA profile data made available to police | TechCrunch

Pour aller plus loin :

CNIL, Le corps : nouvel objet connecté, 2015, pdf
CNIL, Les données génétiques, La Documentation française, 2017, EAN : 978211145187
Privacy Problems of Direct-to-Consumer Genetic Testing | DNA Tests – Consumer Reports
Hackers Want Americans’ DNA Data (theepochtimes.com)
China Is Collecting DNA From Tens of Millions of Men and Boys, Using U.S. Equipment – The New York Times (nytimes.com)

ADN

Ali Data et les 40 voleurs: fin de la récré pour le business des tests ADN commerciaux?

Ne pas succomber au chant des sirènes

Comment voler un million de données ADN ?

Et si je cliquais sur « Privacy Statement » (en bas de la page du site du vendeur) ?

Que faire si vous avez déjà renvoyé votre échantillon ?

Election présidentielle : cyber-campagne électorale et confiance dans l'intégrité du processus démocratique

Développer (et conserver) les capacités en matière de cybersécurité

ADN

Ne pas succomber au chant des sirènes

Comment voler un million de données ADN ?

Et si je cliquais sur « Privacy Statement » (en bas de la page du site du vendeur) ?

Que faire si vous avez déjà renvoyé votre échantillon ?

Election présidentielle : cyber-campagne électorale et confiance dans l'intégrité du processus démocratique

Développer (et conserver) les capacités en matière de cybersécurité

Vous pourriez aussi aimer

IA et droits d’auteur : pourquoi les Legaltechs sont-elles le nouveau champ de bataille ?

Automatisation et IA en cybersécurité : révolution ou fausse promesse pour les RSSI ?

Carte d’identité et carte vitale: une fusion à risques?