Les risques d'atteinte à la vie privée à l’heure des tests ADN en libre-service
Alors que cette pratique est illégale en France, les kits de test récréatifs ADN ont encore une fois dominé les coffrets cadeaux des américains à Noël dernier.
Selon le MIT Technology Review, 26 millions de consommateurs avaient ajouté leurs ADN à une base de données et ils devraient être 100 millions dans les deux prochaines années. Le prix des kits varie sur le marché entre 60 et 200 dollars et sont destinés à aider les clients à comprendre l'histoire de leur famille, la généalogie, connecter des membres inconnus d’une même famille, et même jusqu’aux prédictions à des maladies génétiques ou aux liens ethniques. La collecte de données génétiques peut également avoir un impact plus large sur le secteur de santé ou de la justice. Nous avons assisté en 2018 à l'arrestation du "tueur du Golden State", Joseph James DeAngelo, confondu à la suite de tests ADN de membres de sa famille et partagés sur la base de données Open Data GEDmatch.
Parmi les principaux points qui font débat, il y a le fait que ces tests récréatifs ont un prix attractif car ils sont financés par des investisseurs ou des clients dont les intentions ne sont pas forcément clairement stipulées, et pas forcément dans l'intérêt de celui qui a demandé le test, ou à ceux dont le patrimoine génétique lui sont proches. Bien que ces produits permettent d'explorer les effets de l'ADN sur la santé, d'innover dans le secteur médical ou de résoudre un plus grand nombre de crimes, les renseignements recueillis, et les tierces parties impliquées, prêtent à des préoccupations en matière de protection de la vie privée. L'absence de réglementation sur le sujet, la non-maîtrise de moyens technique pour protéger ces données par anonymisation, ainsi que le principe du consentement pour des données qui permettent d'identifier non seulement un individu, mais également ses proches sur un plan génétique, posent également problème.
Mettre l'histoire de votre famille entre les mains d’un inconnu
Récemment, GlaxoSmithKline (GSK) a investi 300 millions de dollars dans 23andMe. Bien que les deux entreprises insistent sur le fait que ce partenariat ne fera qu'accroître la disponibilité de nouveaux traitements, il est important de noter que les consommateurs qui ont partagé leurs données génétiques avec 23andMe avant cet investissement seront malgré tout impactés. Les clients qui ne consentent pas à partager leur identité seront en principe anonymisés, mais les moyens techniques pour effectivement maîtriser l'anonymisation de ces données restent à définir.
Car, lorsque l'on creuse dans les détails techniques, il devient clair qu'avec les technologies d'anonymisation dont nous disposons à ce stade, l'information génétique partagée avec les sociétés de tests ADN ne peut jamais être réellement anonymisée. De ce fait, en utilisant ces services les consommateurs risquent de perdre le contrôle des données qu'ils fournissent, ce qui explique pourquoi cette pratique n'est pas autorisée en France. Avec un statut de consentement (opt-in) et une transparence sur les usages qui sont faits des données d'ADN qui n'est pas suffisamment définis et réglementés, les consommateurs ne sont pas certains de savoir qui utilise leurs données, et pour quoi faire. Quand on analyse les scandales sur la collecte et le partage des données personnelles comme celui de Cambridge Analytica, le problème était que les données relatives à la vie privée qui ont été collectées par un premier temps, étaient ensuite partagées avec une tierce partie, et utilisées par ceux-ci pour des usages qui n'allaient dans l'intérêt des individus dont les données personnelles avaient été "siphonnées". Et c'est dans ce cadre que la perte de contrôle sur les données a eu lieu.
Puisque la collecte de données à lieu pour un usage récréatif, les services d’AncestryDNA ou de 23andMe n'ont pas à se conformer aux mêmes réglementations que les entreprises du secteur de la santé, comme le Health Insurance Portability and Accountability Act (HIPAA) aux Etats Unis, à laquelle le corps médical est lié. Pourquoi pourraient-elles alors partager ces données avec des professionnels de la santé comme des laboratoires pharmaceutiques ou des assureurs ? Il en de même dans le domaine du renseignement criminel. Il est bien sûr dans le meilleur intérêt du gouvernement que ces informations génétiques soient à leur disposition. FamilyTreeDNA a ainsi donné au FBI l'accès à sa base de données de plus d'un million d'utilisateurs, pour que les agents fédéraux puissent tester des échantillons d'ADN provenant de scènes de crime. Lors de futurs incidents, le gouvernement pourrait hypothétiquement assigner ces entreprises à comparaître pour avoir accès à leurs bases de données ADN.
