Des tests génétiques dits récréatifs, mais pas inoffensifs
Rédigé par Régis Chatellier
-
13 septembre 2018Des tests génétiques récréatifs – interdits en France - sont proposés depuis une dizaine d’années par des acteurs étasuniens ; des services proposés à coût relativement bas qui sous-tendent des marchés à plusieurs faces parfois sans visibilité pour les utilisateurs. La prise de participation de GlaxoSmithKline dans le capital de la startup pionnière de ce domaine 23andMe vient relancer les questionnements sur ce secteur.
Le 25 juillet 2018, l’entreprise 23andMe annonçait l’entrée du laboratoire GlaxoSmithKline dans son capital, pour un montant de 300 millions de dollars, une prise de participation qui doit surtout ouvrir à ce dernier la capacité à utiliser les données génétiques collectées par 23andMe. Si l’objectif annoncé est de trouver de nouveaux traitements, il n’en reste pas moins que ce rapprochement des deux entreprises suscite des inquiétudes quant à la protection de la vie privée des clients de 23andMe. Plus de 5 millions de personnes ont déjà effectué ce test avec cette société.
Génomique personnelle : un marché déjà installé, mais interdit en France
Créée en 2006, la société étasunienne basée à Mountain View et dont Google est actionnaire, s’était faite connaître dès 2014 pour la commercialisation de tests ADN grand public, à partir d’un kit salivaire, au tarif très compétitif de 99$ (des tests similaires étaient proposés jusque-là au tarif de 999$, on en trouve maintenant « en promotion » à 59€). Comme nous l’expliquions en 2015 dans notre cahier IP, Le corps, nouvel objet connecté, les promesses et les finalités du test ont plusieurs fois évolué : « Dans un premier temps, le kit [avait] été présenté comme le moyen d’obtenir des renseignements sur l’origine de ses ancêtres. Puis, à partir de 2009, l’offre [avait] été recentrée autour de la santé de l’utilisateur, l’entreprise lançant même une grande campagne de publicité axée sur la santé. Les informations communiquées, censés être liées au patrimoine génétique de l’utilisateur, ont alors changé de nature : elles ont été présentées comme pouvant révéler une prédisposition à développer certaines pathologies et la réactivité de l'organisme face à certains médicaments. » Le 22 novembre 2013, la société avait dû cesser la commercialisation aux Etats-Unis de son kit, selon le communiqué de la FDA (Food and Drugs Administration), pour infraction à la législation sur les dispositifs médicaux : « en l’absence d’informations suffisantes sur la fiabilité des diagnostics et conseils de prévention donnés aux usagers. Les résultats transmis pouvaient leur faire courir de sérieux risques en cas de mauvaise interprétation. » A partir de fin 2013, le site 23andMe affichait un bandeau indiquant que le kit permet d’obtenir un rapport sur l’origine de ses ancêtres ou des données brutes, mais qu’il ne permet pas d'accéder à des données de santé. Depuis, la FDA a autorisé en mars 2018 le dépistage de trois mutations génétiques liées au cancer du sein. A noter que 23andMe n’est pas la seule entreprise sur ce marché ; d’autres, comme Ancestry ou MyHeritage (un service à l’origine dédié aux arbres généalogiques), se sont lancées sur le marché.
En France, ce type de test « récréatif » est interdit, non pas par la règlementation relative aux données personnelles, mais par l’article 226-28-1 du Code pénal, dans lequel il est précisé que « le fait, pour une personne, de solliciter l'examen de ses caractéristiques génétiques ou de celles d'un tiers, ou l'identification d'une personne par ses empreintes génétiques en dehors des conditions prévues par la loi est puni de 3750 euros d'amendes. » En France, un test génétique ne peut être réalisé que pour certains motifs prévus et encadrés par la loi ; le test doit être demandé par un médecin, à des fins thérapeutiques, un juge dans le cadre d’une recherche en paternité ou la police (dans le cadre d’une enquête pénale et éventuellement l’alimentation du Fichier national automatisé des empreintes génétiques (FNAEG)). Ceci n’empêche pourtant pas certains acteurs de viser le marché français, et de nombreux français à y avoir recours. Les potentiels clients doivent cependant avoir conscience qu’au-delà du risque pénal encouru, donner un test génétique a des implications au-delà de la seule personne effectuant un test.
Des données non plus personnelles, mais pluripersonnelles
En termes informatique et libertés, les données génétiques forment un cas particulier, d’où un traitement lui-même particulier par la législation. En 2017, la CNIL publiait son premier « Point CNIL : Les données génétiques », où elle indiquait : « les données génétiques présentent aussi la particularité d’être non seulement personnelles mais aussi pluripersonnelles car transmissibles et partagées. » En effet, les données génétiques sont liées à l’ADN de son porteur et permettent de le distinguer parmi tous les autres êtres humains, mais elles sont également partagées pour partie par plusieurs personnes. L’ADN d’un individu est construit à partir de l’ADN de ses parents, ainsi, plus on est proche dans l’arbre généalogique d’une personne, plus nos ADN sont proches. C’est sur cette base que des services comme Ancestry ou 23andMe promettent de retrouver les origines de leurs clients, voire même des noms de personnes qui font partie de leur famille. De la même manière, des enfants nés du don de sperme ou gamètes ont recours à ces services pour rechercher leurs origines.
