Par Haas Avocats
Le 28 mars 2025, la Commission nationale de l'informatique et des libertés (CNIL) a réitéré ses mises en garde concernant les tests génétiques dits récréatifs, notamment ceux proposés par la société 23andMe, récemment placée en redressement judiciaire. Ces tests, bien que populaires, posent question en matière de protection des données personnelles et de conformité à la législation française et européenne.
Contexte juridique des tests génétiques
Une législation française et européenne existe déjà au sujet des tests génétiques.
En France, la réalisation de tests génétiques en dehors des cadres médical et scientifique est prohibée[1], sous peine de 3 750 euros d'amende pour la personne ayant sollicité le test, et de 15 000 euros d'amende et un an de prison pour ceux proposant ces tests illégalement.
Sur le plan de la protection des données, le Règlement Général sur la Protection des Données (RGPD) impose aux responsables de traitement de recueillir le consentement éclairé[2] des personnes concernées avant de collecter et de traiter leurs données personnelles. Aussi, comme tout traitement de données, les personnes concernées ont la possibilité d’exercer leurs droits[3] et notamment de demander l'accès à leurs données, leur rectification, leur effacement ou la limitation de leur traitement et la CNIL, sur son site internet, fournit des indications sur la procédure à suivre pour exercer ces droits.
Les risques liés aux tests génétiques récréatifs
Ces tests, salivaires le plus souvent, impliquent la collecte de données sensibles[4], telles que des données biométriques/génétiques. Cette collecte induit donc plusieurs risques :
- Collecte et utilisation des données sensibles : ces tests impliquent la collecte de données génétiques sensibles. La CNIL explique que ces données sont en outre « pluripersonnelles », au sens où elles affectent non seulement l'individu testé mais aussi ses ascendants ou descendants.
- Manque de transparence et consentement éclairé : les entreprises proposant ces tests peuvent ne pas fournir d'informations claires sur l'utilisation, le stockage et le partage des données recueillies. Or, le RGPD exige un consentement éclairé avant la collecte de données personnelles, ce qui peut être compromis dans le cas de ces tests.
- Risques de sécurité et violations de données : des incidents de sécurité, tels que des violations de données, ont exacerbé les inquiétudes concernant la confidentialité et l'intégrité de ces informations sensibles.
- Réutilisation des données à des fins commerciales : certaines entreprises ont été accusées de vendre les données génétiques de leurs clients à des tiers, comme des laboratoires pharmaceutiques, sans consentement explicite. Par exemple, 23andMe a vendu les données de cinq millions de ses clientsau géant britannique de l’industrie pharmaceutique
Mesures recommandées par la CNIL concernant 23andMe
Face à ces préoccupations, la CNIL recommande aux individus ayant effectué un test génétique récréatif, notamment via 23andMe, de demander l'effacement de leurs données personnelles. La Commission a mis à disposition la procédure à suivre à cet effet, à destination des personnes concernées. Cette démarche vise à protéger la vie privée des utilisateurs et à prévenir les risques associés à l'utilisation non encadrée de ces informations sensibles.
En ce sens, les tests génétiques récréatifs proposés par des entreprises comme 23andMe , bien qu’attrayants pour leur promesse de mieux connaître ses origines ou sa santé future, soulèvent de sérieuses inquiétudes en matière de légalité, de protection des données personnelles et de respect des droits des personnes.
Force est de constater que la vigilance de la personne concernée doit être renforcée pour ce type de traitement de données…
***
Le cabinet HAAS Avocats est spécialisé depuis plus de vingt-cinq ans en droit des nouvelles technologies et de la propriété intellectuelle. Il accompagne de nombreux acteurs du numérique dans le cadre de leurs problématiques judiciaires et extrajudiciaires relatives au droit de la protection des données. Dans un monde incertain, choisissez de vous faire accompagner par un cabinet d’avocats fiables. Pour nous contacter, cliquez ici.
[1] Articles 226-25 et 226-28-1 du Code pénal
[2] Articles 12 à 14 du RGPD
[3] Articles 15 et suivants du RGPD
[4] Article 9 du RGPD
