Faillite de 23andMe: vos données génétiques sont-elles en danger?

Pour bien des utilisateurs, 23andMe permettait d’en connaître davantage sur leurs origines, de retrouver d’autres usagers apparentés grâce à un lien de filiation et d’apprendre s’ils étaient à risque de développer certaines maladies génétiques, le tout après avoir envoyé un échantillon de salive pour faire séquencer leur ADN.

Tous ces renseignements sont maintenant à vendre dans le cadre du processus de faillite. « Si vous faites partie des millions de personnes ayant eu recours aux services de 23andMe, vous devriez vous tenir au courant de la suite des choses, mais également éviter de paniquer, suggère Charles Dupras, professeur adjoint et responsable des programmes de bioéthique à l’École de santé publique de l’Université de Montréal.

« L’ADN est le symbole de ce qui est très personnel et unique à soi-même, dit-il. Oui, c’est très sensible, intime, mais d’autres informations le sont aussi. Pensez à votre téléphone cellulaire. On peut y trouver des données beaucoup plus sensibles sur vos intérêts, vos recherches, vos relations personnelles, ainsi que vos données GPS et les transactions que vous avez effectuées. »

Sur son site Internet, 23andMe assure à sa clientèle que les renseignements ne seront pas partagés à des tiers sans consentement et que toutes les informations sensibles sont cryptées pour les protéger de cyberattaques.

Sur la déclaration de confidentialité de l’entreprise mise à jour le 14 mars 2025, on peut aussi lire que certains renseignements sont anonymisés et utilisés à des fins de recherche par 23andMe, et que chaque utilisateur peut décider des informations pouvant être partagées.

Comme il s’agit d’une entreprise privée, il est difficile de savoir si les mesures déployées par 23andMe pour protéger les données sensibles sont suffisantes. « Il faut savoir que 23andMe s’est fait pirater il y a quelques années, et les données de sept millions de clients avaient été compromises », rappelle M. Dupras.

« Après, ça demeure une question de confiance, ajoute le spécialiste. Une fois que l’ADN a été séquencé, l’information peut être transférée et transmise. Ce qui va se produire à court terme sera important, non seulement pour la confiance du public envers la science, mais aussi pour la confiance du public envers la relation qu’entretient le secteur privé avec la science. »

Avenir incertain pour 23andMe et pour vos données

Pour l’instant, on ignore quel potentiel les données ADN représentent pour des organisations criminelles ou malveillantes. Les autres renseignements contenus dans le dossier des clients, par ailleurs, pourraient être alléchants. « Il suffit d’imaginer qu’une organisation mettant la main sur les courriels des anciens clients de 23andMe pourrait y envoyer du spam », illustre David Décary-Hétu, professeur agrégé à l’École de criminologie de l’Université de Montréal.

Comme la biométrie est de plus en plus utilisée pour s’identifier en ligne — pensez aux capteurs d’empreintes digitales, par exemple —, les éléments génétiques consignés par les entreprises telles que 23andMe pourraient devenir la norme dans quelques années. « Ce ne sont pas les données les plus sensibles à l’heure actuelle, mais on ne sait pas comment les choses vont aller demain », ajoute le spécialiste.

Qui pourrait acheter ces données ?

Dans sa déclaration de confidentialité, 23andMe indique qu’en cas de faillite ou d’acquisition, « vos informations personnelles peuvent être consultées, vendues ou transférées dans le cadre de cette transaction, et la présente déclaration de confidentialité s’appliquera à vos informations personnelles telles qu’elles seront transférées à la nouvelle entité. Nous pouvons également divulguer des informations personnelles vous concernant à nos sociétés affiliées afin de les aider à exploiter nos services et ceux de nos sociétés affiliées. »

Aucun repreneur ne s’est manifesté pour le moment, mais la suite des choses pourrait s’avérer intéressante, selon le professeur Dupras. « Je suis persuadé que de grandes compagnies multinationales privées qui gèrent, elles aussi, des données, peut-être autres que génétiques, pourraient montrer un intérêt, estime-t-il. Il serait également possible qu’une institution ou un établissement d’enseignement hérite de ces données à des fins de recherche, une recherche qui serait favorable au bien commun dans un esprit de partage et de science ouverte. »

« Je serais réellement surpris que personne ne mette la main là-dessus », avance aussi M. Décary-Hétu, posant l’hypothèse que des entreprises pharmaceutiques pourraient être intéressées.

Mieux vaut effacer vos données par précaution

Dans tous les cas, MM. Décary-Hétu et Dupras recommandent d’effectuer une demande de retrait des données. Plusieurs sites ont d’ailleurs publié la procédure pour vous aider à réaliser cette étape. Voici ici les informations pour retirer celles que vous avez déposées chez 23andMe.

M. Décary-Hétu estime que cette faillite peut aussi donner un avertissement à quiconque utilise des services en ligne. « C’est l’occasion de se demander si on partage trop de renseignements », soulève le spécialiste.

« C’est toujours important, quand on crée de nouveaux comptes, de partager le moins d’informations possible, d’avoir un mot de passe par site, poursuit-il, même si cela représente plus de gestion. Il faut parfois accepter de sacrifier un peu de convivialité sur un site en échange de quelques mesures de sécurité. »

« C’est à nous de suivre collectivement ce dossier-là et de voir qui deviendra propriétaire des données et comment le transfert s’effectuera », conclut le professeur Dupras.