Tests génétiques sur Internet : la CNIL appelle à la vigilance

Des données collectées particulièrement sensibles

Les sites web de vente à distance de tests génétiques proposent, en général, des offres relatives à la filiation ou à la généalogie des personnes. Les clients reçoivent un kit et renvoient les échantillons (salive) nécessaires collectés.

À cette occasion, les entreprises récupèrent de nombreuses informations contenues dans le génome des personnes telles que les données relatives à l’origine ethnique, les données phénotypiques (couleur des yeux, peau, morphologie, etc.), ou encore les données relatives à l’état de santé ou à des caractéristiques de l’organisme (prédispositions à certaines maladies, etc.).

Par ailleurs, ces entreprises collectent des données d’identité et des coordonnées afin d’adresser les résultats du test (au moins les noms, prénoms, adresses postales ou électroniques).

De nombreuses données supplémentaires sont parfois également collectées par voie de questionnaire : les relations (maritales ou familiales), des dates sur des évènements de vie (mariages, décès), les goûts alimentaires, la capacité à effectuer certains gestes (bouger les oreilles, les sourcils), des photographies et d’autres données telles que les données de santé.

Toutes ces données, prises individuellement et combinées, révèlent de très nombreuses informations sur les personnes et ont beaucoup de valeur.

Enfin, les données génétiques présentent la particularité de concerner des personnes tierces car les gènes sont partagés entre ascendants, descendants et famille proche. Dès lors, les données recueillies à l’occasion des tests révèlent des informations sur l’ensemble des membres de la famille proche de la personne à l’origine de la demande, alors que ces derniers n’y ont pas consenti et n’ont souvent pas même été informés.

Les informations de ces tests peuvent aussi être lourdes de conséquence et révéler des secrets (par ex. : adoption, naissance par don de gamètes, filiation, etc.) ou parfois annoncer l’arrivée d’une maladie (prédispositions génétiques).

Une pratique très encadrée par la loi

Aujourd’hui, en France, les tests génétiques ne peuvent être réalisés que dans le cadre d’une enquête judiciaire, pour la prise en charge médicale ou à des fins de recherche. Sauf dans ces cas très particuliers, le consentement de la personne doit être recueilli.

En effet, la sensibilité particulière des données de santé et des données génétiques a conduit le législateur européen à interdire le traitement par principe de ces données sauf dans les cas précités.

D’autres dispositions s’appliquent également en droit français : code civil, code de la santé publique, code pénal, etc.

Tous ces textes encadrent très strictement la réalisation des analyses génétiques et interdisent en France la réalisation de tests génétiques « récréatifs », même avec le consentement de la personne concernée.

L’achat d’un test génétique sur Internet par des personnes résidant en France est ainsi passible de 3 750 € d’amende. De même, la réalisation d’un test génétique en dehors des domaines médical et scientifique est interdite et passible de 15 000 € d’amende et d’un an de prison pour les personnes ou entreprises proposant ces tests.

Des risques de divulgation et de réutilisation des données

Les sociétés commercialisant ces tests apportent peu de garanties sur leur qualité et la sécurité des échantillons et des données (techniques d’analyse, modalités de stockage, etc.). Les conditions générales de ventes et autres documents contractuels sont souvent assez vagues sur les transmissions des données à des tiers et sur les finalités de ces transmissions. Il a déjà été observé que les sociétés en question nouent des partenariats avec d’autres organismes qui réutilisent les échantillons, notamment à des fins de recherche.

Cela pose également un risque réel de compromission des données, comme l’a montré la fuite de données massive intervenue en décembre chez une des principales entreprises proposant des tests génétiques. Qu’il s’agisse d’accident ou d’acte malveillant, des données hautement sensibles risquent donc de devenir accessibles à des tiers.

Mais contrairement à un mot de passe, il n’est pas possible de changer son ADN.

En plus des risques déjà mentionnés, la divulgation de ces données peut entraîner des discriminations (sur la base de l’origine ethnique, de la santé etc.).

Les leviers de la CNIL vis-à-vis des pratiques de tests génétiques vendus sur Internet

Les facilités croissantes à interpréter les données génétiques, le fait qu’elles soient dépendantes de l’informatique pour leur exploitation et interprétation, leur caractère potentiellement discriminant et les risques posés par une interprétation fausse et hors contexte médical expliquent la vigilance portée à leur traitement.

La CNIL effectue régulièrement des contrôles de traitements de données sur la base de plaintes reçues et de l’actualité, mais également de thématiques prioritaires annuelles.

Lorsqu’à la suite d’un contrôle ou de plaintes des manquements au RGPD ou à la loi Informatique et Libertés sont constatés, la CNIL peut adopter des mesures correctrices à l’encontre de l’organisme ciblé. Elle peut par exemple infliger une amende allant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial de l’entreprise.

Ces mesures correctrices pourraient être appliquées aux sociétés commercialisant les tests génétiques, bien qu’il ne s’agisse pas de sociétés françaises, dans la mesure où l’offre de services est liée à des personnes concernées qui se trouvent sur le territoire de l’Union européenne.