Les rumeurs farfelues sur de prétendues recherches d’« hybrides extraterrestres » par la CIA dans les bases de données génétiques américaines, relayées ces derniers jours par certains tabloïds anglo-saxons, ne méritent pas qu’on s’y attarde. Elles servent en revanche d’occasion pour poser une vraie question, autrement plus sérieuse : qui contrôle réellement les données génétiques de millions d’Européens — dont des Bretons — qui ont confié leur salive à des plateformes commerciales américaines au cours des quinze dernières années ? Et que deviennent ces informations ultrasensibles quand l’entreprise qui les détient fait faillite ?
Derrière les théories du complot tape-à-l’œil se cachent en réalité des sujets parfaitement documentés et autrement plus inquiétants que la science-fiction. Tour d’horizon.
Une faillite retentissante aux États-Unis
L’affaire 23andMe constitue probablement le cas d’école le plus parlant de la décennie en matière de souveraineté des données génétiques. Cofondée en 2006 par Anne Wojcicki, cette société californienne basée à Palo Alto avait construit son modèle économique sur la vente de kits de tests salivaires à destination du grand public, permettant aux clients de connaître leurs origines ethniques et leurs prédispositions à certaines pathologies.
Le succès fut considérable : à son apogée, 23andMe revendiquait avoir génotypé plus de 14 millions d’individus à travers le monde. Mais l’entreprise a connu une dégringolade brutale. Le 23 mars 2025, elle a déposé son bilan auprès du tribunal des faillites de l’Eastern District du Missouri (procédure Chapter 11), invoquant des difficultés financières persistantes. Le 14 juillet 2025, après une vente aux enchères judiciaire au cours de laquelle l’entité a notamment surpassé l’offre de Regeneron Pharmaceuticals (256 millions de dollars), c’est finalement TTAM Research Institute — un organisme à but non lucratif fondé par Anne Wojcicki elle-même — qui a racheté l’essentiel des actifs pour 305 millions de dollars.
Cette opération a immédiatement soulevé une controverse de taille. L’organisation Public Citizen, association américaine de défense des consommateurs, a dénoncé un montage juridique permettant à une entreprise privée en faillite de se débarrasser de ses dettes tout en récupérant son actif le plus précieux — la base de données génétiques de plus de 15 millions de personnes — sous une enveloppe associative reconvertie. L’épisode a déclenché aux États-Unis un débat parlementaire sur la nécessité de réformer le code des faillites pour mieux protéger les données sensibles en cas de défaillance d’entreprise.
La faille de sécurité de 2023
Avant même cette faillite, 23andMe avait été frappée par une fuite de données massive. Selon les éléments confirmés par l’entreprise auprès de la Securities and Exchange Commission en décembre 2023, environ 14 000 comptes utilisateurs ont été directement compromis entre avril et septembre 2023 via une attaque dite de credential stuffing — technique consistant à exploiter des combinaisons identifiants/mots de passe volées sur d’autres plateformes pour tenter de pénétrer des comptes 23andMe.
Mais l’effet en cascade s’est avéré bien plus grave : la fonctionnalité « DNA Relatives » de la plateforme, qui permet aux utilisateurs de retrouver leurs parents génétiques, a exposé les profils de 5,5 millions d’utilisateurs supplémentaires. La fonctionnalité « Family Tree » a quant à elle exposé 1,4 million de profils additionnels. Au total, ce sont environ 6,9 millions d’utilisateurs qui ont vu leurs données génétiques se retrouver exposées, dont certaines ont fait l’objet d’une mise en vente sur le forum criminel BreachForums.
Particularité préoccupante de cette fuite : elle a ciblé spécifiquement certaines communautés. Selon les rapports publiés par les autorités de protection des données canadienne (Commissariat à la protection de la vie privée) et britannique (ICO), les hackers ont prioritairement extrait des données d’utilisateurs d’origine juive ashkénaze ainsi que d’origine chinoise. Une dérive aux relents discriminatoires évidente, et qui rappelle que les données génétiques agglomérées en grand nombre peuvent servir à des opérations de ciblage ethnique d’une précision inédite.
