23AndMe, l’une des principales compagnies à avoir popularisé les tests de dépistage génétique il y a une quinzaine d’années, s’est placée, le 23 mars, sous la protection de la loi sur les faillites aux États-Unis —et son avenir laisse incertain le sort des données personnelles de ses 15 millions d’utilisateurs.
«Effacez immédiatement vos données», recommande sèchement le journaliste spécialisé en cybersécurité du New York Times, dans la rubrique que ce journal consacre aux recommandations d’achats (ou non) de produits.
Historiquement, 23andMe et au moins deux autres firmes —qui, elles, n’avaient survécu que quelques années— étaient arrivées sur le marché au tournant des années 2010: à cette époque, le décodage de l’ADN devenait chaque année de plus en plus rapide et de moins en moins coûteux, ce qui faisait miroiter des espoirs de «médecine personnalisée» en fonction de notre génétique. La petite compagnie américaine promettait alors, à chacun de ses clients, une analyse de leur risque « génétique » de développer telle ou telle maladie.
Or, la fiabilité de ces «diagnostics» avait rapidement été mise en doute, puisque la génétique ne dit pas que tel gène cause telle maladie —elle parle plutôt de probabilités— et qu’en plus, beaucoup de ces maladies dépendent des mutations de plusieurs gènes, et non d’un seul. L’agence américaine en charge d’approuver les médicaments (la FDA) avait même dû publier un avertissement en 2013, enjoignant 23andMe de cesser de prétendre que l’efficacité de son kit de dépistage génétique personnalisé s’appuyait sur des statistiques fiables.
Les investisseurs derrière cette firme, puis d’autres comme Ancestry.com, s’étaient entretemps tournés vers un autre filon: en échange d’une goutte de votre salive et d’une centaine de dollars, on promettait de déterminer les pays d’origine de vos ancêtres. C’est ce qui avait donné lieu à une foule de «portraits» disant par exemple que «vous êtes à 60% Français et à 30% Italien». Un type de conclusion qui avait lui aussi été hautement contesté par les experts: il s’agit là encore de probabilités, ces tests ne remontent en arrière que de 500 ans, etc.
Mais ces deux tests —dépistage de maladies et recherche d’ancêtres— avaient en commun le même risque pour la vie privée : en envoyant à la compagnie sa goutte de salive, le client acceptait que les données sur son ADN soient ajoutées à une base de données qui, au fur et à mesure qu’elle grandirait, permettrait, selon les promesses, des tests de plus en plus fiables.
La compagnie était cotée à la bourse depuis 2021, mais sa valeur avait dégringolé en 2023, justement après un bris de sécurité : des pirates informatiques avaient eu accès aux données personnelles de 7 millions d’utilisateurs. Une enquête sur cette fuite est menée conjointement depuis juin 2024 par le Commissaire canadien à la protection de la vie privée et son homologue britannique.
En annonçant dimanche dernier qu’elle se mettait sous la protection de la loi sur les faillites, la compagnie précisait que, pendant la recherche d’un acheteur, elle poursuivrait ses opérations et qu’il n’y aurait «aucun changement dans la façon dont la compagnie entrepose, gère ou protège les données de ses clients». La présidente et fondatrice de 23andMe, Anne Wojcicki, a annoncé sa démission le même jour.
