Si un pirate récupère vos données génétiques, faut-il s’inquiéter ?

Savoir quels marqueurs génétiques sont stockés dans votre ADN peut être très utile, même (et surtout) si ces informations sont porteuses de mauvaises nouvelles. Aujourd'hui, des sociétés proposent des services de tests génétiques pour les particuliers, comme 23andMe. Parce que leur coût de l'analyse génétique a dégringolé ces dernières années, elle est désormais plus accessible. D'ailleurs, plus d'un million de personnes ont déjà choisi de lâcher 150$ pour en savoir plus sur leur génotype. En expédiant un peu de salive dans un paquet parfaitement scellé, ces gens ont accepté que leur information génétique soit analysée, cataloguée, vendue.

Quand une masse importante d'informations confidentielles est stockée en un seul endroit, elle constitue une cible de choix pour les pirates. Bien que le piratage des bases de données des sociétés privées proposant des tests génétiques n'ait encore jamais eu lieu, le risque existe et est à prendre au sérieux. Ce n'est peut-être qu'une question de temps avant qu'un individu mal intentionné exploite une brèche de sécurité et accède, en plus de vos informations bancaires, à vos informations génétiques.

Doit-on vraiment s'inquiéter de ce genre de risque ? Et qu'arriverait-il si un pirate mettait la main sur une analyse de votre ADN ?

« On peut imaginer des scénarios où des gens peu recommandables pourraient essayer d'utiliser ce genre de vulnérabilité à leur profit » déclare le Dr Robert Green, directeur du programme de recherche Genomes to People au Women's Hospital de Brigham, Broad Institute et Harvard Medical School.

Green m'a expliqué que même si un piratage massif pourrait peut-être permettre d'effectuer une sauvegarde du lot de données génétiques de 23andMe, il y a peu de chances que le pirate soit capable de lier ces informations à des personnes précises (les informations personnelles sont cryptées, conformément à la politique de confidentialité de l'entreprise). Dans ce cadre, l'attaque ne serait pas très utile. Et même si l'information génétique est formellement liée à l'identité des clients, à l'échelle d'une population, elle ne signifierait pas grand-chose non plus.

Non, ce qui serait vraiment problématique, c'est une attaque ciblée pour collecter les informations génétiques d'une personne spécifique. Une attaque orchestrée par un parfait inconnu.

« Si certains facteurs génétiques permettaient d'affirmer qu'une personne est susceptible de développer la maladie d'Alzheimer, et que cette personne était votre concurrent dans un processus de recrutement en vue d'un poste, vous pourriez être tenté d'utiliser cette information pour suggérer que cette personne est moins éligible que vous au poste en question, » explique Green. « Vous pourriez également utiliser des informations qui concernent des prédispositions à développer des troubles mentaux, par exemple. »

Green a, auparavant, étudié comment l'information génétique pouvait être utilisée pour servir une manœuvre politique. Il cite le cas du sénateur américain John McCain, dont l'âge avancé et la santé fragile ont obsédé le public lors de l'élection de 2008. Pourtant, si quelqu'un était vraiment décidé à vous nuire en utilisant votre ADN, il existe des moyens bien plus simples que le piratage de la base de données de 23andMe pour récupérer un échantillon de celui-ci.

Il suffirait par exemple de pirater votre compte sur un site web que vous utilisez pour interpréter vos informations génétiques, ou même de récupérer un peu de salive sur un gobelet à café usagé avant de l'analyser. Selon des journalistes du New Scientist, c'était une technique très facile à mettre en oeuvre aux alentours de 2009. Par ailleurs, l'Acte de non-discrimination sur l'information génétique américain interdit aux sociétés d'assurance et aux employeurs d'utiliser vos informations génétiques à votre désavantage.

Green fait également remarquer que ces attaques sont basées sur la croyance en un certain « déterminisme génétique, » selon lequel notre futur pourrait être prédit en utilisant notre ADN. Dans les faits, la plupart des maladies résultent d'interactions complexes entre génétique, mode de vie, et autres facteurs environnementaux. Aucun gène ne permet d'affirmer avec certitude que vous développerez la maladie d'Alzheimer, par exemple. Aussi, les extrapolations et les stratégies visant à nuire à un individu donné sont basées sur une mauvaise compréhension de ce qu'est l'information génétique et de la manière dont on peut l'exploiter.

Si une libération massive génétique ne constitue qu'un risque mineur, et qu'il y a peu de chances que vous soyez impliqué dans un sombre complot d'entreprise, de quoi faut-il vraiment s'inquiéter ?

« Il reste de nombreux domaines dans lesquels les gens sont peu informés et mal protégés, » explique Sheldon Krimsky, siégeant au Conseil pour un usage responsable de la génétique, et professeur de de politique environnementale et urbaine à la l'Université Tufts.

Krimsky invoque un cas précis datant de l'année dernière. La police aurait utilisé un échantillon d'ADN à partir d'une base de données génétique sur les assassins détenus par Ancestry.com afin de retrouver « un lien de parenté » les ayant finalement menés à un cinéaste de la Nouvelle Orléans, Michael Usry. L'homme en question a dû fournir à la police un échantillon de son ADN, qui ne correspondait pas, en outre, à celui retrouvé sur la scène du crime. Pourtant, il est devenu suspect dans une affaire criminelle dont il n'avait jamais entendu parler, ce qui fut pour lui une expérience particulièrement éprouvante.

« Pendant des jours, je suis resté chez moi à rien faire en compagnie de mon chien, » explique Usry au New Orleans Advocate. « J'étais mort d'inquiétude. Je m'attendais à ce que ces types défoncent la porte à tout moment, et descendent mon chien s'il avait le malheur de leur aboyer dessus. »

Il faut également se demander ce que les entreprises spécialisées en séquençage génétique pour les particuliers font de toutes les données collectées. 23andMe partage les siennes avec de nombreux partenaires commerciaux, donc des entreprises pharmaceutiques, et en partage également une partie avec des laboratoires de recherche. Peut-être que sur le principe, cela ne vous pose pas de problème particulier. Posez-vous tout de même cette question : savez-vous dans quelles mains passeront ces informations, même anonymisées ?

Krimsky conseille à tous ceux qui s'inquiètent de la confidentialité des informations génétiques de se renseigner sur la législation de leur pays, afin de savoir quelle procédure engager pour obtenir que leur ADN soit retiré des bases de données de la police. Il encourage également à lire en détails les contrats passés avec les entreprises de type 23andMe, petits caractères y compris, avant de leur envoyer un quelconque échantillon.

« Assurez-vous que ces données ne seront pas vendues ou cédées à quelqu'un d'autre sans votre assentiment, » ajoute Krimsky.

La recherche en génétique progresse à un rythme effréné. Notre compréhension des marqueurs génétiques est de plus en plus fine, et nous en savons davantage sur l'influence réelle de nos gènes sur nos vies. Il est donc essentiel que l'on puisse s'assurer que l'information génétique est aux mains de compétentes et responsables.