Les infos relatives à l'ADN de 15 millions de personnes pourraient être mise en vente suite à l'annonce de la faillite de 23andMe

Un procureur recommande de supprimer « d'urgence » les donnés génétiques

Les informations relatives à l'ADN de 15 millions de personnes pourraient être mise en vente suite à l'annonce de la faillite de 23andMe,
un procureur recommande aux clients de supprimer « d'urgence » leurs données génétiques

L'annonce de la faillite de 23andMe, l'une des plus grandes entreprises de généalogie et de tests ADN au monde, a secoué l'industrie des données génétiques. Des révélations inquiétantes ont émergé : l'ADN de 15 millions de personnes, collecté par la société au fil des années, pourrait être mis en vente. Cela soulève des préoccupations majeures en matière de confidentialité et de sécurité. Dans ce contexte, il est essentiel de comprendre les enjeux et pourquoi il est impératif de supprimer vos données ADN de 23andMe immédiatement.

Contexte

Fondée en 2006, l'entreprise 23andMe a longtemps été un acteur dominant dans l'industrie des tests génétiques, offrant des services qui permettaient aux utilisateurs de découvrir leur origine génétique, leur prédisposition à certaines maladies tout en menant des recherches sur de nouveaux types de traitements et bien plus encore.

Mais ces dernières années, 23andMe a été confrontée à des défis commerciaux et sécuritaires simultanés.

Elle est entrée en bourse en 2021, mais a épuisé ses liquidités et a vu sa valeur chuter d'environ 6 milliards de dollars à environ 50 millions de dollars aujourd'hui.

En 2023, elle a été victime d'une violation de données qui a touché quelque 7 millions de clients. Les pirates ont utilisé les anciens mots de passe des clients pour accéder à des informations qui, dans certains cas, comprenaient des arbres généalogiques, des années de naissance et des emplacements géographiques. En septembre, le conseil d'administration de 23andMe a démissionné après avoir rejeté les propositions de la PDG Anne Wojcicki de privatiser l'entreprise.

La société se trouve désormais au cœur d’une tempête après avoir déposé le bilan, exposant ainsi les données personnelles et génétiques de millions de clients. Les informations recueillies, qui incluent non seulement des données ADN mais aussi des données personnelles sensibles, pourraient être mises à la disposition de créanciers ou vendues à d'autres entreprises dans le cadre de la liquidation des actifs de la société.

Les implications de cette situation sont énormes. Non seulement les données génétiques de millions de personnes risquent d’être exposées, mais ces informations pourraient également être utilisées à des fins commerciales, notamment par des entreprises pharmaceutiques, des compagnies d'assurances ou même des gouvernements. La vente de ces données pourrait entraîner une exploitation financière des informations sensibles, sans le consentement éclairé des individus concernés.


La faillite de 23andMe : un tournant pour l'industrie des tests génétiques

23andMe s'est placée dimanche sous la protection du chapitre 11 de la loi sur les faillites, laissant en suspens le sort de millions d'informations génétiques, l'entreprise devant faire face aux retombées juridiques et financières d'une protection insuffisante de ces informations génétiques. Ce dépôt de bilan montre à quel point il est dangereux de fournir son ADN directement à une grande base de données génétiques commerciale à but lucratif ; 23andMe cherche maintenant un repreneur pour la sortir de la faillite.

23andMe a déclaré dans des documents judiciaires que depuis que des pirates ont obtenu des données personnelles sur sept millions de ses clients en octobre 2023, y compris, dans certains cas, des « informations relatives à la santé basées sur la génétique de l'utilisateur », elle a été confrontée à « plus de 50 actions collectives et tribunaux d'État » et « qu'environ 35 000 demandeurs ont initié, déposé ou menacé d'initier des réclamations d'arbitrage contre l'entreprise ». L'entreprise se place sous la protection de la loi sur les faillites en partie pour simplifier les retombées de ces actions en justice et parce qu'elle estime qu'elle n'a peut-être pas les moyens de payer les dommages et intérêts potentiels liés à ces actions.

