23andMe, une faillite qui expose des millions de données personnelles

Contre une centaine d’euros, la promesse de découvrir ses origines ethniques ou de prétendues prédispositions à certaines maladies. Mais derrière la proposition alléchante de 23andMe, se cache une autre réalité, celle d’une base de données génétiques qui mémoriserait aujourd’hui 15 millions de dossiers de particuliers.

L’entreprise, en redressement judiciaire depuis mars 2025, a subi un piratage massif en 2023. Sept millions de données se sont retrouvées sur le dark web, ce qui a entraîné une perte de confiance et des poursuites.

La société cherche désormais à vendre ses actifs, y compris sa précieuse base de données génétiques dont la valeur serait aujourd’hui estimée à 50 millions de dollars. Cette vente suscite de vives inquiétudes quant à la protection des données personnelles des utilisateurs.?

Face à cette menace, la Cnil recommande aux utilisateurs de 23andMe de demander l’effacement de leurs données personnelles, au regard des « très nombreuses informations de valeur sur les personnes » détenues par l'entreprise.

Une multitude d’informations

Avec les tests génétiques, les entreprises récupèrent une multitude de données contenues dans le génome, sur l’origine ethnique, la santé, et des caractéristiques phénotypiques comme la couleur des yeux ou la morphologie.

En outre, de nombreuses données supplémentaires sont collectées lors de l’inscription : les relations (maritales ou familiales), dates sur des évènements de vie (mariages, décès), goûts alimentaires, etc.

La Cnil rappelle à cette occasion que les tests génétiques récréatifs sont interdits en France, sauf dans des cadres spécifiques. L'usage sans prescription est passible d'une amende pouvant aller jusqu’à 3 750 euros, mais cette mesure reste inefficace.

« Les sanctions sont peu appliquées car, matériellement, il est difficile d’identifier les contrevenants. Il s’agit d’un simple prélèvement salivaire envoyé vers une adresse à l’étranger, où ces tests sont légaux », explique Paul-Olivier Gibert, président de l’Association française des correspondants à la protection des données (AFCDP).

En outre, « le côté ludique prend souvent le pas sur le risque d’amende, car cela peut être très amusant pour des personnes de reconstituer un peu de leur histoire familiale », ajoute-t-il.

Vers une revente de la base de données ADN

La base de données génétiques de la société 23andMe pourrait donc changer de mains à la suite d’une liquidation judiciaire, avec notamment le risque d’une utilisation par l’industrie pharmaceutique.

« Pour un industriel pharmaceutique, cela permet de savoir si vous allez être susceptible de bénéficier d’un médicament ou comment vous allez métaboliser une molécule donnée », s’inquiète le docteur Pascal Pujol, généticien et président de la Société française de médecine prédictive et personnalisée (SFMPP).

Ainsi, pour un laboratoire, ce type d’information peut être un tremplin vers une médecine davantage ciblée.

« Je suis formellement contre la revente de ces informations à des laboratoires pharmaceutiques. Et, d’une manière générale, si l’on veut faire quelque chose avec ces données, il est obligatoire d’en informer préalablement la personne », poursuit le généticien. « Il est scandaleux que la donnée génétique soit potentiellement ‘marchandisée’, sans consentement éclairé. »

23andMe a d’ailleurs déjà vendu par le passé des données génétiques à des laboratoires pharmaceutiques, comme GSK en 2018. Cet accord, qui a pris fin en 2022, garantissait un accès exclusif à la vaste base de données ADN de 23andMe. Cette base devait aider GSK à développer des nouveaux traitements, d’après les déclarations officielles des entreprises.

« Avec la faillite de 23andMe, les données génétiques sont devenues des actifs comme les autres. Car, quand une société disparaît, ces actifs peuvent être revendus pour payer les créanciers », commente Paul-Olivier Gibert.

Une suppression des données impossible à vérifier

En France, des bases de données ont déjà été revendues par des liquidateurs judiciaires, mais jamais avec une telle sensibilité : « Pour l’instant, il ne s’agissait que d’adresses email ou d’historiques d’achat, mais pas de génétique », explique Paul-Olivier Gibert.

Mais qu’en est-il des droits des utilisateurs ? En Europe, le règlement général sur la protection des données (RGPD) garantit théoriquement le droit à l’oubli, mais encore faut-il pouvoir l’exercer.

« Il est possible de demander la suppression de ses données. Mais dans le cas de 23andMe, c’est-à-dire une société étrangère en liquidation, rien ne garantit que cette suppression soit effective », souligne Paul-Olivier Gibert. Pourquoi ? Car la base de données est hébergée aux États-Unis, à distance des régulations européennes. Et les futurs propriétaires - s’il y en a - restent inconnus.

Le risque d’un piratage pur et simple n’est pas non plus à exclure. « Des serveurs mal protégés, laissés à l’abandon par une entreprise en cours de liquidation, pourraient constituer une cible de choix pour des hackers », poursuit Paul-Olivier Gibert.

