Les tests génétiques sont-ils vraiment innocents ?

RGPD 9 sept. 2019

Petite râlerie rapide (ou pas) en ce début de semaine après avoir lu un article d’Usbek & Rica sur les tests ADN « récréatifs » (cay rigodrôle de savoir qu’on va finir obèse) et surtout la conclusion de l’auteur (à la suite d’un article finalement assez creux mais rendant presque hype les tests génétiques) :

En tout cas, j’ai toujours du mal à admettre qu’une telle démarche puisse être interdite dans un pays réputé « libre ».

Cyril Fiévet

On va donc avoir ensemble un début de réflexion sur le « pourquoi » d’une telle interdiction dans un pays libre.

Interdiction, donc ?

C’est le mot juste. En France, c’est une loi de 1994 (sur la bioéthique) qui s’applique au cas qui nous occupe, à savoir les tests génétiques « pour le lol ». Concrètement, je vous cite 2 articles « qui vont bien » pour résumer la chose :

L’examen des caractéristiques génétiques d’une personne ne peut être entrepris qu’à des fins médicales ou de recherche scientifique. (…)

Article 16-10 du Code Civil

Le fait, pour une personne, de solliciter l’examen de ses caractéristiques génétiques ou de celles d’un tiers ou l’identification d’une personne par ses empreintes génétiques en dehors des conditions prévues par la loi est puni de 3 750 € d’amende.

Article 226-28-1 du Code Pénal

On va dire qu’on a fait le tour, un peu. La finalité d’un test comme celui utilisé par le journaliste n’est ni un diagnostic médical, ni la recherche. C’est donc proscrit (et ça peut coûter cher).

Dans le détail, le cadre législatif autour des tests génétiques est fort précis et bien plus riche que ce que j’expose ici, mais qui suffit à amorcer la réflexion. Si le lecteur souhaite des détails sur ledit cadre, alors cet article de Numerama devrait répondre à cette attente.

Retenez également (et aussi curieux que ça puisse paraître à certains) que si le RGPD fait bien entrer les données génétiques dans la catégorie des données dites « sensibles », ce n’est pas lui qui a le fin mot en ce qui concerne le traitement de telles données.

De l’usage de ces tests

Entamons notre réflexion par cette voie. Pourquoi les gens font-ils des tests génétiques ?

La réponse est en apparence simple : pour voir. Par curiosité. Qui sont mes ancêtres ? Suis-je l’enfant de mes deux parents ? D’où viens-je ? A quelles maladies dois-je me préparer dans les prochaines années (la crainte de la mort est paraît-il très présente chez mes congénères) ?

Il est courant que l’individu sollicitant un test ne souhaite répondre qu’à l’une des questions auxquelles répond une analyse génétique. Il est probable que d’autres réponses le choquent, le dérangent, voire remettent son existence en question. Est-ce que c’est bien ça, que l’on veut ? Ignorance is bliss, comme on dit.

Bon, et au global, il nous dit quoi, ce test ?

Twilight 4 : Révélation

Prenons ce qui est probablement le leader sur ce marché bien établi : 23andMe, qui propose moyennant 99$ un test salivaire.

D’après la société, voilà ce qu’on a pour 99$ :

Source : 23andMe

Il s’agit ici de déterminer… ses ancêtres. Son « héritage », quoi. Par où la lignée est passée.

Et de partager ça avec les copains, la famille… au sein du réseau social qui va avec et permet même la mise en relation avec des parents plus ou moins éloignés.

Note, lecteur, que 23andMe ne fait pas d’analyses « de santé » parce que pas forcément autorisé sur tous les marchés auquel la société s’adresse. Elle a par exemple reçu l’interdiction de continuer cette branche de son activité par les autorités américaines, car l’approche était réputée peu fiable et surtout pouvait porter à conséquences en cas de mauvaise interprétation des résultats par le client.

Quitte à gruger encore plus la législation, donc, direction GenomeBuddy !

On nous vend ici du « military-grade encryption DNA test » dans la blockchain. Rien que ça. Le faux sentiment de sécurité (puisque rien ne l’étaie, on va dire que c’est du vent, la base quoi) a un coût : 179$. Quoi qu’on a, à ce prix ?

