La société 23andMe proposait des tests ADN à des fins ludiques. Elle est dans une situation particulièrement délicate et ses données risquent d’être vendues au plus offrant. Dans cet article je vous explique les risques que cela représente et les scénarios probables.
Vous n’en avez sans doute jamais entendu parler et pourtant vous devriez. La société américaine 23andMe est sur le point de faire faillite et elle possède les données génétiques de 15 millions de personnes. Ces données vont se retrouver dans peu de temps dans la nature, vendues au plus offrant, sans que les personnes concernées puissent y faire quelque chose. Parce que les conditions générales de vente le prévoyaient ainsi. Récit d’un cas d’école en matière de confidentialité des données.
Contactez le cabinet d’études IntoTheMinds
23andMe : une société spécialisée dans les tests ADN grand public
La société 23andMe est spécialisée dans les tests ADN à destination du grand public. Elle risque de faire faillite dans quelques jours.
23andMe a été confrontée à une chute de sa valeur boursière et à des bouleversements internes. Tous ses directeurs ont démissionné, les employés sont partis et il se pourrait dès lors que l’entreprise soit vendue. Cela inclurait la cession des informations génétiques de ses 15 millions de clients. D’après les conditions d’utilisation de leurs services, rien ne l’empêche.
Ces données représentent l’un des plus grands ensembles d’ADN de personnes au monde, et bien entendu cela soulève des préoccupations importantes quant à la sécurité et à l’utilisation des données médicales sensibles (voir également notre article sur la perception des consommateurs en fonction du type de données). Contrairement aux dossiers médicaux traditionnels, ces informations génétiques ne sont pas protégées par la loi américaine dite HIPAA, et un changement de propriétaire pourrait modifier les engagements de l’entreprise en matière de confidentialité. De plus, il est explicitement mentionné que 23andMe se réserve le droit de mettre à jour sa politique de confidentialité à tout moment. Les risques pour les utilisateurs sont donc renforcés, même si tout changement devrait logiquement conduire la société à demander le consentement de ses clients. Mais sur 100 personnes qui reçoivent un email les informant d’un changement dans les conditions de service, combien vont vraiment faire quelque chose ?
Les tests ADN : un marché de $2,5 milliards d’ici 2028
En 2022, le marché des tests génétiques destinés aux consommateurs était estimé à 1,1 milliard de dollars, et devrait atteindre 2,5 milliards d’ici 2028. Ces tests sont très faciles à réaliser et vous permettent de comprendre vos origines ethniques. Il s’agit donc de tests « récréatifs » qui n’en requièrent pas moins que vous fassiez parvenir un peu de votre patrimoine génétique à des fins d’analyse.
La société 23andMe était un des leaders du secteur avec 12 millions de tests réalisés. Les prix de ce type de tests sont devenus très abordables et il vous en coûtera à peine plus de 100€ et un peu de votre salive pour avoir accès à un profil génétique complet.
Comment expliquer le succès des tests ADN ?
Le succès de ces analyses peut être tout autant attribué à l’accessibilité tarifaire qu’à une bonne dose de marketing. Il est en effet remarquable d’analyser à quel point le discours marketing des sociétés qui commercialisent ce type de kit a été basé sur la « gamification ».
Pour s’en convaincre, il suffit de consulter le design des sites web de ces sociétés et les fonctionnalités qui sont proposées sur leurs applications mobiles. Analysons ensemble le cas de 23andMe (voir les captures d’écran ci-dessous) :
- Accès aux résultats via une application mobile
- Couleurs acidulées
- Fonctionnalités amusantes
Tout est fait pour brouiller les codes et s’éloigner de l’univers austère de la médecine. La gamification est utilisée par exemple pour permettre à deux clients de comparer leurs patrimoines génétiques sur leur app (écran le plus à gauche ci-dessous)
Captures d’écran du site 23andMe. L’application mobile dans laquelle consulter ses résultats propose des fonctionnalités « gamifiées ».
Quelles implications pour la confidentialité des données ?
Le cas de 23andMe soulève bien entendu un grand nombre de questions. Vu d’Europe, où la réglementation entourant les données est particulièrement stricte, ces interrogations sont encore plus nombreuses.
Rappelons tout d’abord que 23andMe a été condamné à $30m d’amende pour sa protection insuffisante des données clients. Ensuite, comme je l’écrivais en préambule, les conditions générales de vente sont assez larges et donnent beaucoup de latitude à l’entreprise :
- Elle peut changer les conditions du contrat à tout moment
- Elle peut transférer la propriété des données à une tierce partie en cas de revente
Bien entendu, les conditions précisent aussi que les clients peuvent clôturer leur compte et effacer leurs données. Mais honnêtement, connaissez-vous beaucoup de consommateurs qui exercent leurs droits ? Le laxisme des consommateurs est le terreau sur lequel poussent les mauvaises pratiques en matière de protection des données confidentielles.
Le laxisme des consommateurs est le terreau sur lequel poussent les mauvaises pratiques en matière de protection des données confidentielles.
Il y a donc fort à parier que ces données se retrouvent dans la nature, qui plus est dans un pays où les règles de protection sont très minces (sauf en Californie où une loi entoure strictement les données génétiques). Or, les données ADN, en plus de révéler nos origines ethniques, peuvent également nous renseigner sur une prédisposition naturelle à une maladie. Et quand on parle de maladie, on parle de risques. Donc ces données seraient du pain béni pour les assureurs. Heureusement un texte de loi les empêche de s’en servir aux États-Unis. Et en Europe, le droit à l’oubli par rapport aux assurances commence à être bien établi. En France, la loi de Février 2022 dit « Loi Lemoine » a ramené à 5 ans le droit à l’oubli pour les personnes qui ont eu un cancer ou une hépatite C. Le secteur de assurances est donc assez corseté.
Mais ces données pourraient être récupérées par d’autres acteurs, dans des secteurs encore non régulés, qui auraient le champ libre pour les croiser et expérimenter en dehors de tout cadre légal. Je pense en premier lieu aux firmes pharmaceutiques pour qui ces profils génomiques permettraient d’accéder à une étude de marché géante. Ces 15 millions de profils permettraient sans doute de créer des segments de populations en fonction des problèmes de santé potentiels et, qui sait, de les cibler avec des actions marketing distinctes.
Les possibilités sont immenses, les répercussions dépassent les États-Unis, et j’espère bien que tout ceci ne se produira pas.
Publié dans Data et IT.