Suppression des données de 23andMe : un expert de Harvard alerte sur les protections HIPAA dans un contexte de faillite d’une entreprise biotechnologique

23andMe dépose le bilan : un avenir difficile à venir

Le 23 mars 2024, 23andMe, pionnier des tests génétiques, a déposé une demande de protection contre les faillites, marquant un tournant majeur dans la trajectoire de l’entreprise. Parallèlement, il a été annoncé qu’Anne Wojcicki, fondatrice et PDG de l’entreprise, démissionnerait de son poste avec effet immédiat.

Cette restructuration fait suite à un avertissement inquiétant émis par le procureur général de Californie le 21 mars 2025, conseillant aux clients d’effacer leurs données personnelles de la plateforme 23andMe en raison de ses « difficultés financières ».Cet avertissement fait suite à une grave violation de données survenue en 2023, qui a compromis les données personnelles de près de sept millions de clients.

Dans un développement connexe, I. Glenn Cohen, expert juridique et directeur de la faculté de droit de Harvard, a souligné un problème critique concernant la protection des données des utilisateurs dans son article pour The Harvard Gazelle publié le 20 mars 2025. Il a souligné que les bases de données génétiques comme celles gérées par 23andMe ne bénéficient pas de la protection de la loi sur la portabilité et la responsabilité de l’assurance maladie (HIPAA).

La loi HIPAA a été promulguée en 1996 dans le but de protéger les informations médicales des patients contre toute divulgation non autorisée. Cohen a expliqué cette vulnérabilité en déclarant :

Le problème est que la définition des entités couvertes et des partenaires commerciaux par la loi HIPAA signifie que lorsque vous fournissez des informations, y compris vos données génétiques, non pas à un système hospitalier ni à un médecin, mais à une entreprise de vente directe aux consommateurs comme 23andMe, vous n’êtes pas couvert par la loi HIPAA. Vous êtes traité par la loi essentiellement comme un consommateur, et non comme un patient.

Étapes pour supprimer vos données de 23andMe

Suite à l’avertissement du procureur général, Rob Bonta a exhorté les utilisateurs de 23andMe à agir résolument en supprimant leurs données génétiques. Il a insisté sur la rigueur des lois californiennes en matière de confidentialité, qui permettent aux consommateurs de contrôler leurs informations génétiques :

La Californie dispose d’une législation rigoureuse en matière de protection de la vie privée qui permet aux consommateurs de prendre le contrôle et de demander à une entreprise de supprimer leurs données génétiques. Compte tenu des difficultés financières signalées par 23andMe, je rappelle aux Californiens d’envisager d’invoquer leurs droits et d’ordonner à 23andMe de supprimer leurs données et de détruire tout échantillon de matériel génétique détenu par l’entreprise.

Le ministère de la Justice de Californie fournit un guide clair aux utilisateurs souhaitant supprimer leurs données de la base de données 23andMe. Pour supprimer définitivement vos informations, suivez ces étapes :

Connectez-vous à votre compte 23andMe.
Accédez à « Paramètres ».
Cliquez sur « Afficher » dans la section « Données 23andMe ».
Sélectionnez « Télécharger » si vous souhaitez enregistrer une copie de vos données.
Choisissez « Supprimer définitivement les données » sous les options « Supprimer les données ».
Confirmez la suppression via le lien envoyé à votre email enregistré.

En plus de ce processus, les utilisateurs peuvent détruire leurs échantillons de salive et les données ADN associées en modifiant leurs préférences dans l’onglet « Paramètres ».Les personnes ayant précédemment accepté l’utilisation de leurs données génétiques à des fins de recherche peuvent également révoquer leur consentement via la section « Consentements relatifs à la recherche et aux produits ».

Réduction des effectifs et défis financiers

En novembre 2024, 23andMe a annoncé une réduction drastique de ses effectifs de près de 40 %, touchant environ 200 employés. Cette décision est intervenue peu après le règlement à l’amiable d’un procès lié à la violation de données de 2023. Autrefois acteur majeur du marché des tests ADN, l’entreprise avait connu une forte hausse de popularité en 2021, s’attirant le soutien de personnalités telles que Snoop Dogg et Oprah Winfrey. Cependant, la valeur de son action a chuté de plus de 70 % en 2024.

Dans le cadre des efforts déployés par l’entreprise pour gérer ses défis, Wojcicki a déclaré :

« Nous prenons ces mesures difficiles mais nécessaires alors que nous restructurons 23andMe et nous concentrons sur le succès à long terme de notre activité principale auprès des consommateurs et de nos partenariats de recherche.»

Suite à l’annonce de la faillite, Wojcicki restera au conseil d’administration, mais quittera son poste de PDG. Le directeur financier, Joe Selsavage, assurera l’intérim. Dans un communiqué de presse, l’entreprise a réitéré son engagement à protéger les données de ses clients :

Nous tenons à remercier nos employés pour leur dévouement à la mission de 23andMe. Nous nous engageons à les accompagner tout au long du processus. De plus, nous nous engageons à continuer de protéger les données de nos clients et à faire preuve de transparence quant à leur gestion. La confidentialité des données sera un élément important de toute transaction potentielle.

À l’avenir, 23andMe prévoit de s’engager dans une « procédure de vente supervisée par un tribunal » pour surmonter ses difficultés opérationnelles et financières. Face à l’évolution de la situation, les clients doivent rester vigilants quant à leurs droits et à la gestion de leurs informations génétiques sensibles.

Source et images