Anne Wojcicki, PDG et cofondatrice, a annoncé qu'elle quittait l'entreprise dans le cadre de ce processus. L'entreprise possède les données génétiques de plus de 15 millions de clients.


La vente de l'ADN : des risques pour la vie privée et la sécurité

D'après les documents déposés en vertu du chapitre 11, 23andMe doit de l'argent à un grand nombre de sociétés pharmaceutiques, de pharmacies, de sociétés d'intelligence artificielle (dont une société appelée Aganitha AI et Coreweave), ainsi qu'à des compagnies d'assurance maladie et à des sociétés de marketing.

Cette plainte rappelle de manière dévastatrice qu'une fois que l'on a communiqué ses informations génétiques à une société comme 23andMe, il est impossible de savoir ce qu'il adviendra de ces données, comment elles seront analysées, comment elles seront monétisées, comment elles seront protégées des pirates informatiques et avec qui elles seront partagées à des fins lucratives. Le fait de partager son propre ADN avec 23andMe implique aussi nécessairement les membres de sa famille proche, qui peuvent ou non vouloir que leurs informations génétiques soient soumises à une entreprise financièrement précaire et assise sur un trésor d'informations hautement sensibles.

La vente des données génétiques soulève des questions cruciales sur la vie privée. L'ADN est l'une des informations les plus personnelles que l'on puisse posséder, car il contient des détails non seulement sur nos origines, mais aussi sur notre santé, notre vulnérabilité aux maladies, et nos prédispositions génétiques. Lorsque ces données sont vendues, elles peuvent être utilisées à des fins de discrimination, de profilage ou même de manipulation.

Les implications sont particulièrement graves dans les domaines de l’assurance et de l'emploi. Par exemple, les compagnies d'assurance pourraient utiliser des informations génétiques pour refuser une couverture ou ajuster les primes en fonction des risques potentiels identifiés dans l'ADN d'un individu. De même, des employeurs pourraient discriminer des candidats en fonction de leurs prédispositions génétiques à certaines maladies, ce qui soulève des préoccupations éthiques majeures.

En outre, il existe également un risque accru de piratage des bases de données génétiques. Les cybercriminels pourraient chercher à accéder à ces informations sensibles et les utiliser à des fins malveillantes, que ce soit pour des vols d'identité ou d'autres formes de fraude.


Pourquoi il est crucial de supprimer vos données ADN de 23andMe

Face à cette situation, il est devenu essentiel pour les utilisateurs de services comme 23andMe de prendre des mesures immédiates pour protéger leurs informations personnelles. Voici quelques raisons pour lesquelles vous devriez envisager de supprimer vos données ADN de 23andMe dès maintenant :

• Protection de votre vie privée : La vente ou l'exploitation commerciale des données génétiques sans consentement est un risque majeur. En supprimant vos données, vous minimisez l'impact potentiel d'une telle vente.
• Prévention de l'exploitation commerciale : En supprimant vos données, vous réduisez la possibilité qu'elles soient utilisées à des fins commerciales, notamment pour le ciblage publicitaire ou la discrimination.
• Contrôle sur vos informations : En supprimant vos données, vous reprenez le contrôle sur vos informations personnelles. Cela vous permet de décider vous-même ce que vous voulez partager et avec qui, plutôt que de laisser une entreprise ou des tiers prendre cette décision à votre place.
• Réduction du risque de piratage : Moins de données sensibles sont disponibles en ligne, moins il y a de risques de piratage. En supprimant vos informations génétiques, vous limitez les chances qu'elles soient compromises en cas de violation de données.

