|
Village de la Justice www.village-justice.com |
|
Données et informations génétiques personnelles : le nécessaire recadrage juridique. Par Bernard Perbal, Professeur.
|
|
Parution : mardi 15 juin 2021
Adresse de l'article original :
https://www.village-justice.com/articles/donnees-informations-genetiques-personnelles-necessaire-recadrage-juridique,39434.html Reproduction interdite sans autorisation de l'auteur. |
Le RGPD [1] et la CNIL (Commission Nationale Informatique et Liberté), qui a voulu s’ériger en « gendarme national » du respect des données personnelles ont été récemment la cible de critiques acerbes dénonçant leur incapacité à imposer au niveau international le respect des données personnelles [2].
L’enfant est malade. La CNIL doit s’affranchir des futilités normatives technocratiques.
Afin de mieux comprendre le malaise qui s’est installé vis à vis de la CNIL au sein d’un grand public, pour qui la notion de données à caractère personnel et des droits qui y sont associés reste assez floue, une analyse approfondie de l’évolution des textes législatifs et normatifs relatifs aux données individuelles a été entreprise. Elle pointe des incohérences normatives. Seul un véritable sursaut législatif permettrait d’éviter qu’elles ne deviennent des failles irréductibles.
Il faut rechercher dans les origines de la notion de vie privée pour identifier les racines profondes du concept d’informations personnelles et de son évolution récente à l’aune des progrès portés par le développement fulgurant des biotechnologies depuis le début du XXIe siècle.
La référence au concept de vie privée fortement défendu par les artisans de la révolution française disparaît des textes constitutionnels et législatifs dès 1793. Elle ne réapparaitra sporadiquement qu’à l’aube du XIXe siècle et refera surface en 1970, avec l’article 9 du Code Civil [3], soit vingt ans après l’émergence des textes qui consacraient, au niveau international, une acception et une reconnaissance très large du droit au respect de la vie privée en lui associant des piliers fondamentaux concernant des aspects immatériels de la vie personnelle [4].
Les craintes concernant les atteintes que pourraient faire peser les développements de l’informatique sur la vie privée personnelle, ont conduit dans les années 70 à l’élaboration, en Europe et aux Etats Unis, de textes législatifs [5].
En France, un projet de fichage général [6], fut dénoncé en 1974 dans un article du quotidien Le Monde [7].
Le sentiment d’inacceptable surveillance étatique déclenché par ces révélations eut pour effet le retrait du projet et l’arrêt immédiat de nouvelles interconnexions. Une loi relative à l’informatique, aux fichiers et aux libertés, promulguée le 6 janvier 1978 (dite Loi Informatique et Libertés), instituait la Commission Nationale de l’Informatique et des Libertés (CNIL) chargée d’informer les individus de leurs droits et obligations en « contrôlant les applications de l’informatique aux traitements des informations nominatives ».
La promulgation de la loi du 6 juillet 1978 relative à l’informatique, aux fichiers et aux libertés s’inscrivait dans un courant international, né du besoin grandissant de protéger les caractéristiques individuelles nominatives alimentant des fichiers dont l’exploitation ouvrait des horizons prometteurs aux institutions nationales et organisations privées.
L’article 4 de la loi du 6 janvier 1978 dispose
« Sont réputées nominatives, au sens de la présente loi, les informations qui permettent, sous quelque forme que ce soit, directement ou non, l’identification des personnes physiques auxquelles elles s’appliquent, que le traitement soit effectué par une personne physique ou par une personne morale ».
En instituant le concept « d’informations nominatives », la loi française de 1978 devenait un paradigme fondamental qui bouleversera le paysage juridique afférent à la protection de la vie privée personnelle. Ce fut une grande première aux nombreuses répercussions internationales.
A cette époque la notion de caractéristique individuelle nominative recouvrait les informations relatives à l’identité des individus, leurs numéros d’identification (tel que le NIR [8], appelé aussi numéro INSEE), des informations concernant leur localisation, un identifiant en ligne, ainsi que des éléments spécifiques propres à leur identité physique, physiologique, psychique, économique, culturelle ou sociale.
Quelques années plus tard, les évolutions technologiques ont fait naître un besoin d’encadrement des pratiques novatrices apparues dans plusieurs domaines de la médecine, qui s’est concrétisé par la promulgation de la loi de bioéthique de 1994.
C’est à cette occasion qu’a été introduit, dans la loi Informatique et Libertés de 1978 un chapitre concernant les « Traitements automatisés de "données nominatives" ayant pour fin la recherche dans le domaine de la santé (articles 40-1 à 40-10) ».
La modification législative introduit la notion ambiguë de « données nominatives », un flou sémantique qui amorçait un mélange des genres.
Le coup de grâce à la rigueur linguistique, juridique et scientifique sera porté par la directive 95/46/CE [9] qui sacrifiera une fraction de sa portée sur l’autel du consensus de l’union européenne.
