23andMe : quand une faillite met vos données ADN en jeu

Par

·

Personne tenant un échantillon dans un tube au laboratoire

GAFAM & données de santé · Génétique

Cracher dans un tube, l’envoyer par la poste, recevoir ses origines et quelques prédispositions : les tests ADN grand public ont séduit des millions de personnes. Mais la chute de 23andMe — pionnière du secteur — rappelle une évidence trop souvent oubliée : un mot de passe se change, pas un génome.

En brefEn octobre 2023, 23andMe a révélé une fuite touchant environ 7 millions de comptes (dont 6,4 millions aux États-Unis), via une attaque par « credential stuffing » (des mots de passe réutilisés). En mars 2025, l’entreprise s’est placée en faillite (Chapter 11) ; ses actifs — dont une immense base de données génétiques — ont été rachetés (environ 305 M$) par une organisation à but non lucratif dirigée par son ex-PDG. Le vrai enjeu n’est pas seulement la fuite : c’est le devenir de données irremplaçables quand une société de santé change de mains ou disparaît.
~7 M
comptes touchés par la fuite (2023)
2025
faillite et revente des actifs
Irréversible
un génome ne se « réinitialise » pas

Ce qui s’est passé

La fuite de 2023 n’a pas résulté d’un piratage des serveurs mais du credential stuffing : des pirates ont réutilisé des identifiants volés ailleurs pour entrer dans des comptes dont les propriétaires avaient recyclé leur mot de passe. Via la fonction de mise en relation avec des « parents génétiques », l’accès à un compte exposait aussi des informations sur d’autres utilisateurs : noms, année de naissance, ascendance, marqueurs génétiques. Puis, en 2025, l’entreprise — en difficulté financière — s’est placée sous la protection de la loi sur les faillites, ouvrant la voie à une revente de ses données.

Pourquoi la donnée génétique est à part

Une donnée génétique n’est pas une donnée comme une autre. Elle est définitive (on ne change pas d’ADN), partagée (elle renseigne aussi sur vos proches, y compris ceux qui n’ont jamais fait de test) et ultrasensible (prédispositions à des maladies, filiations, origines). En cas de fuite ou de revente, il n’existe aucun « mot de passe à changer ». C’est pourquoi la question du modèle économique de ces sociétés — dont la valeur repose largement sur ces bases — mérite d’être posée avant de confier son échantillon.

Test ADN grand public : ce qu’il faut peser — Le Pouls Numérique
Dimension Attrait Risque
Résultats Origines, quelques prédispositions Interprétation limitée, anxiété possible
Données Stockées, exploitables pour la recherche Fuite, revente en cas de faillite
Portée Individuelle Concerne aussi vos proches
Réversibilité Nulle : le génome est définitif

Que faire de ses données ?

Si vous avez utilisé un tel service, quelques réflexes : activer une authentification forte et un mot de passe unique, vérifier les options de partage (recherche, tiers), et surtout utiliser le droit de supprimer son compte et de demander la destruction de l’échantillon. En Europe, le RGPD offre des garanties plus solides sur les données de santé qu’ailleurs, mais la prudence reste de mise : la meilleure donnée protégée est celle qu’on n’a pas disséminée.

La leçon

La saga 23andMe n’est pas seulement l’histoire d’une entreprise en difficulté : c’est un cas d’école sur la fragilité des données de santé confiées à des acteurs privés. Une innovation séduisante (comprendre ses origines, sa biologie) peut se retourner si l’on néglige la question : qui détiendra ces données dans dix ans, et sous quelles règles ? Pour un patrimoine aussi intime que l’ADN, cette question devrait précéder le premier crachat dans le tube.

Questions fréquentes

Mon ADN a-t-il été « piraté » ?

La fuite de 2023 a exposé des informations de profil et d’ascendance via des comptes compromis par mots de passe réutilisés. Si vous êtes concerné, changez vos identifiants et vérifiez vos options de partage.

Puis-je faire supprimer mes données ?

Oui : vous pouvez en principe supprimer votre compte et demander la destruction de l’échantillon. En Europe, le RGPD renforce ces droits.

Un test ADN grand public a-t-il une valeur médicale ?

Il donne des indications limitées, pas un diagnostic. Toute information de santé sérieuse doit être confirmée par un professionnel, via des examens validés.

Sources & pour aller plus loin
• CNIL : cnil.fr — tests génétiques et protection des données.
• À lire aussi : notre décryptage du Health Data Hub et de Neuralink, dans la rubrique GAFAM & données de santé.
LR
La Rédaction du Pouls Numérique
Observatoire indépendant de l’e-santé. Article relu pour exactitude factuelle. Édité par KEVALEX Group.

Information générale sur la santé numérique et les données personnelles, à but éducatif. Ne constitue pas un avis médical ni un conseil juridique.