Le procureur général de Californie émet une alerte aux consommateurs pour les clients de 23andMe
(oag.ca.gov)- Face à l’aggravation de l’incertitude financière de 23andMe, le procureur général de Californie, Rob Bonta, informe les clients de leur droit à supprimer leurs données génétiques
- L’entreprise a publiquement fait état de difficultés financières et a indiqué dans des documents déposés auprès des autorités boursières qu’il existe un doute important sur sa capacité à poursuivre son activité
- Le cœur de l’alerte concerne les données sensibles des consommateurs détenues par 23andMe, que les résidents californiens peuvent demander à supprimer en vertu du GIPA et du CCPA
- Depuis les paramètres du compte, il est possible de supprimer les informations personnelles et les données génétiques, ainsi que de demander la destruction des échantillons de salive et d’ADN dont la conservation avait été choisie
- Les clients ayant consenti à un usage pour la recherche peuvent retirer leur accord à l’utilisation de leurs données et échantillons par 23andMe et des chercheurs tiers dans Research and Product Consents
Droits rappelés aux clients de 23andMe
- Le procureur général de Californie, Rob Bonta, a émis une alerte aux consommateurs rappelant aux clients de 23andMe leur droit à supprimer leurs données génétiques
- 23andMe est une entreprise californienne de tests et d’informations génétiques qui a publiquement signalé des difficultés financières
- L’entreprise a indiqué dans ses déclarations réglementaires qu’il existe un doute important sur sa capacité à poursuivre son activité
- En raison des données sensibles des consommateurs détenues par 23andMe, les résidents californiens peuvent exercer leurs droits légaux
- Les droits légaux applicables sont les suivants
- GIPA : les consommateurs californiens peuvent supprimer leur compte et leurs données génétiques, et exiger la destruction de leurs échantillons biologiques
- GIPA : ils peuvent retirer le consentement donné, après le test initial, à la collecte, à l’utilisation et à la divulgation des données génétiques ainsi qu’à la conservation des échantillons biologiques
- CCPA : accorde aux consommateurs californiens le droit de demander la suppression des informations personnelles, y compris les données génétiques, auprès des entreprises qui collectent des informations personnelles
- Des informations supplémentaires sur le CCPA sont disponibles ici
Actions possibles depuis le compte
- Pour supprimer le compte et les informations personnelles sur 23andMe, il faut se connecter au site web puis passer par les paramètres du compte
- Se connecter à son compte 23andMe
- Aller à la section « Settings » du profil
- Faire défiler jusqu’à la section « 23andMe Data » en bas de la page
- Cliquer sur « View » à côté de « 23andMe Data »
- Si une copie des données génétiques est nécessaire pour conservation personnelle, la télécharger sur l’appareil avant la suppression
- Faire défiler jusqu’à la section « Delete Data »
- Cliquer sur « Permanently Delete Data »
- Confirmer la demande de suppression via le lien reçu dans l’e-mail envoyé par 23andMe
- Si l’utilisateur avait auparavant choisi de conserver son échantillon de salive et son ADN chez 23andMe, il peut modifier cette préférence de conservation dans Preferences sur la page des paramètres du compte
- Les clients qui avaient accepté que 23andMe et des chercheurs tiers utilisent leurs données génétiques et leurs échantillons à des fins de recherche peuvent retirer leur consentement dans Research and Product Consents depuis les paramètres du compte
1 commentaires
Avis sur Hacker News
Je travaille dans le domaine de la génomique des populations, et j’ai aussi participé directement aux toutes premières études de génotypage quasi pangénomique, à l’époque où les puces à ADN étaient la technologie dominante.
Mais cela fait près de 20 ans que je dis à mes proches de ne pas participer aux analyses de génotypage à grande échelle de 23andMe ou d’entreprises commerciales similaires. Car, dans un modèle où l’entreprise conserve les droits sur les données, je pensais qu’un scénario comme celui-ci avait de fortes chances de se produire.
