Retour

Faillite 23andMe : vos données génétiques à vendre ?

Une entreprise pionnière au bord du gouffre

Le 4 avril 2025, 23andMe, pionnière des tests ADN à domicile, a officiellement demandé la protection du Chapitre 11 de la loi sur les faillites aux États-Unis. Ce dépôt fait suite à une série de catastrophes juridiques, réglementaires et réputationnelles, survenues après une violation massive de données révélée en octobre 2023. Cette fuite, impliquant les informations personnelles et génétiques de millions d’utilisateurs, a non seulement brisé la confiance du public, mais a également déclenché une avalanche de litiges et une surveillance réglementaire intense.

L’ADN, un actif sensible devenu un fardeau

Dès la révélation de la violation, les autorités de régulation à travers les États-Unis – et tout particulièrement la Commission fédérale du commerce (FTC) – ont intensifié leurs enquêtes. Les citoyens, profondément préoccupés par l’utilisation potentielle de leurs données génétiques, ont inondé les organismes de plaintes. Dans les mois suivants, 23andMe a dû faire face à :

  • 40 recours collectifs fédéraux,
  • 9 recours devant des juridictions d’État,
  • plus de 35 000 demandes individuelles d’arbitrage,
  • ainsi qu’à des risques d’amendes gouvernementales massives.

Lors de la première audience de faillite le 26 mars, les avocats de 23andMe ont reconnu que la fuite de données de 2023 était un “facteur déterminant” dans la décision de dépôt de bilan, ajoutant que la charge financière des litiges associés menaçait la survie même de l’entreprise.

Sur la sécurité des données génétiques, certaines déclarations, par exemple sur le site Family3DNA, font frissonner :

“Bien que nous ne puissions pas garantir que la perte, l’utilisation abusive ou l’altération des données ne se produise pas, nous déployons des efforts commercialement raisonnables pour empêcher cela”

Une réaction réglementaire en cascade

Dans ce contexte, la confidentialité des données s’est retrouvée au cœur des débats. La FTC, mais aussi plusieurs procureurs généraux d’État, ont fait savoir que même en faillite, 23andMe devait impérativement maintenir ses engagements en matière de protection de la vie privée. La vigilance des autorités s’est étendue aux ventes d’actifs : l’entreprise, dont le principal actif reste sa base de données génétiques, devra prouver que tout transfert futur respecte les lois de confidentialité.

Heather Crockett, du bureau du procureur général de l’Indiana, a averti que le respect formel des politiques de confidentialité existantes ne suffisait plus. Elle a exigé un examen approfondi des acheteurs potentiels et l’inclusion de clauses de conformité explicites dans les documents d’appel d’offres. Le juge Brian Walsh, en charge du dossier, n’a pas exclu la nomination d’un représentant indépendant pour surveiller le processus.

Vers une gouvernance interétatique de la vie privée

Le scandale 23andMe a agi comme un électrochoc au niveau national. Moins de deux semaines après la première audience de faillite, le 16 avril 2025, le procureur général de Californie, Rob Bonta, a annoncé la création d’un consortium bipartisan d’organismes de régulation de la confidentialité.

Regroupant la CPPA (Agence californienne de protection de la vie privée) et les procureurs généraux de six États (Californie, Delaware, Colorado, Connecticut, Indiana et Oregon), ce consortium vise à :

  • Partager des informations d’enquête,
  • Harmoniser les pratiques d’enquête et d’application des lois,
  • Coordonner les actions face aux entreprises ne respectant pas les droits à la vie privée.

« Les données ne connaissent pas de frontières », a déclaré Rob Bonta, insistant sur le fait qu’une approche collaborative interétatique est désormais indispensable pour lutter contre les violations de la vie privée dans un monde de plus en plus axé sur les données.

Des droits renforcés pour les consommateurs

En parallèle, la Californie continue d’affirmer son leadership législatif en matière de protection des données. Avec la California Consumer Privacy Act (CCPA), et la Genetic Information Privacy Act (GIPA), les consommateurs californiens disposent désormais :

  • Du droit de savoir quelles données sont collectées et partagées,
  • Du droit de suppression, y compris des données génétiques,
  • Du droit d’opposition à la vente ou au partage de leurs données à des fins publicitaires.

Le mois dernier, le bureau du procureur général a publié une alerte spécifique aux anciens clients de 23andMe, les encourageant à exiger la suppression de leurs données ADN si nécessaire.

Quel avenir pour vos données génétiques ?

L’affaire 23andMe pourrait bien devenir le catalyseur d’un nouveau cadre de régulation pour les données sensibles aux États-Unis. Si la RGPD européenne impose déjà des garanties strictes sur les données génétiques, les États-Unis en étaient encore à un stade fragmenté de régulation. Le Consortium lancé par Bonta pourrait annoncer une ère nouvelle de gouvernance des données, particulièrement dans des secteurs aussi critiques que la génomique personnelle.

Mais la faillite de 23andMe soulève aussi des questions fondamentales sur la monétisation de la santé, la transparence des modèles économiques des entreprises biotech, et les limites du consentement éclairé dans les plateformes de tests ADN.

Les données des clients sont des actifs de l’entreprise, une façon efficace de se protéger contre tout réemploi des données en tant que client est de réclamer la suppression de vos données.

   

L’IA et les données génétiques : une alliance puissante… et dangereuse.


L’essor de l’intelligence artificielle transforme la manière dont les données génétiques sont analysées et exploitées car ces données permettent :
– d’entraîner des IA à diagnostiquer des maladies rares,
– d’identifier des prédispositions génétiques à certains cancers,
– de prédire des comportements à risques (addictions, troubles mentaux),
– ou encore de développer des traitements personnalisés (médecine de précision).

Mais ces usages comportent aussi des risques majeurs :
biais dans les jeux de données génétiques (exclusion des minorités),
reconstruction d’identités à partir d’échantillons partagés,
profilage génétique à des fins commerciales ou assurantielles,
discrimination génétique automatisée,
croisement non consenti avec d’autres bases de données.

Dans tous les cas, les systèmes d’IA qui exploitent ces données ultra-sensibles doivent être strictement encadrés :
– Respect du consentement éclairé,
– Encadrement de l’usage secondaire des données,
– Application du principe de minimisation,
– Et surtout, auditabilité des modèles prédictifs utilisés.

 

Étiquette:, , , , , , , , , , ,

Nathalie DEVILLIER
Nathalie DEVILLIER

Docteur en droit international, son expertise est recherchée par les institutions européennes et internationales.

Vous pourriez aussi aimer

copyright Family3DNA
Ali Data et les 40 voleurs: fin de la récré pour le business des tests ADN commerciaux?
21 août, 2022