Il est également important de noter que l'ADN représente d'avantage qu'une donnée personnelle, puisque l'on partage des données génétiques avec ses proches. Si un membre de votre famille, même jusqu'à votre cousin au troisième degré, effectue un test ADN, la confidentialité de votre ADN est également en danger. De plus, les scientifiques sont maintenant en mesure d'identifier des mutations uniques dans un échantillon anonyme d'ADN pour en identifier le propriétaire.
Protéger les données génétiques pour des cas d'usages bénéfique
Malgré les risques potentiels, il est clair qu'il y a des avantages probants à recueillir une si grande quantité de données génétiques. Il s'agit de savoir comment s'assurer que les données ne sont utilisées qu'à bon escient. Encore faut-il pouvoir réglementer les échanges de données, et établir un cadre éthique, de transparence et de protection de l'individu.
Les consommateurs devraient pouvoir faire confiance aux sociétés avec lesquelles ils partagent leurs informations génétiques et utiliser les plateformes dans leur intention initiale : relier les utilisateurs à leur histoire généalogique et aux membres de leur famille. Les entreprises de tests ADN font face à un énorme défi en matière de confiance. Elles doivent mettre en œuvre un cadre clair et être bien plus transparente dans leur respect des réglementations sur le partage des données et la protection de la vie privée. Force est de reconnaître qu'à ce jour, elles ont tendance à jouer sur les flous réglementaires. Par exemple, une simple recherche sur Internet permet d'accéder au site web des prestataires et à déclencher un test ADN sans qu'aucun contrôle ne soit fait sur la résidence du demandeur.
En outre, il existe un fort besoin de réglementation dans ce domaine. Dans la santé, des règles très strictes ont été érigées en matière de protection des données qui exigent que les prestataires anonymisent et suppriment toutes les caractéristiques évidentes avant que les sociétés médicales puissent partager et éventuellement vendre les données d'un patient.
Malheureusement, avec des réglementations spécifiques en pleins balbutiements, ces données n'entrent pas dans le champ d'application des réglementations actuelles. Cela soulève un grand nombre de questions étant donné l'intérêt croissant des consommateurs et de la baisse du coût unitaire d’un test à domicile à mesure que la demande continue de croître.
Quel avenir pour les kits ADN ?
Les kits de tests génétiques apportent de l'innovation et de l'information mais leurs positions en matière de respect de la vie privée du consommateur restent ambiguës de même que la transparence sur les usages qui sont faits de la donnée ne sont pas exemplaires.
Ces entreprises sont le plus souvent influencées par leurs investisseurs et par la recherche de monétisation de ces informations pour une revente à des tiers, ce qui influe sur leurs décisions quant à l'utilisation des données qu'elles ont recueillies. Il reste à voir si les gouvernements décideront ou non de réglementer ce sujet très sensible. Dans l'intervalle, les prestataires de tests ADN doivent augmenter le niveau de garantie et de gouvernance des données pour protéger les données personnelles qu'elles recueillent.
Alors que selon l’INSERM, plus de 100 000 français auraient recours à ce type de test chaque année, l’avenir de ces tests ADN dits "récréatifs", ne fait hélas pas l’objet d’un agrément dans le cadre du projet de loi de bioéthique qui vient d'être voté en première lecture à l’Assemblée nationale. Le Ministère de la Santé estimant pour sa part que la piètre qualité de ceux-ci, "fournissent des informations très peu robustes, voire erronées, qui peuvent induire des changements de comportements". Néanmoins des membres du corps médical pointent le risque de favoriser des entreprises étrangères et de perdre des années en recherche sans la mise à disposition de bases de données génétiques. A suivre donc.