La faillite retentissante de 23andMe, pionnier des tests ADN grand public, pose une question explosive : que va devenir la gigantesque base de données génétiques constituée au fil des années grâce à des millions de kits vendus dans le monde ? Alors que l’entreprise cherche un repreneur, les profils ADN, informations de santé et données familiales de plus de 15 millions de clients se retrouvent au cœur d’un bras de fer entre impératifs économiques, exigences de confidentialité et risques de dérives commerciales ou sécuritaires. Cette situation illustre les failles d’un modèle économique fondé sur la valorisation de données biométriques parmi les plus sensibles qui soient.

Une base de données ADN au cœur d’une faillite

23andMe s’est imposée comme l’une des entreprises les plus connues dans le domaine des tests génétiques à domicile, proposant de retracer ses origines ou d’identifier des prédispositions à certaines maladies à partir d’un simple kit d’analyse de salive envoyé par la poste. Au fil des années, la société a constitué une base de données génétiques colossale, associant profils ADN, arbres généalogiques, informations de santé déclaratives et parfois photos et localisations des utilisateurs, faisant de cette base l’un de ses principaux actifs stratégiques et financiers.

Une faillite qui transforme les données en actif commercial

Lors de l’annonce de sa faillite, 23andMe a indiqué chercher un repreneur et a laissé entendre que sa base de données généalogiques et médicales ferait partie des actifs susceptibles d’être cédés. En pratique, cela signifie qu’un nouvel acteur - laboratoire pharmaceutique, groupe technologique, fonds d’investissement ou assureur - pourrait racheter ces données, ou une partie d’entre elles, pour les exploiter dans des projets de recherche, des services commerciaux ou des outils d’évaluation de risques. Cette perspective alarme de nombreux spécialistes, qui considèrent que la valeur de ces informations dépasse largement le cadre d’un simple actif de bilan.

Un historique déjà entaché par un piratage massif

La situation est d’autant plus préoccupante qu’en 2023, un piratage massif a déjà exposé des millions de comptes 23andMe. Environ 6,9 millions de profils auraient été affectés, avec des fuites de noms d’utilisateurs, de pourcentages d’ADN partagé, de données de localisation et parfois de photos, montrant à quel point une base de données génétiques peut devenir une cible de choix pour des pirates ou des acteurs malveillants. Cet incident a illustré la difficulté à sécuriser durablement des informations aussi sensibles, une fois collectées et centralisées.

Données génétiques : des risques uniques et irréversibles

Contrairement à un mot de passe ou à un numéro de carte bancaire, un profil ADN est par nature permanent : il ne peut ni être modifié ni remplacé. Une fois qu’un individu a confié son patrimoine génétique à un tiers, il devient difficile, voire impossible, d’en neutraliser totalement les effets en cas de fuite, de revente ou de réutilisation non prévue. Cette irréversibilité change l’équation du consentement initial, surtout lorsque les conditions d’utilisation évoluent ou que l’entreprise propriétaire change de mains.

Des usages médicaux, marketing et assurantiels potentiels

Les données génétiques récoltées par 23andMe ont déjà été utilisées dans des partenariats avec de grands laboratoires pharmaceutiques pour identifier de nouvelles cibles thérapeutiques, notamment en oncologie ou dans des maladies neurodégénératives. Sur le papier, ces collaborations peuvent déboucher sur des innovations médicales bénéfiques, mais elles posent aussi la question du partage de la valeur créée avec les donneurs de données. En parallèle, certains experts redoutent des usages marketing agressifs ou des modèles d’évaluation du risque pour les assurances, l’emploi ou le crédit, fondés sur des informations génétiques initialement fournies dans un but ludique ou de santé préventive.

Une menace pour les proches et la vie privée familiale

Les tests ADN ne concernent pas seulement la personne qui envoie son échantillon : son profil permet aussi d’inférer des informations sur ses parents, enfants et collatéraux, qui n’ont pas forcément consenti à cette collecte. Une fuite ou une revente des données 23andMe peut donc potentiellement révéler des liens de parenté, des origines ou des prédispositions familiales à des tiers, voire à des autorités publiques ou à des entreprises privées. Des cas passés d’utilisation de bases génétiques à des fins d’enquêtes policières ont déjà montré que ces données pouvaient servir à identifier des individus via leurs cousins ou parents éloignés.

Réactions des autorités et conseils aux utilisateurs

Face à l’incertitude entourant le devenir de la base de données de 23andMe, de nombreuses autorités de protection des données et associations spécialisées appellent les utilisateurs à reprendre la main sur leurs informations. Des régulateurs publient des guides détaillant la marche à suivre pour supprimer son compte, demander l’effacement des données personnelles et, lorsque c’est possible, obtenir la destruction physique de l’échantillon biologique encore conservé par l’entreprise. Ces démarches visent à limiter les risques en cas de cession ou de piratage ultérieur.

Limiter les dégâts : suppression, anonymisation et traçabilité

Les experts recommandent le plus souvent aux utilisateurs de demander la suppression complète de leur compte, le retrait des données identifiantes et l’arrêt de toute participation à des programmes de recherche optionnels. Toutefois, certains rappellent que des copies de données peuvent subsister, notamment lorsqu’elles ont déjà été agrégées et anonymisées pour des études scientifiques ou partagées avec des partenaires industriels. D’où l’importance de règles de traçabilité strictes et de politiques de conservation limitées dès la conception des services.

L’exemple d’autres bases génétiques prudentes

La faillite de 23andMe intervient alors que d’autres bases génétiques en ligne ont décidé de fermer volontairement ou de réduire leur activité pour protéger leurs utilisateurs, notamment face aux risques d’instrumentalisation par des gouvernements autoritaires ou dans un contexte d’augmentation des menaces cyber. Ces décisions illustrent un mouvement de fond : la prise de conscience que la génomique grand public ne peut plus s’appuyer sur des modèles économiques flous ou insuffisamment régulés.

Vers une nouvelle régulation des données biométriques

L’affaire 23andMe relance le débat sur la manière de réguler les données biométriques, et en particulier génétiques, à l’échelle internationale. Les textes européens comme le RGPD encadrent déjà strictement le traitement de ces informations, mais l’essor des tests en ligne, souvent réalisés par des entreprises situées hors de l’Union, montre les limites d’une approche purement nationale ou régionale. Sans harmonisation, les utilisateurs se retrouvent exposés à des régimes juridiques très variables et parfois permissifs.

Faillite d’une entreprise, responsabilité durable des données

Un des enseignements majeurs de ce dossier tient au décalage entre la durée de vie d’une entreprise et celle des données qu’elle collecte. Une société peut disparaître ou être rachetée en quelques années, alors que les informations génétiques resteront exploitables pendant des décennies. De plus en plus de juristes plaident donc pour que la question du devenir des bases de données soit encadrée dès la création des services, avec des clauses de destruction automatique ou de transfert vers des organismes de confiance en cas de faillite.

Conclusion : reprendre le contrôle sur son patrimoine génétique

La faillite de 23andMe agit comme un révélateur des fragilités d’un modèle qui a banalisé la vente de tests ADN à des millions de particuliers sans leur garantir un contrôle durable sur leurs données. Entre actifs convoités par les investisseurs, risques de piratage et incertitudes juridiques, la meilleure protection reste une information claire, des régulations plus strictes et des choix individuels prudents avant de partager son patrimoine génétique. L’épisode pourrait servir d’électrochoc pour repenser la gouvernance des données biométriques, en plaçant la protection de la vie privée au même niveau que l’innovation scientifique et économique.