Le cadre légal français : une protection théorique forte
Face à ces dérives, la position du droit français mérite d’être rappelée car elle tranche radicalement avec la culture américaine. La législation française interdit purement et simplement les tests ADN dits « récréatifs » ou « généalogiques ». L’article 16-10 du Code civil, dans sa rédaction modifiée par la loi du 6 août 2004, dispose explicitement que l’examen des caractéristiques génétiques d’une personne ne peut être entrepris qu’à des fins médicales ou de recherche scientifique, avec consentement écrit préalable.
L’identification par empreintes génétiques peut également être effectuée à des fins judiciaires depuis 2004 (procédure pénale, recherche de paternité ordonnée par un juge, identification de victimes). En dehors de ces trois cadres strictement encadrés, toute analyse génétique est prohibée sur le territoire français.
Les sanctions prévues par le Code pénal sont également claires. L’article 226-28-1, créé par la loi de bioéthique du 7 juillet 2011, prévoit une amende de 3 750 euros pour tout particulier sollicitant un examen de ses caractéristiques génétiques en dehors du cadre légal. L’article 226-28 prévoit quant à lui une amende pouvant atteindre 15 000 euros et un an d’emprisonnement pour les laboratoires ou entreprises qui procéderaient à des examens hors cadre légal.
Dans la pratique, comme le relève Hélène Guimiot, cheffe du service santé à la CNIL (Commission nationale de l’informatique et des libertés) interrogée par France Bleu, l’amende théorique pour les particuliers n’a, à ce jour, jamais été appliquée. Une zone grise s’est de fait installée, des dizaines de milliers de Français commandant ces kits sur Amazon ou directement sur les sites étrangers de MyHeritage, Ancestry, 23andMe ou Family Tree DNA, en faisant livrer les résultats sur le territoire national. Une enquête de l’Inserm publiée en 2019 estimait entre 100 000 et 200 000 le nombre de Français ayant déjà eu recours à ces tests interdits.
Le RGPD à l’épreuve des géants américains
La question fondamentale n’est cependant pas tant celle du droit applicable que celle de son effectivité réelle. Une fois la salive expédiée vers un laboratoire californien, britannique ou israélien, le RGPD européen ne joue plus qu’un rôle limité. Les transferts de données vers les États-Unis sont théoriquement encadrés par la décision d’exécution UE 2023/1795 de la Commission européenne (Data Privacy Framework), mais ce cadre a déjà été contesté à plusieurs reprises devant les juridictions européennes — les précédents accords Safe Harbor et Privacy Shield ayant été successivement invalidés par la Cour de justice de l’Union européenne.
Les requêtes gouvernementales américaines constituent un autre angle mort. Selon Wikipedia, citant l’article de Drabiak (2017), 23andMe a reçu publiquement quatre requêtes du FBI cherchant à accéder aux jeux de données des consommateurs avant 2017. L’entreprise affirme avoir refusé ces demandes. Mais cet épisode illustre une réalité tangible : les agences fédérales américaines considèrent ces bases comme des ressources d’enquête potentielles. Le Patriot Act et plusieurs autres dispositifs juridiques américains permettent par ailleurs aux autorités d’obtenir, sous certaines conditions, l’accès à des données détenues par des entreprises américaines, y compris lorsque ces données concernent des étrangers.
L’affaire Golden State Killer et le précédent généalogique
Un précédent judiciaire américain mérite d’être rappelé pour comprendre concrètement comment ces bases peuvent être exploitées par les forces de l’ordre. En 2018, le tueur en série californien Joseph James DeAngelo, surnommé le « Golden State Killer », a été identifié et arrêté après que des enquêteurs ont eu recours à la généalogie génétique. La méthode : faire analyser de l’ADN trouvé sur d’anciennes scènes de crime, puis comparer le profil obtenu aux bases de données généalogiques publiques (notamment GEDmatch) pour identifier des cousins éloignés du suspect, et remonter ainsi son arbre généalogique.
Cette technique d’enquête, désormais largement utilisée par les services de police américains, démontre que les bases généalogiques ne servent pas uniquement aux loisirs de leurs utilisateurs : elles deviennent des outils policiers de fait, sans que les millions de personnes ayant consenti au test initial aient jamais imaginé voir leur ADN servir à incriminer un parent éloigné ignoré.
La projet français Darmanin : reverser l’illégal au légal ?
Un autre développement récent mérite l’attention. Selon une publication de l’Institut de recherche et d’études en droit de l’information et de la communication (IREDIC) datée de décembre 2025, un projet de loi porté par le ministère de l’Intérieur sous l’égide de Gérald Darmanin envisagerait de récupérer, au profit du fichier national des empreintes génétiques (FNAEG), les ADN de Français issus de tests généalogiques pourtant interdits par la législation nationale.