La portée des informations génétiques est à relativiser

D’après plusieurs experts, il faut néanmoins relativiser la portée des informations contenues dans la base de données de 23andMe.

« Il faut rassurer les Français. Les données collectées par l’entreprise sont issues de séquençages partiels, peu exploitables pour des usages médicaux précis et sensibles », explique le docteur Guillaume Vogt, généticien et chercheur à l’Inserm. Pas de quoi, selon lui, imaginer des dérives à grande échelle, comme des personnes ciblées d’après leur profil génétique pour des greffes d’organes ou une surveillance de masse. « Ce n’est pas Big Brother. 23andMe reste une société sérieuse, même si elle a commis de graves erreurs par le passé au niveau de la sécurité informatique. »

Sur le plan juridique, les zones d’ombre demeurent toutefois, confirme Guillaume Vogt. Les conditions générales de 23andMe, régies par le droit américain, stipulent que même en cas de fuite, les clients ne peuvent pas engager de recours. Ni eux, ni leurs descendants. « C’est une fin de non-recevoir pour le droit français ou la Cnil. Un contrat de droit américain se gère aux États-Unis. »

Sur ce point, la Cnil rapporte que la société américaine indique dans sa politique de confidentialité que des informations génétiques seront conservées malgré une demande de suppression, afin de répondre à des obligations légales.

Cependant, le généticien veut croire à un cadre éthique minimal : « Si vous demandez à 23andMe d’arrêter de faire de la recherche avec vos données, cela sera respecté par l’entreprise. Ne pas supprimer les données malgré les demandes serait très risqué pour eux. Un bad buzz ou un procès pourrait faire chuter la valeur actuelle de la base de données. »

Les proches n’ont pas donné leur consentement

Pascal Pujol partage cet avis sur la faible portée des données. « II faut raison garder. Il n’y a pas grand-chose à en tirer telles qu’elles sont collectées, car les entreprises comme 23andMe ne séquencent pas le génome en entier. » En revanche, bien utilisée et encadrée, recueillir des données génétiques (au sens large) pourrait avoir un réel intérêt pour la santé publique. « Cela peut permettre de détecter précocement des maladies graves, comme la mucoviscidose ou certains cancers héréditaires », poursuit-il.

Encore faut-il que cette utilisation se fasse dans des conditions de transparence et de sécurité. C’est là, peut-être, que réside la véritable urgence : construire un cadre juridique et technique robuste, avant que les données ne s’évaporent dans un marché gris où l’ADN deviendrait une monnaie comme une autre.

Malgré tout, les risques d'atteinte à la vie privée sont bien réels, notamment parce qu’ils ne se limitent pas à l’utilisateur du test lui-même. « Les données collectées par 23andMe concernent aussi, par ricochet, les proches », souligne Pascal Pujol.

« Quand on connaît l’ADN de quelqu’un, on connaît vraiment beaucoup de choses sur lui et sur ses proches qui pourtant n’ont pas donné leur consentement », complète Paul-Olivier Gibert. Il pointe un dilemme éthique majeur : « Dans quelle mesure est-il acceptable de collecter et traiter des données génétiques pour des finalités parfois futiles, comme de la génétique récréative ? »

Un constat partagé par la Cnil dans son avis de mars 2025. « Le risque [de diffusion de données confidentielles] est accru dans la mesure où les données génétiques peuvent concerner des personnes qui n’ont pas réalisé de test mais partagent les gènes de la personne qui en est à l’origine (ascendants, descendants, famille proche), et qui n’ont ni consenti ni même été informées de cette réalisation. »

Des résultats très peu fiables sur le plan médical

Sur le plan médical, la fiabilité de l’analyse génétique telle que proposée par 23andMe est fortement remise en question. Si les résultats concernant les origines ethniques sont jugés globalement fiables, il n’en va pas de même pour ceux liés aux prédispositions aux maladies génétiques.

« Les résultats de 23andMe sont très mauvais. Ils ne détectent pas la moitié des anomalies et inventent l’autre moitié », tranche Pascal Pujol.

L’explication tient à la méthode utilisée. Les tests de 23andMe reposent sur une technologie ancienne, qui séquence seulement 600 000 points d'ADN, soit une infime partie du génome.

« Cette approche partielle ne permet pas de détecter les anomalies rares, comme certaines impliquées dans les prédispositions génétiques au cancer du sein », complète Guillaume Vogt.

« Les tests ne sont donc pas exhaustifs et font une erreur sur mille. Or, à partir du moment où 15 millions de personnes ont été analysées, cela fait des centaines d’erreurs de diagnostic », ajoute le chercheur à l’Inserm.

Si les tests génétiques récréatifs peuvent sembler très séduisants, la faillite actuelle de 23andMe met en lumière la grande difficulté - voire l’impossibilité - à vérifier la suppression effective des données personnelles du client. Une question d’autant plus inquiétante que les proches qui n’ont pas donné leur consentement sont concernés.

Sylvain Labaune