C’est ainsi que l’article 2 de la directive définit les données à caractère personnel comme toute information concernant une personne physique [10].
Cette définition prendra le pas, dans la loi informatique et liberté, sur l’expression « d’information nominative » correctement utilisée depuis sa création le 6 janvier 1978 jusqu’à la loi du 6 août 2004 [11] qui, en transposant la directive 95/46/CE introduira dans les textes français, une définition des données à caractère personnel calquée sur celle de la directive [12].
L’assimilation du concept de « donnée » à celui d’ « information » est profondément incorrecte, à la fois sur un plan sémantique et sur un plan scientifique [13].
On appelle « donnée » tout caractère, nombre, mot, son, signe, qui, n’est pas informatif tant qu’il n’est pas interprété.
On parlera de données numériques, biochimiques, physiques, qualitatives, quantitatives etc.
Exploitées individuellement, les données n’ont pas de sens.
L’obtention d’informations à partir des données nécessite une ou plusieurs étapes de traitements, dont leur collecte et leur structuration [14].
Une distinction stricte des deux concepts est requise pour leur protection juridique spécifique. On aurait pu, à cet égard, attendre que la confusion des termes « donnée » et « information » soit levée par les nombreux juristes confirmés qui ont dû se livrer à une relecture critique des textes fondateurs du RGPD.
Malheureusement, l’incohérence issue de la directive 95/46/CE a été reprise et même élargie dans l’article 4 du RGPD qui amalgame allègrement les notions de données numériques ou biologiques avec des informations identifiantes en tout genre [15].
La définition apparaissant sur le site internet de la CNIL, après transposition du RGPD dans la législation française, est plus laconique mais persiste dans son imprécision [16].
Il est regrettable que cette confusion terminologique soit également utilisée dans plusieurs textes normatifs [17] qui servent aujourd’hui encore de piliers à des positions juridiques concernant les données à caractère personnel et les notions connexes de données sensibles génétiques et de santé.
La reconnaissance d’un droit individuel à la protection de biens tant matériels qu’immatériels, fut acquise, puis consolidée par la volonté des législateurs et des organismes internationaux d’édicter des textes encadrant au mieux les évolutions sociétales nées des révolutions technologiques qui ont marqué les siècles derniers.
Les progrès scientifiques furent considérables. Les efforts déployés par les juristes et dirigeants politiques pour que les lois gouvernent au mieux les rapports de l’individu à ces progrès furent intenses, même s’ils restent imparfaits.
Aujourd’hui confrontés à des évolutions de la connaissance scientifique biologique, portées par des biotechnologies aux potentialités sociétales fascinantes, les textes encadrant la protection de l’Homme et des sociétés doivent tenter d’apporter des réponses adaptées et agiles à des problématiques nouvelles qui surgissent très rapidement.
Alors que l’ADN avait été identifié dans la première moitié du siècle dernier, comme le support physique de la transmission des traits héréditaires [18], l’établissement, à l’aube du XXIe siècle, de la séquence quasi complète de l’ADN humain [19], a constitué une avancée technologique majeure.
En révolutionnant les méthodologies donnant accès aux bases moléculaires de la personnalité individuelle intime, la connaissance fine de l’organisation du génome a permis des approches plus rationnelles de la notion de données génétiques et d’informations identifiantes qui ne peuvent être ignorées (A).
Elles doivent impérativement être prises en compte pour actualiser de manière positive et productive des terminologies obsolètes, devenues inexactes et paralysantes. L’identification des bases moléculaires de polymorphismes constitutifs a posé les jalons d’une exploitation des données génétiques dans des domaines aussi variés que la médecine prédictive, les études généalogiques et le développement d’une très grande batterie de tests génétiques personnalisés visant à améliorer la qualité de vie des individus.
La protection des données individuelles et leur patrimonialité est au cœur de problématiques juridiques et économiques qu’il est important de bien analyser, à la lumière des connaissances concernant les bases moléculaires de la personnalité génétique (B).
A) L’arrangement physique des données génétiques sur l’ADN.
Les 3 milliards de paires de bases contenues dans chaque molécule d’ADN nucléaire humain constituent la majeure partie du patrimoine génétique des individus [20]. Leur arrangement, révélé par les méthodes de séquençage [21], définit l’identité génétique individuelle.
Transmise par notre héritage héréditaire individuel, notre identité génétique détermine notre apparence et nos comportements, caractéristiques elles-mêmes soumises aux influences et à la variabilité des composantes du microenvironnement et du milieu dans lequel l’organisme évolue (notion d’épigénétique).
Les données génétiques constituent le génotype propre à chaque individu.
On appelle phénotype individuel, permettant l’identification et la reconnaissance des individus, l’ensemble des caractéristiques physiques et comportementales visibles, informations résultant de l’interprétation des données par la machinerie cellulaire.
