L’Agence de protection des données enquête sur la société d’analyse génétique 23andMe | Technologie

L’Agence espagnole de protection des données (AEPD) est en train de traiter un dossier concernant 23andMe, une société américaine pionnière dans le séquençage commercial du génome. L’Agence ne peut pas fournir plus d’informations sur le processus en cours, même si elle précise qu’elle n’a pas reçu de plaintes d’utilisateurs, ce qui indique que l’enquête est motu proprio. L’enquête coïncide avec des rumeurs selon lesquelles 23andMe, qui traverse des difficultés financières, serait à l’écoute des offres d’achat. Celui qui l’acquiert obtiendra les données génétiques de ses 15 millions de clients.

L’enquête de l’AEPD a un précédent : elle a fait de même en 2021 avec la société israélienne MyHeritage, une plateforme qui propose des analyses génétiques pour construire des arbres généalogiques. Dans cette affaire, la procédure avait été ouverte sur la base d’une réclamation de l’Organisation des Consommateurs et Utilisateurs (OCU) pour traitement inadéquat et transfert des données génétiques des utilisateurs à des tiers. MyHeritage a été condamné à une amende et contraint de modifier son comportement.

23andMe, du nom des 23 paires de chromosomes que possèdent les cellules humaines, est devenue mondialement connue en 2007 lorsqu’elle est devenue la première entreprise à vendre des kits de tests génétiques. Dans le rapport qu’ils proposent aux clients, ils fournissent des informations sur les ancêtres de l’utilisateur ou sur sa prédisposition à contracter certaines maladies. Sa méthode de prélèvement d’échantillons de salive pour capturer l’ADN, aujourd’hui référence dans le secteur, a été considérée comme l’invention de l’année en 2008 par le magazine Temps. Les tests, disponibles à partir d’environ 55 euros, sont envoyés à votre domicile : vous devez cracher dans un petit tube, le rendre à un coursier et en quelques semaines, ils vous proposent les résultats.

Mais les affaires ne se sont pas déroulées aussi bien que prévu. Son introduction en bourse en 2021 a été désastreuse. Les revenus ne répondent pas aux attentes et les analystes estiment qu’à ce rythme, elle épuisera ses réserves de trésorerie l’année prochaine. Cette situation a entraîné une baisse de 73 % de sa valeur boursière jusqu’à présent cette année. La recherche de nouveaux clients a conduit 23andMe à se lancer dans le secteur lucratif des produits amaigrissants à la recherche de nouveaux clients : la société a annoncé cet été qu’elle tenterait de trouver des variations génétiques pouvant aider ses utilisateurs à perdre du poids. Cependant, en septembre, l’ensemble du conseil d’administration a démissionné en masse, à l’exception de la cofondatrice et PDG Anne Wojcicki, car aucune offre d’achat n’avait été présentée pour sauver l’entreprise.

Wojcicki elle-même était ouverte à une vente à des tiers en septembre, comme l’a rapporté Reuters. Et cela a alarmé les experts en matière de protection de la vie privée, car la base de données détenue par 23andME (elle contient les données génétiques de 15 millions de personnes) est extrêmement sensible. La presse américaine a émis l’hypothèse que ce serait une collation appétissante, par exemple, pour un assureur, qui pourrait savoir avant d’accorder un prêt si le client est sujet ou non à contracter certains types de cancer.

Des sources de 23andMe assurent désormais à EL PAÍS que la société n’envisage aucune offre d’acquisition et que les clients ont la possibilité de supprimer leur compte à tout moment. « Nous ne partageons pas les données de nos clients avec des tiers sans leur consentement », déclare un porte-parole de l’entreprise. La politique de partage de données de 23andMe indique cependant que les données personnelles des clients peuvent être « consultées, vendues ou transférées ».

Mes données sont-elles en danger ?

Ce n’est pas la première fois que 23andMe est impliqué. Il y a tout juste un an, l’entreprise était piratérévélant les informations génétiques de millions d’utilisateurs. La réponse officielle a été de recommander aux utilisateurs de changer leur mot de passe et d’imposer une méthode de double authentification pour se connecter à leurs comptes.

