Tout d'abord les problèmes de cybersécurité déjà dénoncés par Gary Kasparov sur le blog Avast (je vous en avais parlé au chapitre X), sont également partagés par d'autres experts.
- l'article (en anglais) "The Promise & Perils of Sharing DNA" d'Adam Tanner professeur de journalisme à l'université de Fairbanks Alaska qui rappelle 4 risques
- de part leur nature, même des données ADN anonymisées peuvent être ré-affectées à un individu
- les informations génétiques peuvent être utilisées pour usurper des identités
- les personnes identifiées comme potentiellement vulnérables à certaines maladies, peuvent être démarchées commercialement par des firmes ou écartées en raison d'un risque par une assurance ou un employeur
- même les personnes n'ayant jamais fait de test peuvent être compromises parce que leurs proches ont fait des tests.
- l'article (en anglais) "Cybersecurity Risk and Privacy Aspects in Genomic Testing" d'Alexander Raif, chef de la cybersécurité chez Maccabi Health Care Services en voit quelques autres sur un plan beaucoup plus informatique
- les appareils servant au séquençage devraient être sur des réseaux séparés du reste de l'entreprise
- la sécurité des données stockées dans le cloud impose que les logiciels d'analyse soient exécutés dans le cloud (et non pas les données rapatriées vers un PC pour un traitement local
- les données devraient être encryptées pendant leur stockage comme pendant leur transit sur le net.
- l'accès aux données devrait nécessiter une authentification forte
- le nombre de personnes autorisées à accéder à la base entière devrait être limité, encadré par un projet et également limité dans le temps.
- un monitoring et un audit des accès indus, ainsi que des tests de vulnérabilités devraient être conduits
Il est d'ailleurs fort probable que la plupart des entreprises de généalogie génétique ne soient pas du tout au niveau de cybersécurité qu'attendent leurs clients. Le fait que 92 millions de données personnelles des clients de Myheritage se soient retrouvées sur le Darknet en est la meilleure preuve.
Ensuite des chercheurs français s'émeuvent que la data fuie à l'étranger (sic). Pour rappel en informatique, la donnée (data) correspond le plus souvent à une information numérisée, stockée sur des serveurs. La donnée génétique, peut avoir plusieurs valeurs d’usage: médicale, scientifique, économique, etc. marchandisable aux Etats-Unis mais pas en France. Comme l'expliquent Guillaume Vogt, généticien (Centre national de recherche en génomique humaine CNRGH) et Henri-Corto Stoeklé, bioéthicien (Laboratoire de génétique humaine négligée CNRGH-CEA, Évry). "La majeure partie de leur succès tient aujourd’hui à l’appropriation d’un nouveau modèle économique: celui de “marché biface”.Ici, l’entreprise privée, ou “plateforme biface”, offre “gratuitement”, sur la première face, différents services numériques aux consommateurs demandeurs, afin d’obtenir et de stocker différents types de données les concernant, qu’elle transforme en information valorisée (à la fois en termes d’échange et d’usage) sur la seconde face, auprès d’autres entreprises ou structures. Les bénéfices réalisés sur la seconde face de la plateforme doivent alors couvrir largement les pertes accusées sur la première.» Dans le cas des entreprises de généalogie génétique, la première face n'est même pas gratuite puisque le client paye quelques centaines d'euros son test. Selon ces deux chercheurs il n’y a guère aujourd’hui que deux solutions pour endiguer cette fuite de données génétiques françaises vers l’étranger. L’une serait de modifier la loi pour autoriser, en France, la création d’entreprises privées identiques aux américains/israëliennes. L'autre solution serait, sans la changer la loi, de développer des projets de recherche en s’inspirant de ce qui a fait le succès de ces entreprises. On peut se demander à l'opposé de ces chercheurs, ce que veut dire l'étranger dans le cas de données stockées dans le cloud... et la non accessibilité de données même stockées en France, vu les lois extra-territoriales américaines en la matière.
Côté fichage ensuite, une proposition de loi dans l'Arizona (en anglais) demande à ce que tous les professeurs, officiers de police ou travailleurs de crèche soient obligés de déposer leur ADN en même temps que leurs empruntes pour pouvoir exercer.
Enfin la seule bonne nouvelle semble venir du professeur David Reich d'Harvard (encore en anglais) qui nous rappelle qu'aucune population n'a d'ADN "pur" et donc que les dérives racistes associées à l'ADN n'ont aucun fondement.
3 réactions
1 De Guillaume - 24/04/2019, 15:53
La proposition de loi dans l'Arizona a été amendée pour ne concerner que les professionnels ayant à s'occuper de patients internés ayant des troubles intellectuels. Un des codicilles de cette proposition de loi, depuis supprimé, prévoyait que le médecin légiste puisse prendre l'ADN de chaque cadavre arrivant entre ses mains. L'argumentaire était le suivant :
C'est à lire en anglais sur le site de The Atlantic
2 De Guillaume - 26/06/2019, 21:44
Devant les polémiques actuelles sur la vie privée, trois sociétés de généalogie ADN américaines (Ancestry, 23andMe et Helix) ont décidé de se monter en lobby pour promouvoir leur business auprès du législateur américain. Elles ont publié en juillet 2018 un livre blanc sur les meilleures pratiques en matière des services de test génétiques pour le consommateur et veulent que le législateur américain s'inspire d'abord de ce texte. C'est non seulement au niveau fédéral mais également au niveau des états qu'ont lieu les tentatives législatives et la contre-attque du lobby : la Californie a débattu du fait d'interdire aux entreprises de partager de l'information génétique sans autorisation, la Floride a également débattu du fait d'interdire aux sociétés d'assurance d'utiliser les données génétiques pour calculer le prix de leurs couvertures santé, mais cette proposition a été retoquée.
Une des responsables d'Helix a déclaré "qu'elle ne voulait pas que la future législation fédérale mine la vraie innovation et le progrès qui peut résulter de la génétique et de la recherche géntique (sic)"
Depuis le début de l'année Ancestry a dépensé 50 000 $ en lobbying , 23andMe pour sa part 70 000$. Le chiffre pour Helix n'est pas connu mais il était de 120 000 $ en 2018...
Source The Hill
3 De Guillaume - 22/12/2021, 18:49
L'entreprise de tests génétiques DNA Diagnostics Center a confirmé un hacking de ses données concernant un peu plus de 2 millions de consommateurs. Les données comprennent l'identité des personnes, leurs numéros de carte bancaire (y compris le code CVV) et le mot de passe d'accès au site. D'après l'entreprise, la base de donnée accédée était ancienne et les données génétiques n'ont pas été compromises (je vois difficilement comment car même stocké indépendamment, la tendance des personnes est d'utiliser plusieurs fois le même mot de passe). C'est à lire en anglais sur Bleeping Computer