Tout d'abord les problèmes de cybersécurité déjà dénoncés par Gary Kasparov sur le blog Avast (je vous en avais parlé au chapitre X), sont également partagés par d'autres experts.

  • l'article (en anglais) "The Promise & Perils of Sharing DNA" d'Adam Tanner professeur de journalisme à l'université de Fairbanks Alaska qui rappelle 4 risques
    • de part leur nature, même des données ADN anonymisées peuvent être ré-affectées à un individu
    • les informations génétiques peuvent être utilisées pour usurper des identités
    • les personnes identifiées comme potentiellement vulnérables à certaines maladies, peuvent être démarchées commercialement par des firmes ou écartées en raison d'un risque par une assurance ou un employeur
    • même les personnes n'ayant jamais fait de test peuvent être compromises parce que leurs proches ont fait des tests.
  • l'article (en anglais) "Cybersecurity Risk and Privacy Aspects in Genomic Testing" d'Alexander Raif, chef de la cybersécurité chez Maccabi Health Care Services en voit quelques autres sur un plan beaucoup plus informatique
    • les appareils servant au séquençage devraient être sur des réseaux séparés du reste de l'entreprise
    • la sécurité des données stockées dans le cloud impose que les logiciels d'analyse soient exécutés dans le cloud (et non pas les données rapatriées vers un PC pour un traitement local
    • les données devraient être encryptées pendant leur stockage comme pendant leur transit sur le net.
    • l'accès aux données devrait nécessiter une authentification forte
    • le nombre de personnes autorisées à accéder à la base entière devrait être limité, encadré par un projet et également limité dans le temps.
    • un monitoring et un audit des accès indus, ainsi que des tests de vulnérabilités devraient être conduits

Il est d'ailleurs fort probable que la plupart des entreprises de généalogie génétique ne soient pas du tout au niveau de cybersécurité qu'attendent leurs clients. Le fait que 92 millions de données personnelles des clients de Myheritage se soient retrouvées sur le Darknet en est la meilleure preuve.

Ensuite des chercheurs français s'émeuvent que la data fuie à l'étranger (sic). Pour rappel en informatique, la donnée (data) correspond le plus souvent à une information numérisée, stockée sur des serveurs. La donnée génétique, peut avoir plusieurs valeurs d’usage: médicale, scientifique, économique, etc. marchandisable aux Etats-Unis mais pas en France. Comme l'expliquent Guillaume Vogt, généticien (Centre national de recherche en génomique humaine CNRGH) et Henri-Corto Stoeklé, bioéthicien (Laboratoire de génétique humaine négligée CNRGH-CEA, Évry). "La majeure partie de leur succès tient aujourd’hui à l’appropriation d’un nouveau modèle économique: celui de “marché biface”.Ici, l’entreprise privée, ou “plateforme biface”, offre “gratuitement”, sur la première face, différents services numériques aux consommateurs demandeurs, afin d’obtenir et de stocker différents types de données les concernant, qu’elle transforme en information valorisée (à la fois en termes d’échange et d’usage) sur la seconde face, auprès d’autres entreprises ou structures. Les bénéfices réalisés sur la seconde face de la plateforme doivent alors couvrir largement les pertes accusées sur la première.» Dans le cas des entreprises de généalogie génétique, la première face n'est même pas gratuite puisque le client paye quelques centaines d'euros son test. Selon ces deux chercheurs il n’y a guère aujourd’hui que deux solutions pour endiguer cette fuite de données génétiques françaises vers l’étranger. L’une serait de modifier la loi pour autoriser, en France, la création d’entreprises privées identiques aux américains/israëliennes. L'autre solution serait, sans la changer la loi, de développer des projets de recherche en s’inspirant de ce qui a fait le succès de ces entreprises. On peut se demander à l'opposé de ces chercheurs, ce que veut dire l'étranger dans le cas de données stockées dans le cloud... et la non accessibilité de données même stockées en France, vu les lois extra-territoriales américaines en la matière.

Côté fichage ensuite, une proposition de loi dans l'Arizona (en angalis) demande à ce que tous les professeurs, officiers de police ou travailleurs de crèche soient obligés de déposer leur ADN en même temps que leurs empruntes pour pouvoir exercer.

Enfin la seule bonne nouvelle semble venir du professeur David Reich d'Harvard (encore en anglais) qui nous rappelle qu'aucune population n'a d'ADN "pur" et donc que les dérives racistes associées à l'ADN n'ont aucun fondement.