Actualités juridiques et digitales

Tests génétiques en ligne : quels risques pour nos données personnelles ?

Rédigé par Haas Avocats | Apr 17, 2024 3:43:44 PM

Par Haas Avocats

Les données de santé sont des données particulièrement sensibles. A ce titre, elles bénéficient d’une protection renforcée par le RGPD1. Les données génétiques et biométriques n’échappent pas non plus à cette protection. 

Pourtant, ces dernières années, la pratique des tests génétiques vendus en kit sur Internet, à l’image de MyHeritage, s’est largement démocratisée. 

Particulièrement en vogue aux Etats-Unis, certains européens ont également voulu profiter des progrès de la science et de son accessibilité à moindre coût. 

L'interdiction de traiter les données génétiques et biométriques au titre du RGPD

Par principe au niveau européen, l’interdiction de collecter les données génétiques et biométriques est expressément prévue par le RGPD2

Quelques exceptions sont toutefois envisagées par le règlement. Il s’agit notamment du cas où la personne concernée consent explicitement au traitement de ses données de santé. En effet, la personne concernée doit avoir une certaine maîtrise sur sa vie privée au travers des données qui la définissent et lui appartiennent. Elle demeure donc libre, en principe, de les communiquer à qui de droit. Pourtant le législateur, tant européen que français, a limité cette liberté en maintenant, dans certains cas, cette interdiction3.

Et pour cause, le cas de l’utilisation des données dans le cadre des tests génétiques vendus en kit est particulièrement périlleux pour la personne concernée :

  • Non seulement rien ne permet d’affirmer la fiabilité de ces tests, mais surtout 
  • Ils sont marqués par un manque de transparence quant à la réutilisation des données qui en découlera. 

La CNIL alerte notamment sur le fait que ces entreprises qui collectent les données de santé pour réaliser des tests génétiques, concluent des partenariats avec des organismes pour la réutilisation de ces données à d’autres fins que celles initialement consenties4. Même s’il s’agit majoritairement de recherche scientifique, il n’en demeure pas moins que la personne concernée n’a jamais donné son autorisation, et ne sera probablement jamais au courant de cette obscure utilisation. 

Dans ce contexte d’opacité, la collecte des données pour la réalisation de tests génétiques est prohibée par le RGPD, mais pas seulement.

Le cadre juridique français : une protection renforcée ? 

Plus généralement, les tests génétiques à visée « récréative » sont effectivement interdits en France, et leur réalisation constitue une infraction pénale5. En ce sens, la personne concernée ne sera pas en mesure de lever l’interdiction de traitement de ses données sensibles (de santé, génétique et biométrique) en exprimant son consentement6

A cet égard, ce n’est pas la règlementation relative aux données personnelles qui interdit cette pratique mais les lois de bioéthique7

L’étude des caractéristiques génétiques d’une personne n’est possible qu’à des fins limitatives et exhaustivement définies : médicales ou de recherche scientifique, sportives (contrôles antidopage), établir l’identité d’une personne décédée ou encore pour les besoins des procédures judiciaires8 (ex : lien de filiation).

C’est toutefois sur l’aspect données personnelles que la CNIL fait de la prévention sur ces pratiques de test génétique. L’autorité de protection des données personnelles a en effet exprimé son inquiétude sur les risques de fuite de ces données génétiques et biométriques envoyées outre-mer par de nombreux européens. Et pour cause, une fois dans la nature, on ne change pas son ADN comme on modifie son mot de passe Facebook. Le risque de compromission de ces données sensibles devient ainsi irréversible. 

 

***

Le traitement des données génétiques est un domaine à fort potentiel pour les acteurs en présence, mais qui nécessite une analyse précise de la réglementation tant actuelle que future.

Le Cabinet HAAS Avocats intervient sur les problématiques inhérentes à l’e-santé et accompagne les établissements de santé comme les prestataires fournisseurs de solutions en vue de la sécurisation juridique de leur activité. Audits, consolidations contractuelles, DPO externalisé ou assistance ponctuelle sont autant d’exemples justifiant l’intervention d’un professionnel du droit.

Vous voulez en savoir plus sur nos prestations dédiées à l’e-santé ? Cliquez ICI

 

-

1Article 9 du RGPD

2Article 9§1 du RGPD

3Article 9§2.a du RGPD

4 Tests génétiques sur Internet : la CNIL appelle à la vigilance | CNIL

Article 226-28 et 226-28-1 du code pénal

6 Article 9§2.a du RGPD

7 Et notamment la première loi bioéthique du 29 juillet 2004 n°94-654

8Article 16-10 à 16-13 du Code civil