GAFAM & données de santé · Génétique
Cracher dans un tube, l’envoyer par la poste, recevoir ses origines et quelques prédispositions : les tests ADN grand public ont séduit des millions de personnes. Mais la chute de 23andMe — pionnière du secteur — rappelle une évidence trop souvent oubliée : un mot de passe se change, pas un génome.
Ce qui s’est passé
La fuite de 2023 n’a pas résulté d’un piratage des serveurs mais du credential stuffing : des pirates ont réutilisé des identifiants volés ailleurs pour entrer dans des comptes dont les propriétaires avaient recyclé leur mot de passe. Via la fonction de mise en relation avec des « parents génétiques », l’accès à un compte exposait aussi des informations sur d’autres utilisateurs : noms, année de naissance, ascendance, marqueurs génétiques. Puis, en 2025, l’entreprise — en difficulté financière — s’est placée sous la protection de la loi sur les faillites, ouvrant la voie à une revente de ses données.
Pourquoi la donnée génétique est à part
Une donnée génétique n’est pas une donnée comme une autre. Elle est définitive (on ne change pas d’ADN), partagée (elle renseigne aussi sur vos proches, y compris ceux qui n’ont jamais fait de test) et ultrasensible (prédispositions à des maladies, filiations, origines). En cas de fuite ou de revente, il n’existe aucun « mot de passe à changer ». C’est pourquoi la question du modèle économique de ces sociétés — dont la valeur repose largement sur ces bases — mérite d’être posée avant de confier son échantillon.
| Dimension | Attrait | Risque |
|---|---|---|
| Résultats | Origines, quelques prédispositions | Interprétation limitée, anxiété possible |
| Données | Stockées, exploitables pour la recherche | Fuite, revente en cas de faillite |
| Portée | Individuelle | Concerne aussi vos proches |
| Réversibilité | — | Nulle : le génome est définitif |
Que faire de ses données ?
Si vous avez utilisé un tel service, quelques réflexes : activer une authentification forte et un mot de passe unique, vérifier les options de partage (recherche, tiers), et surtout utiliser le droit de supprimer son compte et de demander la destruction de l’échantillon. En Europe, le RGPD offre des garanties plus solides sur les données de santé qu’ailleurs, mais la prudence reste de mise : la meilleure donnée protégée est celle qu’on n’a pas disséminée.
La leçon
La saga 23andMe n’est pas seulement l’histoire d’une entreprise en difficulté : c’est un cas d’école sur la fragilité des données de santé confiées à des acteurs privés. Une innovation séduisante (comprendre ses origines, sa biologie) peut se retourner si l’on néglige la question : qui détiendra ces données dans dix ans, et sous quelles règles ? Pour un patrimoine aussi intime que l’ADN, cette question devrait précéder le premier crachat dans le tube.
Questions fréquentes
Mon ADN a-t-il été « piraté » ?
La fuite de 2023 a exposé des informations de profil et d’ascendance via des comptes compromis par mots de passe réutilisés. Si vous êtes concerné, changez vos identifiants et vérifiez vos options de partage.
Puis-je faire supprimer mes données ?
Oui : vous pouvez en principe supprimer votre compte et demander la destruction de l’échantillon. En Europe, le RGPD renforce ces droits.
Un test ADN grand public a-t-il une valeur médicale ?
Il donne des indications limitées, pas un diagnostic. Toute information de santé sérieuse doit être confirmée par un professionnel, via des examens validés.
• CNIL : cnil.fr — tests génétiques et protection des données.
• À lire aussi : notre décryptage du Health Data Hub et de Neuralink, dans la rubrique GAFAM & données de santé.
Information générale sur la santé numérique et les données personnelles, à but éducatif. Ne constitue pas un avis médical ni un conseil juridique.