Le paradoxe juridique est saisissant : l’État entendrait exploiter des données collectées en violation du droit français, par des entreprises étrangères opérant en zone grise, pour alimenter ses propres fichiers policiers. À l’heure actuelle, le FNAEG contenait environ 4,4 millions de profils ADN fin 2024. Un éventuel apport massif de données issues des bases généalogiques transformerait radicalement la nature et l’ampleur de ce fichier.
Quelles précautions pour les particuliers ?
Pour ceux qui seraient tentés par ces services, plusieurs conclusions s’imposent à la lecture des faits.
Premièrement, l’envoi de salive vers une entreprise étrangère implique de renoncer dans les faits à une grande partie des protections offertes par le droit français et le RGPD européen. Une fois la donnée transférée et stockée sur des serveurs californiens, britanniques ou israéliens, les recours juridiques deviennent largement théoriques. La capacité d’un particulier à obtenir l’effacement effectif de ses données ou à empêcher leur transmission à un tiers — assureur, employeur, repreneur en cas de faillite, agence gouvernementale étrangère — est extrêmement limitée.
Deuxièmement, ces données ne concernent pas que celui ou celle qui effectue le test. La logique des bases généalogiques fait que partager son ADN, c’est aussi partager indirectement les caractéristiques génétiques de ses parents, frères, sœurs, enfants, neveux et cousins, sans leur consentement préalable. L’affaire du Golden State Killer le démontre concrètement : un test commandé par un cousin éloigné peut suffire à remonter à un suspect ou à un porteur de pathologie ignoré.
Troisièmement, à la différence d’un mot de passe ou même d’un numéro de carte bancaire, une donnée génétique compromise est compromise à vie. Aucune procédure technique ne permet de « changer » son ADN après une fuite. Les 6,9 millions d’utilisateurs touchés par la brèche de 2023 ne disposent d’aucun moyen de récupérer leurs données ou d’en effacer les copies qui circulent désormais sur les forums criminels.
Quatrièmement, la valeur stratégique de ces bases agglomérées dépasse largement le cadre commercial. Médecine de précision, profilage assurantiel, recherche pharmaceutique, identification policière, marketing prédictif : autant d’usages déjà documentés, sans compter ceux qui restent invisibles pour le grand public. La concentration dans une seule structure — TTAM Research Institute aujourd’hui — du patrimoine génétique de 15 millions d’individus représente une asymétrie de pouvoir inédite dans l’histoire.
Un dossier loin d’être refermé
L’affaire 23andMe est encore en cours. Aux États-Unis, les recours collectifs liés à la fuite de 2023 se poursuivent, le délai de dépôt des demandes ayant été fixé au 17 février 2026. Le Congrès américain examine des propositions de réforme du Chapter 11 pour empêcher que des données ultrasensibles puissent ainsi changer de mains dans le cadre d’une procédure de faillite. Plusieurs États fédérés ont adopté ou étudient des législations spécifiques sur la propriété des données génétiques.
En Europe, le débat sur l’application effective du RGPD aux flux transatlantiques de données sensibles reste ouvert, alimenté par les recours déposés contre le Data Privacy Framework de 2023. La CNIL maintient son avertissement public contre les tests ADN récréatifs, mais sans engager de poursuites contre les particuliers ayant contourné l’interdiction. Et pendant ce temps, les kits continuent d’être vendus sans entrave sur Amazon et expédiés en France.
Les théories délirantes sur de prétendues recherches d’« hybrides extraterrestres » par la CIA détournent l’attention de ces réalités documentées, autrement plus tangibles. Le vrai sujet n’est pas la science-fiction, mais la dépossession progressive et silencieuse de ce qu’il y a de plus intime en chaque être humain — son code génétique — au profit d’acteurs économiques privés opérant hors de tout cadre démocratique national. Sur ce terrain, ni le droit français ni le droit européen n’ont à ce jour démontré leur capacité à protéger efficacement les citoyens.
Crédit photo : DR (photo d’illustration)
[cc] Article rédigé par la rédaction de breizh-info.com et relu et corrigé (orthographe, syntaxe) par une intelligence artificielle.
Breizh-info.com - 27/05/2026