La société de tests génétiques 23andMe a déposé son bilan dimanche aux États-Unis, suscitant des inquiétudes quant au sort des données génétiques hautement sensibles de ses 15 millions de clients.
L’entreprise, surtout connue pour ses kits de tests ADN à domicile, a déclaré qu’elle continuerait à fonctionner et ne modifierait pas la façon dont elle protège les données des consommateurs pendant son procès en faillite.
La cofondatrice Anne Wojcicki a démissionné de son poste de PDG cette semaine et tentera de racheter l’entreprise. Si elle réussit, les politiques de données de l’entreprise pourraient rester intactes. Cependant, si une autre entreprise achète 23andMe, la politique de confidentialité et les accords d’utilisation des données pourraient changer.
L’annonce de la faillite a sonné l’alarme parmi les experts en confidentialité des données. Les procureurs généraux de Californie et de New York ont chacun émis de rares « alertes aux consommateurs », exhortant les clients 23andMe à supprimer leurs données du site.
“Je rappelle aux Californiens d’envisager d’invoquer leurs droits et d’ordonner à 23andMe de supprimer leurs données et de détruire tout échantillon de matériel génétique détenu par l’entreprise”, a déclaré California AG Rob Bonta dans un communiqué.
Fondée en 2006, 23andMe a été le pionnier des tests génétiques peu coûteux et directement destinés aux consommateurs. Les clients pouvaient simplement envoyer un échantillon de salive et recevoir un rapport sur leur arbre généalogique, leurs données démographiques et même leur risque de développer certains problèmes de santé héréditaires.
L’entreprise a également tenté de contribuer au développement de nouveaux traitements médicaux, à la fois en partenariat avec des sociétés pharmaceutiques et de manière indépendante. Ce programme s’est avéré coûteux et la société a réduit ses efforts de découverte de médicaments l’année dernière.
En 2023, une violation de données a exposé les données personnelles de quelque 7 millions d’utilisateurs. Le scandale, ainsi qu’une série d’erreurs financières et la diminution de la demande de tests génétiques, ont conduit l’entreprise à déposer le bilan.
“Les gens ont fait affaire avec 23andMe en s’attendant à certains types d’avantages liés à l’ascendance, en se renseignant sur leurs chances de manifester diverses maladies génétiques et en aidant les médicaments à arriver sur le marché. La société qui les acquiert peut être dans un secteur d’activité très différent ou avoir des priorités différentes”, a déclaré I. Glenn Cohen, JD, professeur de droit et directeur de la faculté au Centre Petrie-Flom pour la politique du droit de la santé, la biotechnologie et la bioéthique à l’Université Harvard.
Que pourrait-il arriver à vos données génétiques ?
La politique actuelle de 23andMe stipule que l’entreprise ne partagera pas volontairement les informations personnelles de ses clients avec des bases de données publiques, des compagnies d’assurance, des employeurs ou des forces de l’ordre (sauf en cas d’ordonnance judiciaire, d’assignation ou de mandat de perquisition valide).
Cependant, un groupe qui achète les informations auprès de 23andMe pourrait les utiliser pour établir des polices d’assurance vie et invalidité, ou pourrait avoir des politiques plus clémentes en matière de partage de données avec les forces de l’ordre.
La déclaration de confidentialité de 23andMe indique : « Si nous sommes impliqués dans une faillite, une fusion, une acquisition, une réorganisation ou une vente d’actifs, vos informations personnelles peuvent être consultées, vendues ou transférées dans le cadre de cette transaction. »
La société a déclaré que les clients seraient informés des nouvelles conditions avec un « préavis approprié » et que la politique de confidentialité actuelle s’appliquerait d’ici là.
Cohen a déclaré que si quelqu’un décide de conserver son compte chez 23andMe, il doit lire attentivement la politique de confidentialité et s’assurer de bien comprendre les petits caractères. Malgré trois certifications de sécurité internationales, les pirates ont pu accéder aux données personnelles de millions d’utilisateurs de 23andMe.
“Il est possible que l’entreprise qui acquiert les données ne dispose pas d’une grande cybersécurité. Il pourrait y avoir une autre violation”, a déclaré Cohen.
Comment pouvez-vous protéger ou supprimer vos données génétiques ?
Le moyen le plus fiable de garantir que vos informations génétiques ne passent pas de 23andMe à une autre entreprise est de les supprimer avant la vente de l’entreprise.
Voici les étapes :
- Connectez-vous à votre compte 23andMe
- Aller àParamètres
- Faites défiler jusqu’àDonnées 23andMeen bas de la page et cliquez surVoir
- Si vous souhaitez une copie de vos données génétiques, choisissez l’option de la télécharger sur votre appareil
- Faites défiler jusqu’àSupprimer les donnéeset cliquezSupprimer définitivement les données
- Vous recevrez un e-mail de 23andMe. Suivez le lien dans l’e-mail pour confirmer votre demande de suppression.