En termes de santé, un test qui révèlerait une anomalie génétique et le risque de maladie associée pour une personne, pourrait donner des indications sur risques pesant sur les parents, enfants et proches de cette même personne. Vient alors un problème de conciliation entre le respect du secret médical, la nécessité de protéger la santé des membres de la famille, et le droit de ne pas savoir. C’est là le paradoxe de ces données très particulières, souligné dès 2004 par le G29 (le groupe de travail commun des CNILs européennes).
Des données sensibles au sens du RGPD
Les données sensibles correspondent à des catégories spécifiques de données personnelles dont le traitement est interdit, sauf exceptions. Par rapport à la directive 95/46, le RGPD introduit deux nouvelles catégories de données sensibles dans son article 9 : les données biométriques et les données génétiques. Ces catégories viennent ainsi s’ajouter aux données liées à « l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, relatives à la santé et à la vie sexuelle ». Le consentement explicite des individus est cependant l’une des situations permettant le traitement de ces données, dans un cadre réglementé comme cité précédemment par le code pénal et le code de la santé publique.
Données génétiques et modèles économiques
La CNIL s’arrête dans le « Point CNIL : Les données génétiques » sur les circuits marchands qui se sont mis en place, surtout aux Etats-Unis, afin de permettre l’exploitation des données génétiques par des industriels. Prenant l’exemple de la société 23andMe, la CNIL relève que l’entreprise demande un certain nombre de données de santé à ses clients, en même temps que le prélèvement salivaire, à travers « des questionnaires très précis et intrusifs concernant la sexualité, l’apparence physique, les maladies, les allergies, etc. ». La particularité de ces tests est qu’au moment du lancement de l’offre à 99€, le coût du test pour l’entreprise était supérieur au prix demandé à ses clients, « la preuve qu’un second marché lui permet de valoriser les résultats des tests et les données associées. L’entreprise propose ainsi à ses clients de communiquer leurs données à leurs partenaires sous une forme non direc¬tement identifiante pour qu’ils les utilisent à des fins tant médicales que commerciales. Les deux tiers des 800 000 personnes testées [en 2016] en ont accepté le principe. » Bien avant GlaxoSmithKline, 23andMe avait ainsi déjà mis en place une politique de partenariat offensive avec différentes industries. L’entreprise était déjà cofinancée par Google et Genentech, filiale du groupe pharmaceutique Roche, qui a eu accès depuis 2015 à certaines données dans le cadre d’un programme de recherche contre la maladie de Parkinson. Le laboratoire Pfizer a eu également accès à certaines données des personnes qui avaient donné leur accord pour la recherche.
En 2012, 23andMe avait ouvert une API aux développeurs qui le souhaitaient afin de leur permettre de développer leurs propres services sur une base de données annoncée comme anonymisée. Une API que l’entreprise a récemment annoncé fermer afin de ne plus mettre à disposition que des données basées sur des agrégations opérées par 23andMe. Les données brutes resteront toutefois accessibles pour ses partenaires. Selon CNBC, qui annonce cette fermeture dans un article du 24 août 2018, même si les questions de respect de la vie privée ne sont pas officiellement avancées, quelques affaires pourraient être à l'origine de ce choix et un code de conduite serait en cours d’adoption par les différents acteurs du secteur, rédigé en collaboration avec le Future of Privacy Forum.
Enfin, les services proposés par des entreprises non basées en France (23andMe, Ancestry et d’autres) posent aussi la question de la réutilisation des données à des fins de recherche, pour des données par nature impossibles à anonymiser.
Un cadre en évolution
Le fait que les français aient recours aux tests récréatifs doit nous amener à nous pencher sur les avantages et les inconvénients qu’il y aurait à organiser un régime juridique permettant le développement sous contrôle d’une offre domestique de tests génétiques de filiation à des fins personnelles. Organiser le marché permettrait de le réguler, du point de vue de la protection des données, les matériaux biologiques et les analyses génétiques qui sortent des radars lorsqu’ils sont envoyés à hors UE, mais aussi parce qu’aucun système ne garantit la qualité des tests effectués à l’étranger.
En matière de recherche, l’impossibilité d’anonymiser totalement les données génétiques pourrait notamment impliquer de laisser à l’individu la possibilité de choisir au cas par cas les recherches et acteurs avec lesquels il consent à partager ses données. Il s’agirait alors de mettre en place un système de consentement dynamique et non pas délivré une fois pour toutes lors du partage initial comme le proposent ces acteurs.
Le secteur des données génétiques continue de faire l’objet de débats qui seront à suivre d’ici à l’adoption en 2019 de la loi portant révision des lois de bioéthique.
Illustration : Dna Project Lumina (modifié) CC-BY Walter-Waymann