27 États poursuivent 23andMe pour bloquer la vente de données génétiques après la violation de 2023

27 États poursuivent 23andMe pour bloquer la vente de données génétiques après la violation de 2023

Vingt-sept États et le District de Columbia ont intenté un procès contre 23andMe pour empêcher l'entreprise de tests ADN en faillite de vendre les données génétiques de ses clients. Le procès, déposé devant le tribunal des faillites, porte sur une violation survenue en 2023 qui a exposé des informations de santé sensibles appartenant à près de 7 millions de personnes, et affirme que 23andMe a induit les consommateurs en erreur sur la gravité de cet incident. L'enjeu concerne les données génétiques d'environ 15 millions de clients qui n'ont jamais consenti à ce que leurs informations biologiques les plus intimes soient vendues au plus offrant.

Cette affaire n'est pas seulement une histoire de négligence d'entreprise. Elle soulève une question plus difficile et plus inconfortable pour les consommateurs soucieux de leur vie privée : que se passe-t-il lorsque le risque pour la vie privée n'est pas un mot de passe, une adresse IP ou un courriel, mais votre véritable ADN ?

Ce que le procès allègue réellement

La coalition des procureurs généraux plaide sur deux fronts principaux. Premièrement, que 23andMe n'a pas protégé adéquatement les données des utilisateurs avant et pendant la violation de 2023, laissant des millions de clients exposés à des préjudices qu'ils ne pouvaient pas anticiper. Deuxièmement, que l'entreprise a minimisé l'ampleur de l'incident, induisant en erreur les clients qui auraient autrement pu prendre des mesures pour se protéger ou demander la suppression de leurs données.

Maintenant que 23andMe a déposé le bilan, on craint que les données génétiques collectées sur la base d'un ensemble de promesses soient transférées à un nouveau propriétaire appliquant des politiques totalement différentes. Les clients qui avaient initialement consenti à partager leur ADN pour des recherches généalogiques ou des informations sur la santé pourraient voir ces données absorbées par un tiers inconnu, sans obligation de respecter les conditions d'utilisation initiales.

Plusieurs États ont déjà des lois traitant spécifiquement de ce scénario. La Floride, par exemple, interdit la vente de données génétiques sans le consentement exprès du client, sous peine de sanctions pénales et d'amendes. Mais tous les États ne disposent pas de telles protections, ce qui explique précisément pourquoi un procès coordonné entre plusieurs États est devenu nécessaire.

Pourquoi vos outils de protection de la vie privée ne peuvent pas protéger les données génétiques

C'est la partie de l'histoire que la plupart des couvertures médiatiques sur la vie privée numérique oublient. Les VPN, les messageries chiffrées, les navigateurs privés et les outils similaires sont efficaces pour protéger une catégorie de données : les informations que vous transmettez ou générez numériquement. Ils peuvent protéger votre adresse IP, votre historique de navigation et vos communications contre les interceptions.

Mais ils ne peuvent rien faire pour les données que vous avez déjà volontairement remises sous forme physique. Lorsque vous envoyez un échantillon de salive à une entreprise de tests ADN, aucune protection de la vie privée au niveau du réseau ne s'applique. Les données sont collectées, traitées et stockées sur les serveurs de l'entreprise. À partir de là, votre vie privée dépend entièrement des pratiques de sécurité de l'entreprise, de ses obligations contractuelles et des protections juridiques disponibles dans votre juridiction.

Cette distinction est importante car elle modifie la nature du risque. Pour la plupart des menaces numériques à la vie privée, les utilisateurs conservent un pouvoir d'action. Vous pouvez cesser d'utiliser un service, effacer vos données ou opter pour une alternative plus respectueuse de la vie privée. Avec les données génétiques, l'information est immuable. Votre ADN ne peut pas être modifié, réinitialisé ou révoqué. Une fois qu'il est compromis ou vendu, l'exposition est permanente.

Ce que cela signifie pour vous

Si vous êtes un client de 23andMe, ce procès signifie qu'il y a actuellement une action en justice pour empêcher la vente de vos données sans votre consentement. Cependant, les procédures judiciaires prennent du temps et les résultats ne sont jamais garantis devant le tribunal des faillites, où les intérêts des créanciers sont souvent en concurrence directe avec la protection des consommateurs.

Il existe des mesures concrètes à prendre dès maintenant. Premièrement, vérifiez si vous avez déjà soumis une demande de suppression de données à 23andMe. L'entreprise a historiquement proposé cette option, et bien que la procédure de faillite complique les choses, soumettre une demande formelle de suppression crée une trace documentée de votre intention. Deuxièmement, examinez tous les accords de consentement que vous avez signés lors de la création de votre compte, car ces documents peuvent décrire vos droits en cas de transfert d'entreprise.

Au-delà de 23andMe en particulier, cette affaire est une occasion utile de réfléchir plus largement à la vie privée génétique. Tout service qui collecte des données biométriques ou biologiques, que ce soit à des fins de santé, de remise en forme, de généalogie ou de recherche, détient des informations qui échappent aux outils de protection de la vie privée conventionnels. Le cadre juridique protégeant ces données varie considérablement d'un État à l'autre et peine encore à rattraper la technologie.

Pour ceux qui s'intéressent à l'évolution de la législation plus large sur la vie privée aux États-Unis, le projet de loi Lofgren-Tillis offre une fenêtre utile sur la façon dont les législateurs envisagent les droits relatifs aux données numériques et les limites des protections existantes.

Le contexte plus large du risque lié aux courtiers en données

La situation de 23andMe nous rappelle également le fonctionnement des écosystèmes de courtiers en données. Même des données collectées à des fins bénignes peuvent se retrouver entre les mains d'acteurs dont les intentions et les pratiques sont totalement inconnues du consommateur d'origine. Les ventes liées à une faillite sont une voie possible. Les acquisitions d'entreprises, les accords de licence de données et les violations de sécurité en sont d'autres.

Les données génétiques font partie des catégories d'informations personnelles les plus sensibles qui existent. Elles peuvent révéler des prédispositions à des maladies, des relations familiales et le patrimoine ethnique. Entre de mauvaises mains, elles pourraient être utilisées par des assureurs, des employeurs ou les forces de l'ordre d'une manière que les consommateurs n'avaient jamais anticipée ni acceptée.

Le procès multi-États contre 23andMe est un moment important pour les droits en matière de vie privée génétique aux États-Unis. Qu'il réussisse ou non à bloquer la vente, il a déjà démontré que les procureurs généraux des États sont prêts à se coordonner énergiquement sur les questions de données des consommateurs, et que les données génétiques sont de plus en plus considérées comme une catégorie méritant une protection juridique renforcée.

Si vous avez des données génétiques stockées auprès d'une entreprise de tests, il est temps de passer en revue les paramètres de votre compte, de comprendre vos droits en matière de suppression et de bien réfléchir avant de soumettre des données biologiques à un service à l'avenir. Aucun VPN ne peut protéger votre ADN, mais des décisions éclairées avant de partager vos données sont l'outil de protection de la vie privée le plus puissant qui soit.