Un kit de collecte, et des résultats directement dans une application pour ordiphone. Cette fois, on a au programme :

Source : GenomeBuddy

Là comme ça, vous allez me dire… rien de méchant, rien de risqué. Vous en êtes si sûrs ?

Et alors, où est l’blem ?

La réponse est en réalité multiple.

Inquiétudes relatives à la vie privée

Le premier élément qui doit attirer l’attention de l’utilisateur potentiel, c’est la société elle-même. Prenons 23andMe, par exemple. Pour prendre sereinement la décision d’avoir recours à ses services, il faut avoir quelques éléments à l’esprit… Comme le fait que cette société créée en 2006 a pour actionnaires… Google, et Genentech (filiale du groupe pharmaceutique Roche). Ou encore le fait que GSK (oui oui, le laboratoire GlaxoSmithKline) est entré au capital mi-2018, moyennant 300 millions de dollars, et a depuis accès à la base de données des analyses ADN effectuées via 23andMe. Tout comme Pfizer. On peut alors légitimement se poser des questions quant au respect de la vie privée du propriétaire de la salive analysée. Je ne tenterais pas d’exercer mes droits tels que décrits par le RGPD, personnellement : vous vous voyez demander à la CNIL d’intervenir pour faire supprimer hors UE des données relatives à une infraction commise ? 😀

La vie privée, donc. Je n’ai pas (encore) pris le temps d’éplucher les CGU et autres politiques de confidentialité des principaux services. Mais quid de la liste des tiers ayant accès aux analyses ? En voilà, une autre question. Prenons déjà les applications pour ordiphone et passons-les au scanner d’Exodus Privacy.

  • Genome buddy : 2 pisteurs (Google). Rapport
  • 23andMe – DNA Testing : 5 pisteurs (Google, Braze, New Relic). Rapport
  • Genomapp : 4 pisteurs (Google, MixPanel). Rapport

On constate donc que certains tiers ont accès à vos informations génétiques. Et à partir de là, ils en font un peu ce qu’ils veulent, dans les faits. Notamment les croiser avec d’autres données issues d’autres applications auxquelles ils sont également intégrés. Vous commencez à entrevoir le gros problème ?

Mention spéciale à Genomapp, cité avec les applications juste au-dessus, qui ne permet « que » d’importer les données brutes issues de 23andMe et autres afin de faire parler votre ADN de façon plus complète. Genomapp se fait fort de vous informer qu’il ne stocke pas vos données génétiques, ce qui est vrai. Il est cependant fort probable que les interprétations qui en sont faites, elles, le soient : ce ne sont pas des données génétiques à proprement parler. Les mots ont un sens.

La CNIL relève par ailleurs dans son Point CNIL consacré aux données génétiques que 23andMe demande (en plus du prélèvement salivaire) une foultitude de données de santé à ses clients à travers « des questionnaires très précis et intrusifs concernant la sexualité, l’apparence physique, les maladies, les allergies, etc. » .

Photo : Ousa Chea sur Unsplash

Des données… pluripersonnelles…

Hou le vilain mot que voilà ! Et pourtant : les données génétiques, en plus de vous être propres à vous et de vous définir de façon unique et inaltérable (changer de pseudo, d’adresse de courriel… ça se fait, mais pour l’ADN, c’est un poil compliqué), sont aussi partagées et transmissibles. Détaillons un peu.

L’ADN d’un individu est construit à partir de l’ADN de ses parents, je ne vous l’apprend pas. Conséquence : plus on est proche dans l’arbre généalogique d’une personne, plus nos ADN se ressemblent. C’est en partant de cette base scientifique que MyHeritage ou 23andMe annoncent pouvoir retrouver les origines de leurs clients, voire même des noms de personnes qui font partie de leur famille et ont elles aussi eu recours aux services de ces sociétés.

De la même façon, des enfants nés du don de sperme ou gamètes, adoptés ou que sais-je, ont aussi recours à ces services pour tenter de retrouver leurs origines.

