Le 14 mai 2025, à l’issue d’une enchère supervisée par la justice américaine, la société de biotechnologie Regeneron Pharmaceuticals avait été officiellement désignée comme repreneur de 23andMe, entreprise spécialisée dans les tests ADN à destination du grand public. Cette acquisition fait suite à la faillite de 23andMe, prononcée le 23 mars 2025 dans le cadre d’une procédure de Chapter 11 aux États-Unis. Une acquisition finalement perdue le 11 juin 2025 au profit de TTAM Research Institute, menée par Anne Wojcicki, fondatrice de 23andMe.

Ce que le contrat de reprise prévoyait

Le contrat conclu entre Regeneron et les débiteurs de 23andMe comportait plusieurs engagements juridiques clairs :

  • Le respect des lois sur la protection des données personnelles ;
  • Le maintien des politiques de confidentialité existantes ;
  • La mise en place d’un superviseur indépendant pour surveiller les engagements sur les données ;
  • L’application des règles du CFIUS (Committee on Foreign Investment in the United States), qui encadrent les transferts de données sensibles à l’international.

Regeneron est un acteur américain majeur du secteur de la santé, connu pour ses recherches en génétique appliquée et ses traitements innovants, notamment contre le Covid-19. Le tribunal devait donner son approbation à la reprise le 17 juin 2025.

Qu’est-ce que le CFIUS ?

Le CFIUS est un comité inter-agences américain chargé d’examiner les investissements étrangers susceptibles d’affecter la sécurité nationale. Lorsqu’une entreprise détenant des données sensibles est concernée, comme ici les données génétiques de millions de clients, le CFIUS peut :

  • Bloquer ou modifier une transaction si elle présente un risque ;
  • Imposer des garde-fous techniques (stockage local, anonymisation, cloisonnement) ;
  • Nommer un contrôleur indépendant pour surveiller la conformité ;
  • Obliger à des rapports réguliers sur l’utilisation des données.

Ces mécanismes s’appliquent même si l’utilisateur est étranger (français, européen, etc.).

Depuis 1998, la non-discrimination génétique est un principe international, inscrit dans la Déclaration universelle sur le génome humain et les droits de l’homme de l’UNESCO. Les États s’engagent à interdire toute forme d’exploitation des données génétiques à des fins de stigmatisation, de tri social ou de sélection.

Toute entreprise qui achèterait ou exploiterait des données génétiques volées s’expose à des poursuites civiles et pénales, ainsi qu’à des amendes en vertu du RGPD en Europe, et à des sanctions réputationnelles potentiellement dévastatrices.

Des protections supplémentaires pour les clients français ?

En France, plusieurs lois protègent déjà les utilisateurs :

  • Le code civil interdit toute discrimination génétique (art. 16-13) ;
  • Le code pénal interdit toute discrimination, y compris génétique (art. 225-1) et prévoit jusqu’à 3 ans de prison et 45 000 € d’amende pour discrimination génétique (art. 225-2) ;
  • Le code de la santé publique interdit l’usage des données ADN par les employeurs et assureurs (art. L1141-1);
  • La loi Informatique et libertés empêche tout fichage ethnique ou médical non autorisé ;
  • Le RGPD garantit le droit à l’accès, à l’oubli et à la suppression immédiate des données.

Les clients français peuvent demander à tout moment la suppression de leur compte et de leurs données génétiques.

Un risque réel d’abus ? Des sanctions très claires

Les règles sont strictes. Toute entreprise qui achèterait, revendrait ou exploiterait illégalement des données génétiques volées ou obtenues sans consentement éclairé s’expose à :

  • Des sanctions administratives (amendes jusqu’à 4 % du chiffre d’affaires mondial) ;
  • Des poursuites civiles et indemnisés pour atteinte à la vie privée ;
  • Des poursuites pénales, notamment en France, pour discrimination ou fichage interdit.

Les utilisateurs peuvent saisir la CNIL ou engager des actions collectives, notamment en cas de fuite ou d’utilisation secondaire non autorisée.

Rappel : la fuite de données de 2023

En octobre 2023, 23andMe a reconnu que les données personnelles de près de 6,9 millions d’utilisateurs avaient été compromises. Il s’agissait de profils d’ascendance, d’identifiants, d’années de naissance, de localisations géographiques et, pour certains, de données médicales.

Les clients français peuvent-ils agir ?

Oui. Vous avez reçu un email de 23andMe en anglais vous exposant la procédure.

Si vous vivez en France et que :

  • vous avez été client de 23andMe entre le 1er mai et le 1er octobre 2023,
  • vous avez reçu une notification officielle vous informant que vos données ont été exposées,

alors vous pouvez déposer une preuve de créance (claim), même si vous êtes résident hors des États-Unis.

Deux types de réclamations sont ouvertes :

  • Cyber Security Incident Claim : en cas de préjudice lié à la fuite de données ;
  • General Claim : pour tout autre litige lié aux services ADN, notamment sur les tests autosomiques, de santé ou de parenté.

Date limite de dépôt : 14 juillet 2025
🔗 Site officiel : https://restructuring.ra.kroll.com/23andMe

Vous pouvez aussi leur envoyer directement un email à [email protected], ou leurs téléphoner :
– (888) 367-7556 (Toll-Free in US/Canada)
– +1 (646) 891-5055 (International).

Faut-il supprimer ses données ADN ?

Vous pouvez demander à 23andMe la fermeture de votre compte depuis l’espace utilisateur.

Pensez à télécharger vos données ADN (résultats bruts, rapports PDF) avant de procéder.

Et surtout : la suppression du compte ne vous empêche pas de déposer une réclamation, si vous êtes concerné par l’incident de cybersécurité.

Une opportunité stratégique manquée pour la France

Avec plus de 14 millions de profils génétiques, la base de données de 23andMe représente un outil exceptionnel pour la recherche biomédicale et épidémiologique. Pourtant, aucune structure européenne ou publique ne s’est positionnée pour l’acquérir.

Ce silence interroge. Une telle base aurait pu être exploitée dans le respect du RGPD, au service d’une recherche européenne éthique, transparente et sûre. Cette opportunité est d’autant plus regrettable que le sujet de la souveraineté génétique devient stratégique.

▶️ Pour aller plus loin :