Le fait que 23andMe envisage (ou ait envisagé) d’être racheté par une entreprise a porté l’inquiétude de certains utilisateurs à un autre niveau. « Vous pouvez demander la suppression de vos données ; Une autre question est de savoir si l’entreprise, dans la situation chaotique dans laquelle elle se trouve, a les moyens ou l’intérêt de le faire », explique Jorge García Herrero, avocat spécialisé dans la protection des données. Lorsqu’un client appuie sur le bouton Supprimer, son compte disparaît, mais il y a une clause dans les termes et conditions qui dit que, pour des « raisons juridiques », 23andMe et les laboratoires qui ont travaillé avec les échantillons conserveront des informations sur le sexe, date de naissance et informations génétiques de l’utilisateur. Il n’est pas précisé pour combien de temps.

La réglementation européenne protège les clients européens de 23andMe. « Le Règlement Général sur la Protection des Données (RGPD) affecte non seulement les entreprises qui travaillent dans l’UE, mais aussi toute personne qui traite les données des citoyens européens », explique Borja Adsuara, consultant et juriste en matière de confidentialité. Le plus compliqué, c’est de faire respecter la règle. « Il me semble qu’il manque des audits pour vérifier que tout est fait correctement », ajoute-t-il. « Si j’avais fait appel aux services de 23andMe et que j’étais préoccupé par mes données, j’attendrais que l’AEPD agisse de sa propre initiative pour rappeler à l’entreprise qu’elle doit respecter la réglementation européenne », explique l’expert. C’est ce qui semble se produire.

Les données génétiques relèvent d’une catégorie particulière de données personnelles, incluse dans l’article 9 du RGPD. Son traitement est interdit, à quelques exceptions près, toujours avec le consentement exprès. Il n’existe en effet pas de données biométriques plus immuables que l’ADN : c’est une sorte de plaque d’immatriculation personnelle et incessible de chaque être humain qui permet de le reconnaître sans équivoque. Une personne peut effacer ses empreintes digitales, modifier son visage pour tenter de déjouer les méthodes de reconnaissance faciale, ou même s’arracher les yeux pour empêcher la lecture de son iris. Le génome, quant à lui, nous accompagne du premier au dernier jour.

Les informations les plus personnelles

Une autre particularité du génome est qu’il ne concerne pas seulement une personne, mais toute sa famille. Il y a eu des cas aux États-Unis dans lesquels la justice a localisé des meurtriers non pas parce qu’ils avaient leur ADN, mais celui d’un membre de leur famille. La philosophe Carissa Véliz, professeur à l’Institut d’éthique de l’intelligence artificielle de l’Université d’Oxford, affirme que même le consentement de l’utilisateur ne devrait pas suffire pour pouvoir gérer des données telles que l’ADN, puisque les personnes concernées par l’analyse sont tous leurs proches.

De même, il existe une réglementation spécifique qui affecte l’analyse génétique. “La Convention d’Oviedo établit que ces études peuvent être réalisées à des fins spécifiques, telles que la recherche médicale ou la prévision de maladies, et qu’elles nécessitent toujours un avis médical”, explique Mikel Recuero, chercheur à l’Université du Pays Basque et avocat spécialisé. dans le traitement des données médicales. « Ces sociétés fonctionnent dans un certain vide juridique : vous commandez le test en ligne, vous recevez un kit, vous prélevez l’échantillon, il est envoyé à un laboratoire et ils vous envoient les résultats. L’analyse n’a pas lieu dans un cadre médical et il n’y a aucun avis professionnel.

Le fait est que 23andMe a déjà fait affaire avec les données de ses utilisateurs. En 2018 est parvenu à un accord avec le britannique GlaxoSmithKline, l’une des plus grandes sociétés pharmaceutiques au monde, pour plus de 300 millions de dollars pour le « développement de nouveaux médicaments ». Seules les données des utilisateurs ayant consenti ont été utilisées.

23andMe pourrait-il vendre vos données à un assureur maladie ou à un courtier en données (entreprises qui collectent, analysent et vendent des données personnelles), comme cela a été spéculé ? Aux États-Unis, ce serait techniquement possible et légal. Dans l’UE, c’est très compliqué. « L’un des principes de base du RGPD est la limitation des finalités, ce qui signifie que si vous collectez des données dans un but spécifique (par exemple, de l’ADN pour détecter une maladie), vous ne pouvez pas les utiliser à d’autres fins, et si vous le faites, vous les exposez. vous exposez à des sanctions sévères, voire à la désactivation du service», souligne Recuero.