L’entreprise californienne 23andMe a annoncé dimanche qu’elle faisait faillite et cherchait à être rachetée. Spécialisée dans les tests génétiques réalisés sur des échantillons de salive, 23andMe détient les données personnelles de ses 15 millions de clients. Qu’est-ce que la faillite laisse présager pour la gestion de ces données ? Nous en avons parlé avec Yann Joly, directeur du Centre de génomique et de politiques et professeur agrégé au département de génétique humaine de l’Université McGill.

Qu’est-ce que 23andMe ?

Lancée à San Francisco en 2006, 23andMe propose un test salivaire à renvoyer par courrier permettant de déterminer ses origines ancestrales ainsi que certains traits génétiques liés à la santé. 23andMe a vu ses ventes reculer ces derniers mois, et doit aussi payer la somme de 30 millions de dollars en lien avec le règlement d’une action collective après une fuite de données survenue en 2023. L’entreprise, qui n’a jamais été profitable, a fait son entrée en Bourse en 2021. Elle a été valorisée à 6 milliards par le marché, avant de voir sa valeur s’effondrer de 98 % depuis. L’entreprise a dit qu’elle continuerait ses opérations durant le processus de faillite entrepris dimanche.

Êtes-vous surpris par la faillite de 23andMe ?

Pas vraiment. On voyait ça venir. C’est une entreprise qui se cherchait un peu. On ne sait pas s’ils voulaient faire de l’argent avec leurs clients, ou plutôt tenter de monétiser les informations qui se trouvent dans leur immense banque de données.

C’est l’une des entreprises les plus sérieuses dans un domaine où la concurrence est vive. Elle devait concurrencer des entreprises qui ne valent pas grand-chose, et qui offraient des services semblables à bas prix.

Aussi, ils ont été victimes d’une cyberattaque en 2023, et certains ont dit que les données des clients avaient pu se retrouver sur le dark web. Donc ce n’est pas une belle image.

Que devraient faire les clients de 23andMe aujourd’hui ? Devraient-ils effacer leurs données ?

Oui. Il n’y a pas de raison de laisser ses données là. Si les gens ont utilisé le service, ils y ont laissé des informations assez riches. Ce sont des informations qui sont aux États-Unis, et qui seront vendues fort probablement, et on ne sait pas à qui. Le bon côté, c’est que 23andMe a une bonne politique de protection des données. C’est une politique qui serait transférée même si l’entreprise était vendue. Mais bon, je ne vois pas d’avantages à laisser ses données là.

Les gens peuvent se connecter au site, dire qu’ils ne veulent plus participer à la recherche et demander que l’échantillon qu’ils ont fourni soit détruit. Cela dit, toutes les données ne seront pas détruites, mais l’entreprise est censée les garder uniquement pour répondre aux exigences réglementaires du gouvernement. Elle ne doit pas s’en servir.

Que penser des entreprises comme 23andMe ? Les informations qu’elles transmettent à leurs clients sur leurs origines ancestrales et certains traits génétiques sont-elles révélatrices ?

Il y a un peu de poudre magique là-dedans… Les tests sur l’information génétique, ce sont souvent des questions de probabilité. On ne peut pas vous dire des choses comme : « Vous êtes assuré de développer l’alzheimer à partir de tel âge. » Souvent, on ne peut pas interpréter ça de façon médicale pour prodiguer des conseils aux gens. Par exemple, le système ne dira pas directement à une personne qu’elle a le gène BRCA, qui augmente les risques de cancer du sein.

Donc beaucoup d’information qu’ils vont vous communiquer n’a pas de valeur clinique. Même chose avec l’endroit d’où vos ancêtres provenaient. L’information génétique peut donner des indications, mais c’est ultimement limité. Au bout du compte, tout passe par une base de données : plus elle est importante, plus le calcul est précis.