Parlons santé, maintenant : un test qui révèlerait une anomalie génétique et le risque de maladie associée pour un individu pourrait donner des indications sur les risques pesant sur les parents, enfants et proches de cette même personne. Vient alors une question bien plus profonde qu’il n’y paraît : qu’est-ce qui prime ? Le respect du secret médical ? La volonté (nécessité ?) de protéger la santé des membres de sa famille ? Le droit de ne pas savoir ? Je ne répondrai pas à cette question, évidemment.

Anecdote intéressante : le « tueur du Golden State » a été retrouvé par les forces de l’ordre américaines en envoyant un échantillon d’ADN collecté sur la scène de crime à GEDMatch, qui leur a renvoyé un cousin éloigné, suffisant pour remonter au tueur par la suite.
Si dans le cas précis on peut difficilement critiquer la finalité de la démarche (un tueur arrêté, c’est pas si mauvais que ça, quand même !), ça ouvre la porte à pas mal de dérives potentielles. Laissez vagabonder votre imagination.

…et partagées (aka « rends l’argent »)

On trouve ici un mix astucieux entre le « si c’est gratuit, c’est vous le produit » et le fait que (surtout dans le domaine de la santé) plus c’est cher, plus c’est fiable (coucou l’homéopathie). Sauf qu’il faut quand même que ça reste accessible, pour vendre en masse.

Historiquement, 23andMe (désolé, c’est le leader, donc le cas le mieux documenté) vend ses tests à 99$, bien en-dessous du coût réel d’une telle analyse. Pourquoi et comment vendre à perte ? En récupérant les sous ailleurs. En faisant raquer quiconque veut accéder à la base de données.

Toujours dans le « Point CNIL » cité plus haut, on apprend que cet écart de prix est « la preuve qu’un second marché lui permet de valoriser les résultats des tests et les données associées. L’entreprise propose ainsi à ses clients de communiquer leurs données à leurs partenaires sous une forme non directement identifiante pour qu’ils les utilisent à des fins tant médicales que commerciales. Les deux tiers des 800 000 personnes testées [en 2016] en ont accepté le principe. »

Il y a un an environ, CNBC annonçait la fermeture d’une API proposée aux développeurs par 23andMe. Ce genre de considérations n’intéresse pas le client final moyen. Pourtant, ce type d’information est digne d’intérêt.
A la lecture de cet article, on apprend que cette API ouverte en 2012 permettait de développer ses propres services sur une base de données annoncée comme anonymisée (on parle de données génétiques, par natue impossibles à anonymiser). Les développeurs et tiers avaient donc accès aux données brutes. 23andMe annonçait donc fermer cet accès et n’offrir qu’une version « agrégée » par ses soins, sans clairement nommer les problématiques liées à la vie privée probablement à l’origine de ce revirement.

Et dans l’coup, on fait quoi ?

Cet article n’a pas vocation à répondre à toutes les interrogations qui ont pu naître à sa lecture, mais à vous donner quelques clés pour y répondre vous-mêmes.

Un choix avec de telles implications doit être mûrement réfléchi, avec autant d’arguments que possible dans la balance, et en sachant que toute machine arrière est impossible : on ne change pas d’empreinte génétique.

Libre à vous d’envoyer un échantillon de salive à 23andMe et ses copains, ou non, et ce nonobstant les choix (éclairés ?) que d’autres ont fait pour vous et qui ont conduit à l’interdiction de telles pratiques sur notre sol. Un test génétique n’a rien de banal.

Gardez également dans un coin de votre tête que l’avenir c’est peut-être des contrats-type d’assurances, de complémentaires santé… basés sur tout ça. Aujourd’hui, on n’a légalement pas le droit de traiter ça au niveau de l’individu (et encore heureux), c’est discriminatoire. Mais qu’est-ce qui empêche d’ajuster ses tarifs de base en fonction de vrais individus qui ont innocemment contribué à remplir une base mondiale de millions d’échantillons ADN ? Pas grand chose.

Instruits, vous l’êtes maintenant davantage, hors-la-loi, à vous de décider.

Et pour ceux qui aiment les devoirs à la maison, vous pouvez lire cet article du Laboratoire d’Innovation Numérique de la CNIL (qui va plus loin que ces quelques lignes quand bien même il en partage quelques informations et sources), et son cahier IP « Le corps, nouvel objet connecté ».

Mots clés

Maxime

Recommandé pour vous