Une fois que vous aurez appuyé sur le bouton de confirmation, le processus de suppression commencera immédiatement et ne pourra plus être annulé.
Vous pouvez envisager de télécharger une copie de vos informations pour créer une archive personnelle. Vous pouvez télécharger directement les rapports de données, mais vous devez soumettre une demande pour télécharger vos informations génétiques sous leur forme brute.
Si vous téléchargez vos informations depuis 23andMe, assurez-vous de les stocker dans un emplacement sécurisé. Cohen a recommandé de protéger le fichier avec un mot de passe et d’éviter de le stocker sur un ordinateur ou un disque dur partagé.
“Les utilisateurs peuvent également avoir préalablement consenti à ce que leurs données génétiques soient analysées à des fins de recherche médicale. Bien qu’il n’y ait aucun moyen de supprimer tout ce qui a déjà été partagé, ils peuvent envoyer un e-mail à 23andMe pour révoquer leur consentement à des recherches futures”, a déclaré F. Mario Trujillo, JD, avocat au sein du groupe à but non lucratif de défense des droits numériques Electronic Frontier Foundation.
Selon 23andMe, plus de 80 % des utilisateurs autorisent l’entreprise à utiliser leurs données anonymisées à des fins de recherche médicale. La société a conclu au moins 30 accords avec des sociétés pharmaceutiques et biotechnologiques, leur donnant accès à des informations dépourvues de données personnelles, telles que le nom et l’emplacement.
Si vous avez précédemment accepté de laisser l’entreprise stocker votre échantillon de salive et votre ADN, vous pouvez mettre à jour votre autorisation dans la partie « préférences » de votre compte. Vous pouvez également révoquer votre consentement pour permettre à 23andMe et à des chercheurs tiers d’utiliser vos données génétiques à des fins de recherche sur la page des paramètres du compte sous « Consentements à la recherche et au produit ».
Selon l’entreprise, la suppression de votre compte « vous retirera automatiquement de la recherche et supprimera votre échantillon ».
Quels sont vos droits en matière de confidentialité des données génétiques ?
La plupart des informations médicales sont protégées par la Health Insurance Portability and Accountability Act (HIPAA). Cependant, les règles HIPAA ne s’appliquent pas à 23andMe car les gens interagissent avec l’entreprise en tant que clients plutôt qu’en tant que patients.
Aux États-Unis, les gens peuvent bénéficier de la Genetic Information Discrimination Act (GINA), une loi de 2008 qui interdit aux employeurs et aux compagnies d’assurance maladie de discriminer sur la base des informations génétiques. Cependant, GINA ne protège pas les individus contre la discrimination en matière d’invalidité, de soins de longue durée ou d’assurance-vie.
La Californie dispose des protections les plus strictes en matière de confidentialité des données génétiques aux États-Unis. Une loi de 2018 autorise les résidents californiens à supprimer les données des entreprises qui les collectent. Une loi distincte, appelée Genetic Information Privacy Act, donne aux Californiens le droit de supprimer leur compte, de faire détruire leurs échantillons biologiques et de révoquer leur consentement à l’utilisation ou au partage de leurs données génétiques.
Selon 23andMe, il existe des lois supplémentaires sur la confidentialité génétique dans 10 États, dont le Texas, Washington, l’Arizona et le Connecticut. En Californie et en Virginie, les résidents peuvent déposer une plainte auprès de leur procureur général s’ils estiment que leurs droits ont été violés.
L’Institut national de recherche sur le génome humain exploite une base de données contenant des informations sur les projets de loi et les lois au niveau des États relatifs à l’information génétique. Vous pouvez le référencer ici.
“Cette nouvelle devrait être un signal d’alarme pour les législateurs, qui doivent œuvrer pour adopter des protections plus complètes de la vie privée en général et des protections génétiques de la vie privée en particulier”, a déclaré Trujillo. “Bien que de nombreuses lois étatiques sur la confidentialité génétique soient un bon début, elles manquent généralement de droit d’action privé et ne protègent qu’une partie de la population américaine.”
Ce que cela signifie pour vous
Si vous avez utilisé 23andMe, vos données génétiques pourraient être transférées ou vendues si l’entreprise est vendue à un autre acheteur dans le cadre du processus de faillite. Pour protéger votre vie privée, pensez à télécharger vos données et à supprimer votre compte. Vous pouvez également envoyer un e-mail à 23andME pour révoquer votre consentement à des recherches futures et demander la destruction de votre échantillon biologique.