Il y a quelques années, le génotypage 23andMe était devenu un cadeau de Noël à la mode, et personnellement je ne comprenais pas pourquoi tant de gens voulaient transmettre autant de données à une entité commerciale.
Les informations de séquençage à grande échelle peuvent convenir à certaines personnes, mais si vous en avez vraiment besoin, vous devriez vous assurer autant que possible de rester propriétaire de vos données.
Pour plus de 90 % des gens, l’avantage ou l’intérêt de consulter un rapport sur leurs origines paraît supérieur au coût ou au risque de céder leur ADN.
Cela dit, il est légitime de se demander pourquoi davantage de personnes ne prennent pas la vie privée au sérieux. En réalité, des entreprises comme Google ou 23andMe auraient eu du mal à exister si tout le monde était aussi sensible à la confidentialité que le lectorat de HN. Pour le meilleur ou pour le pire, Google existe parce que les consommateurs acceptent de partager leurs données.
Il s’agit d’un génotypage SNP, donc en pratique cela ne prédit pas très bien la plupart des états de santé, à part les origines et quelques pathologies. Le génotypage ne capture qu’une petite fraction de l’information génétique totale, et comme ce n’est pas un séquençage du génome entier, cela reste trop cher pour ce que l’on paie. J’ai donc considéré que les données réelles étaient assez limitées et que le risque était, concrètement, faible.
La vie privée est une question de risques et de récompenses. Plutôt que d’appliquer le principe de précaution à tout, on fait dans la vie différents compromis.
Des cas comme celui-là peuvent aider à comprendre. Certaines personnes sont prêtes à payer un prix assez élevé pour savoir qui elles sont.
Même s’ils ont recruté de très bons chercheurs, il est difficile de comprendre pourquoi c’est si mauvais. Construire ce type de modèle est assez simple, et des modèles publiés gratuitement dépassent largement les résultats fournis par le site.
Comme uBiome, ils ont vendu beaucoup de produits survendus et ont terni la réputation des tests destinés aux consommateurs. C’est dommage : un service comme 23andMe, avec en plus un peu de tests épigénétiques pour capter les facteurs environnementaux, aurait pu devenir un excellent moyen d’obtenir un instantané global de sa santé.
Cela dit, si l’on s’intéresse à la généalogie, aux liens de parenté et à certains SNP plus exploitables, comme ceux liés à l’ADME des médicaments, l’interface de 23andMe est utile et médicalement pertinente. J’ai effectivement trouvé deux variants médicalement utiles, ainsi que des résultats amusants comme la vitesse de métabolisation de la caféine.
Je trouve aussi que l’interface est meilleure que celle d’AllofUs.
Le problème central qui n’est pas explicitement énoncé est que la faillite peut effacer les obligations d’une entreprise envers ses clients. Cela inclut les obligations de confidentialité[1].
C’est particulièrement problématique si les actifs sont vendus à une entreprise située hors de Californie, voire hors des États-Unis.
[1] https://harvardlawreview.org/print/vol-138/data-privacy-in-b...
Les obligations attachées aux données personnelles devraient pouvoir suivre les données. C’est un peu comme dans l’immobilier : lorsqu’on convient d’obligations telles que des relations de voisinage ou des droits d’accès, on peut faire en sorte qu’elles s’imposent aussi aux futurs propriétaires. Sinon, on pourrait perdre son droit d’accès à chaque fois qu’ils vendent le terrain. Ce type de mécanisme est généralement mis en place lorsqu’un terrain est subdivisé.
Le simple fait que la capacité de 23andMe à poursuivre son activité en continuité d’exploitation soit menacée donne déjà la réponse nécessaire sur la possibilité de monétiser massivement les données génétiques.
En fin de compte, cela signifie qu’il est difficile d’en extraire beaucoup de valeur. Si c’était possible, ils l’auraient déjà fait.
Je ne pense pas non plus que ces données ADN aient tant de valeur pour de grands assureurs santé comme Humana ou Aetna.
Les dossiers médicaux que les assureurs pourraient imaginer relier aux données génétiques pourraient même avoir moins de valeur que ces séquences ADN elles-mêmes.
