Montana pousse l'aiguille sur la sécurité génétique

Le Montana pousse l'aiguille sur la sécurité génétique

Par Danny Bradbury • 28 septembre 2023

Les États américains accordent de plus en plus de droits aux consommateurs en matière de confidentialité sur leurs informations numériques, mais qu’en est-il de leurs données biologiques ? Votre adresse e-mail et votre numéro de téléphone sont suffisamment sensibles, mais ils ne sont rien comparés à ce qui est dans votre ADN. Les informations génétiques permettent aux gens de déduire diverses choses à votre sujet, depuis votre prédisposition à de multiples maladies, en passant par que vous soyez du genre à la recherche de sensations fortes ou non.

Moins d’un quart de siècle après la cartographie du génome humain, les tests génétiques destinés directement au consommateur (DTC) sont une industrie en pleine croissance. Selon YouGov, un sur cinq Les Américains ont déjà envoyé leur ADN par courrier pour des tests. Plus de la moitié des personnes interrogées par YouGov ont estimé que la vie privée était un sujet de préoccupation, mais tentées par l'attrait d'une nouvelle technologie passionnante, elles utilisent quand même les services génétiques DTC.

Ces craintes concernant la confidentialité génétique sont fondées. Contrairement à un numéro de téléphone, vous ne pouvez pas modifier vos gènes – et pourtant, la confidentialité de vos informations génétiques n'est en grande partie pas réglementée. Aujourd’hui, grâce aux Montanans soucieux de leur vie privée, cela change lentement. L'État a adopté une loi appelée Loi sur la protection des renseignements génétiques qui impose des règles strictes en matière de collecte et d’utilisation des données génétiques.

La nouvelle loi interprète les « données génétiques » au sens large pour inclure non seulement n'importe quel ADN séquencé, mais également toute information phénotypique issue de ce séquençage, ce qui permet aux personnes de prédire le comportement et les caractéristiques physiques. Au-delà de cela, cela comprend également toutes les informations autodéclarées sur les problèmes de santé qu'une entité utilise à des fins de recherche, ainsi que ces données ADN.

À partir du 1er octobre, date à laquelle la loi sera promulguée, toute organisation contrôlant les informations génétiques devra obtenir le consentement du consommateur pour les transférer, les utiliser et les conserver. Le consommateur doit donner son consentement avant de transférer les données à un tiers à des fins de recherche.

Pourquoi avons-nous besoin d’une loi génétique ?

Quand Consumer Reports a testé les services génétiques DTC bien connus, il les a trouvés généralement responsables des données ADN des clients. Ils ne vendaient pas les données génétiques à des courtiers en données et exigeaient que les clients acceptent s'ils souhaitaient que les données soient utilisées à des fins de recherche. Cependant, sans lois appropriées, cela dépend principalement de leur retenue. Le rapport note également que la « recherche » pourrait couvrir certains cas d'utilisation non altruistes inattendus, notamment le développement de produits internes, et que dans de nombreux cas, des données non ADN sur un individu, y compris des informations sur la santé, pourraient également être transmises.

L’enquête de Consumer Reports n’a pas couvert 1Health. En septembre 2023, la Federal Trade Commission réglé avec cette société de génétique DTC, anciennement connue sous le nom de Vitagene, pour avoir maltraité les données des consommateurs. La Commission a affirmé que l'entreprise avait modifié rétroactivement sa politique de confidentialité sans en informer les clients, élargissant ainsi le champ des tiers auxquels elle fournirait des données. La liste élargie comprenait des chaînes de supermarchés et des fabricants de suppléments nutritionnels.

Selon la plainte de la FTC, 1Health/Vitagene n'a pas non plus réussi à anonymiser les données des clients en les stockant sans les informations d'identité qui les accompagnent, telles que leurs noms. Il aurait conservé les données génétiques de certains clients ainsi que d'autres informations d'identification, notamment des rapports de santé et des noms partiels ou complets. Certaines données étaient stockées en clair dans le cloud, selon la Commission dit.

Quoi qu’il en soit, les informations génétiques sont particulièrement difficiles à anonymiser. Cette notion – selon laquelle les données peuvent être d’une manière ou d’une autre nettoyées pour éviter leur utilisation pour identifier un patient – est discutable. Il ne suffit pas de simplement stocker les données sans aucune donnée d’identification correspondante. L'Institut national de recherche sur le génome humain du gouvernement américain met en garde de la possibilité de ré-identifier les personnes grâce à leurs informations génomiques. Cela est possible de diverses manières, notamment en recoupant des données avec d'autres types de bases de données ou en faisant référence à l'appartenance à des populations identifiables telles que des groupes ethniques.