D'ailleurs, vendredi, le procureur général de Californie Rob Bonta a lancé une alerte « urgente » aux clients de 23andMe pour leur dire de demander à l'entreprise de supprimer leurs données et de détruire leurs échantillons génétiques en vertu d'une loi californienne sur la protection de la vie privée : « Compte tenu des difficultés financières signalées par 23andMe, je rappelle aux Californiens qu'ils doivent envisager d'invoquer leurs droits et d'ordonner à 23andMe de supprimer leurs données et de détruire tout échantillon de matériel génétique détenu par l'entreprise. »

D'autres sociétés de séquençage génétique ont partagé des informations sur leurs clients avec la police et les gouvernements, des sociétés pharmaceutiques et des assureurs de santé. GED Match, une organisation à but non lucratif qui prétendait protéger les données génétiques de ses clients, a été vendue à une société à but lucratif appelée Verogen, qui travaille avec le FBI et a ensuite été vendue à un conglomérat multinational néerlandais. Aujourd'hui, la police tente régulièrement d'identifier des suspects à l'aide d'informations tirées de bases de données génétiques commerciales telles que celle créée par 23andMe.

Conclusion

La faillite de 23andMe signifie que l'entreprise sera mise en vente, et il n'y a aucun moyen de savoir qui va l'acheter, pourquoi il sera intéressé, et ce qu'il adviendra des séquences d'ADN de ses millions de clients. Au fil des ans, 23andMe a affirmé qu'elle s'opposait fermement aux demandes d'informations émanant des forces de l'ordre et qu'elle prenait au sérieux la sécurité de ses clients. Mais ces dernières années, l'entreprise a modifié ses conditions d'utilisation, s'est associée à de grandes sociétés pharmaceutiques et, bien sûr, a été piratée.

Dans une lettre adressée dimanche à ses clients, 23andMe a déclaré : « Vos données restent protégées. Le dépôt du chapitre 11 ne modifie en rien la manière dont nous stockons, gérons ou protégeons les données de nos clients. La vie privée et les données de nos utilisateurs sont des considérations importantes dans toute transaction, et nous restons attachés à la vie privée de nos utilisateurs et à la transparence avec nos clients sur la façon dont leurs données sont gérées. » Elle ajoute que tout acheteur devra « se conformer à la législation applicable en ce qui concerne le traitement des données des clients », ce qui ne veut essentiellement rien dire car il existe peu de lois qui protègent contre la monétisation des données génétiques des clients, comme le prouve le fait que d'autres bases de données génétiques offrent proactivement des informations aux forces de l'ordre et s'associent à de grandes sociétés pharmaceutiques.

L'entreprise peut maintenant être vendue à n'importe qui, et il n'y a aucun moyen de savoir ce que l'acheteur voudra faire des quantités d'informations génétiques qu'elle a collectées. Les clients, quant à eux, n'ont toujours aucun moyen de modifier leurs données génétiques sous-jacentes.

Sources : lettre de 23andMe aux clients, alerte du procureur général de Californie, documents judiciaires (1, 2)

Et vous ?

Quelle responsabilité les entreprises de tests ADN doivent-elles assumer en matière de protection des données personnelles de leurs utilisateurs ?

Est-il moralement acceptable que des entreprises vendent ou exploitent les données génétiques des individus à des fins commerciales, même avec leur consentement initial ?

Devrait-il y avoir des réglementations gouvernementales plus strictes sur la vente et le partage des données génétiques, comme c’est le cas pour les données médicales traditionnelles ?

En cas de faillite d’une entreprise de généalogie génétique, comment protéger les droits des utilisateurs et garantir la confidentialité de leurs données ?

Les utilisateurs doivent-ils être informés régulièrement sur l’utilisation de leurs données génétiques, même après avoir accepté les conditions générales ?

L’accès à des services de tests ADN devrait-il être restreint, ou au contraire, davantage encouragé, pour améliorer la recherche médicale et génétique ?

Est-ce que la suppression des données personnelles d’une entreprise comme 23andMe est vraiment suffisante pour protéger la vie privée des utilisateurs, ou faut-il des garanties supplémentaires ?