C’est le point de vue d’un ancien économiste de la santé qui a travaillé sur des dizaines de millions de dossiers de sorties d’hospitalisation et, séparément, sur des enquêtes détaillées enrichies de données génétiques.
Dans cette direction, ils pourraient probablement dégager de bons revenus et gagner aussi beaucoup de sympathie.
S’il était si facile de relier les séquences aux maladies, nous aurions déjà constaté des progrès rapides dans la capacité à traiter ces maladies. Les données génétiques seules ne constituent pas un prédicteur suffisant.
Chaque fois que je me félicite d’avoir été assez prudent avec les courtiers en données, je me rappelle que mes proches ont peut-être déjà fourni suffisamment d’ADN à des services comme 23andMe pour rendre mes efforts inutiles.
Ils vont probablement demander de créer un compte.
On ne sait pas encore très bien en quoi cela cause concrètement un préjudice. Je vais donc essayer de le tester en prenant moi-même le risque
Mon génome, analysé par Nebula Genomics, est public pour quiconque le souhaite. Il y a un fichier FASTQ brut, et il faut payer une petite somme pour y accéder
Il y a quelque temps, avec un ami, nous avions envisagé de créer un site où les gens pourraient soumettre leur génome et leurs informations de santé afin de mener des études à grande échelle sur des populations. J’ai aussi soumis mes données à All of Us, entre autres, mais je considère que le fait qu’un accès aux données nécessite une autorisation spéciale est une perte
Je pense qu’il est temps de se repencher sur ce sujet. À la place, il serait peut-être préférable de publier le VCF. C’est beaucoup plus petit et potentiellement plus facile d’accès pour les gens. Quoi qu’il en soit, si vous avez besoin de mon FASTQ, envoyez-moi un e-mail
https://my.pgp-hms.org/profile/hu80855C
Je l’ai fait au lancement de Google Cloud Genomics, parce qu’il nous fallait des données utilisables sans restriction. Le conseiller en génétique d’Illumina a dit qu’il n’y avait « aucun facteur de risque génétique détectable », ce qui correspondait globalement à ce que j’attendais. Cela ne veut pas dire qu’il n’y a aucun facteur de risque, mais plutôt que les capacités d’Illumina en matière de conseil génétique n’étaient pas particulièrement bonnes
Quelque chose de similaire s’est déjà produit avec la question apparemment anodine « quelle est votre religion » dans les formulaires de recensement de la fin des années 1930 et du début des années 1940
Si vous allez dans un café, un stalker peut prélever de l’ADN sur vos empreintes digitales, puis utiliser une base de données 23andMe divulguée ou vendue pour l’associer à votre identité ou à votre adresse personnelle
Fait intéressant, cela peut aussi fonctionner ainsi si un parent proche a utilisé le service
Comment s’est passée ton expérience avec Nebula Genomics ? Si tu devais le faire aujourd’hui, recommanderais-tu ce service, ou plutôt un autre ?
Une image haute résolution d’un visage contient autant, voire plus, de données personnelles fonctionnellement utiles qu’un VCF
Il est difficile d’être optimiste sur la direction que prennent actuellement les États-Unis, mais je crois que GINA restera en vigueur
https://en.wikipedia.org/wiki/Genetic_Information_Nondiscrim...