Il appartenait à la FTC de cibler 1Health dans son règlement de 75,000 2008 $, car la loi actuelle ne réglemente pas de manière exhaustive les données génétiques. Par exemple, les sociétés de tests génétiques DTC ne relèvent pas de la réglementation fédérale sur la confidentialité des données médicales, HIPAA, qui régit les prestataires de soins de santé ou les assureurs. La loi fédérale de XNUMX sur la non-discrimination en matière d'informations génétiques (GINA) empêche les assureurs maladie ou les employeurs de forcer les gens à transmettre leurs données génétiques ou de les utiliser à des fins de discrimination à leur encontre. Pourtant, cela ne couvre pas les prestataires de services de génétique DTC.

Poursuivre les entreprises pour pratiques trompeuses en l’absence de lois appropriées sur la protection génétique de la vie privée ne suffit pas. En 2021, Justin Sherman, chercheur et responsable de la recherche pour le projet Data Brokerage de la Duke University Sanford School of Public Policy, exhorté le Comité sénatorial des finances de contrôler strictement la vente de données génétiques à des tiers.

Une histoire de législation soucieuse de la vie privée au Montana

Le Montana a l’habitude d’adopter des lois révolutionnaires sur la protection de la vie privée. En 2013, c'est devenu le premier état pour forcer la police à obtenir un mandat avant de collecter des informations de localisation à partir d'appareils électroniques. Il a également suivi d’autres États en introduisant des lois générales sur la protection de la vie privée des consommateurs avec sa Loi sur la confidentialité des données des consommateurs, adoptée en avril 2023.

Le Montana n'est pas non plus le seul État à s'attaquer à la confidentialité génétique. En 2021, le Maryland s'est joint à lui pour adopter une législation exigeant un mandat pour les recherches généalogiques génétiques médico-légales (FGGS). Ce genre de recherche approfondie dans les bases de données généalogiques conduit à la capture du tueur du Golden Gate, Joseph James DeAngelo. Le GIPA du Montana renforce cette loi anti-dragnet en empêchant les sociétés de tests génétiques DTC de divulguer des données sans le consentement du consommateur ou sans procédure légale régulière.

En octobre 2021, la Californie également passé deux projets de loi directement liés à la sécurité génétique. La Genetic Privacy Act (SB 41) exigeait que les clients effectuant des tests génétiques directement auprès des consommateurs obtiennent le consentement des consommateurs avant de collecter, d'utiliser ou de divulguer leurs données génétiques. Le second, AB 825, a ajouté les données génétiques à ses cadres de sécurité des données et de notification des violations de données.

Quel sera l’effet ?

Les forces de l’ordre parviennent à contourner la législation relative à la protection de la vie privée, souvent en recourant à d’autres canaux. La police a eu recours à acheter légalement des données de localisation de téléphone portable auprès de courtiers en données, alors même que d'autres États ont suivi l'exemple du Montana en imposant des règles de confidentialité des données de localisation. Cependant, les lois qui restreignent la vente de données en amont plutôt que de s’attaquer uniquement aux cas d’utilisation de la surveillance en aval rendent plus difficile la recherche des données ailleurs.

Le GIPA du Montana n'autorise pas les poursuites privées mais permet au procureur général de l'État d'engager des poursuites contre les contrevenants, récupérant ainsi les dommages réels et légaux. Cela ne lui donne pas les dents les plus pointues possibles, mais un procureur général sympathique pourrait toujours donner un mauvais coup de pouce aux sociétés de génétique DTC qui ne respectent pas la vie privée de leurs clients. C'est au moins un début.

Danny Bradbury

Danny Bradbury est journaliste de presse écrite spécialisé en technologie depuis 1989 et écrivain indépendant depuis 1994. Il a écrit pour des publications nationales des deux côtés de l'Atlantique et a remporté des prix pour son travail de journalisme d'investigation sur la cybersécurité.

Lire la suite de Danny Bradbury

La cyber-sécurité 15 Janvier 2026

De la sécurité périmétrique à l'identité comme bannière de sécurité

De la sécurité périmétrique à la sécurité de l'identité

Impossible aujourd'hui de jeter un œil à un événement de sécurité sans tomber sur l'expression « confiance zéro ». C'est un mot à la mode, certes…

Danny Bradbury

La cyber-sécurité 18 December 2025

Comment s'y retrouver dans le labyrinthe de la conformité en matière d'IA aux États-Unis

En matière de réglementation, le terme « États-Unis » est un oxymore. Les lois des États sont loin d'être unifiées, chaque juridiction ayant ses propres traditions…

Danny Bradbury

La cyber-sécurité 20 November 2025

Ce que les violations de Salesforce nous apprennent sur la responsabilité partagée (bannière)

Ce que les violations de données de Salesforce nous apprennent sur la responsabilité partagée

L'année 2025 n'a pas été favorable aux clients de Salesforce. Un groupe criminel peu scrupuleux a mené une série d'attaques contre ses clients, affectant finalement…

Danny Bradbury