Si je me trompe, la sécurité de mon ADN sera le plus petit de mes problèmes, ou des nôtres
On dit qu’il est possible de supprimer les données, mais au final elles seront conservées au nom des « obligations réglementaires ». J’ai échangé plusieurs fois avec l’équipe confidentialité, et leur dernière réponse était la suivante
« L’équipe 23andMe vous apporte une réponse complémentaire. Pour être clairs, nous et nos partenaires de laboratoire sommes soumis à diverses obligations légales et réglementaires qui peuvent nécessiter la conservation de certaines informations. Notre programme de conservation des données respecte les exigences légales applicables, lesquelles peuvent varier selon le pays ou l’État de résidence du client, l’État où se situe le laboratoire contractuel, ainsi que les obligations de licence fédérales ou étatiques liées aux produits d’ascendance et de santé que nous commercialisons. Les échantillons et résultats de tests génétiques sont supprimés conformément à la loi applicable, et nous confirmons que les obligations légales de conservation constituent une exception appropriée aux demandes de suppression de données prévues par les lois sur la confidentialité des données. »
Le point important est qu’une entreprise basée en Californie est en difficulté financière et a déclaré dans ses documents boursiers qu’il existait un doute substantiel sur sa capacité à poursuivre son activité
C’est l’une des raisons pour lesquelles j’utilise Signal plutôt que d’autres apps de messagerie. Je ne veux pas que mes messages privés restent dans une base de données si l’entreprise fait faillite, puis soient vendus à bas prix dans le cadre d’une liquidation
Pour les apps comme les caméras de sécurité, les gestionnaires de mots de passe, la domotique, le stockage ou les wikis, j’essaie aussi, autant que possible, de les héberger en local
Ta solution de stockage fonctionne-t-elle aussi pour la sauvegarde automatique des données du téléphone ?
Si 23andMe a conclu un accord avec les consommateurs sur la manière de traiter leurs données, cet accord devrait rester en vigueur, qu’il y ait acquisition ou non. Il devrait être maintenu définitivement, sauf si le consommateur accepte activement de le modifier
On ne dirait pas que les données personnelles vont être pillées si Dropbox est racheté, alors je ne comprends pas pourquoi cela fait débat pour 23andMe
Je ne cherche pas à critiquer le procureur général, mais à souligner que la protection des consommateurs est devenue assez laxiste pour qu’il soit nécessaire d’avoir ce genre de discussion
Les entreprises ignorent souvent ce type d’accords. Et quand elles se font parfois prendre, cela se termine par une simple tape sur les doigts
Le plus fréquent, à mon avis, c’est même que nous n’apprenions jamais que l’accord a été rompu
Quand une entreprise en difficulté financière commence à mettre un prix sur des données personnelles qu’elle avait promis de ne jamais vendre, c’est presque une loi de la nature. Comme dans un dessin animé avec des gens affamés dans un canot de sauvetage, ils ne voient plus vos données comme un accord juridique à protéger, mais comme un délicieux pilon de poulet
Quant à l’idée qu’on ne dirait pas que les données personnelles seront pillées si Dropbox est vendu, les avis peuvent varier là-dessus
Donc si Dropbox était vendu, nous devrions peut-être aussi en parler
Il existe une règle simple
Si une entreprise promet de ne pas traiter négligemment des données importantes ou de ne pas les vendre, mais qu’il n’y a pas de conséquences juridiques ni de garanties, alors cette entreprise, ou une autre entreprise liée, finira forcément par le faire
L’action 23andMe a chuté de 99,12 % par rapport à il y a cinq ans. Que s’est-il passé au juste ? Je me demande si le modèle économique ne tient pas, ou si l’entreprise a été extrêmement mal gérée.
L’idée principale était qu’en quelques années, l’entreprise avait pratiquement épuisé tout son vivier de clients potentiels. Si toute l’activité consiste à analyser l’ADN d’une personne, il s’avère difficile d’obtenir des clients qui reviennent acheter.
Ensuite, ils ont essayé de passer à un modèle d’abonnement donnant des conseils de santé à partir du séquençage génétique, mais le problème est que les informations de santé que l’on peut tirer de l’ADN sont globalement douteuses et, pour la plupart, presque inutiles.
Les gens intéressés par ce genre de chose l’ont déjà fait. Quel chiffre d’affaires peut-il bien rester à l’avenir ?
La réponse est simple. L’introduction en Bourse est un code de triche qui permet à une entreprise très déficitaire d’obtenir des millions de dollars en vendant une belle histoire à des fonds de pension qui cherchent où placer leur argent. Saupoudrez le tout de poussière de fée « nous sommes une entreprise tech », et le tour est joué.