Compte tenu de ce qui précède et pour que les qualifications des données et des informations reflètent l’état actuel de nos connaissances biologiques, il faut abandonner l’amalgame des notions de données avec celles de caractéristiques identifiantes et employer une terminologie traduisant les relations hiérarchiques biologiques qui existent entre les différents types de données.
De manière opérationnelle il serait souhaitable et préférable d’utiliser par exemple, les qualifications suivantes :
1) Les données génétiques sont les blocs de séquences de l’ADN qui constituent le plan de construction des individus et leur identité génétique [22].
2) les données personnelles sont les données génétiques qui permettent de différencier les Hommes entre eux. Leur exploitation livre des informations identifiantes.
3) les données biométriques sont les données génétiques dont l’interprétation permet d’établir des caractéristiques physiques spécifiques à chaque individu. Les caractéristiques biométriques individuelles sont la manifestation physique de l’identité génétique personnelle [23].
Il est opportun à ce stade de remettre en question la pertinence de la notion de données de santé elle même, telle qu’elle est utilisée par la CNIL.
En effet, le RGPD définit les « données concernant la santé » comme « les données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne ». L’expression « qui révèlent » n’assimile pas les données à des informations mais laisse entendre que l’interprétation des données fournit des informations.
Par contre l’interprétation de la CNIL semble bien malheureuse, car elle jette une confusion terminologique encore plus large, en faisant entrer dans la définition des catégories de données qu’elle retient i) des données de santé par nature : antécédents médicaux, maladies, prestations de soins réalisés, résultats d’examens, traitements, handicap, etc. ii) des données de santé en ce qu’elles permettent de tirer une conclusion sur l’état de santé ou le risque pour la santé d’une personne : croisement d’une mesure de poids avec d’autres données (nombre de pas, mesure des apports caloriques…), croisement de la tension avec la mesure de l’effort, etc. et iii) celles qui deviennent des données de santé en raison de leur destination, c’est-à-dire de l’utilisation qui en est faite au plan médical.
Toute cette collection de données n’est qu’un ensemble d’informations qui sont en réalité des informations personnelles relatives à l’état biologique des individus, pathologique ou non. Elles ne correspondent pas au critère de donnée défini plus haut [24].
On peut regretter que les ajouts de la CNIL rendent la qualification des informations relatives à la santé confuse, incohérente et prisonnière de cadres technocratiques dont les effets peuvent être stérilisants [25].
B) Les données génétiques personnelles et le droit.
En droit, l’ADN est souvent considéré comme un produit du corps et de ce fait est soumis aux règles de droit applicables aux objets détachés du corps.
Le frein exercé à l’encontre d’un ajustement de règles dont « il faut à tout prix empêcher l’obsolescence », est l’exemple même d’une conception archaïque de l’Homme aujourd’hui confrontée à une évolution galopante des concepts de propriété du soi et des progrès fulgurants de la Science.
Le droit n’a d’autre choix que de reconnaitre l’Homme comme le produit de l’ADN, même si cette conception relationnelle heurte certaines idéologies qui paralysent la pensée critique.
La nécessité de protéger de manière distincte les données génétiques et les informations générées par leur exploitation est justifiée par le fait qu’elles sont des entités distinctes.
Le support physique des données personnelles génétiques est la molécule d’ADN alors que les informations qui en sont déduites par des sociétés spécialisées sont le résultat de processus d’analyses et de comparaisons mettant en jeu des algorithmes complexes.
Lorsqu’un individu confie son matériel génomique à une entreprise de génotypage, il fournit des données génétiques qui ne changent pas avec le temps.
Par contre, la qualité et la quantité des informations qui seront obtenues par l’entreprise après l’exploitation des données, sont étroitement dépendantes de la somme de connaissances disponibles au moment où sont effectués les traitements.
On ne peut donc regrouper sous une qualification unique les données génétiques de l’individu et les informations qu’elles peuvent livrer.
Ces considérations conditionnent étroitement une éventuelle patrimonialité des données et de l’information.
Les données personnelles, telles que définies par leur origine génétique et identifiées à des data, sont devenues des ressources convoitées par les mondes de l’économie, du commerce électronique, de la biomédecine et de la criminologie.
La dématérialisation des caractéristiques individuelles qui en a découlé a provoqué une immense vague de problèmes et différends relatifs aux modalités de collecte, traitement, diffusion et conservation de ces données, ainsi qu’à la patrimonialité des données et de l’information.
L’actualité récente, montre combien l’intérêt économique des données génétiques dans un marché économiquement en pleine croissance [26], peut avoir de conséquences néfastes vis à vis de la protection des données et informations personnelles intimes.
On retiendra ici i) l’installation dans les Monoprix de cabines permettant aux clients d’accéder à leur espace santé et de profiter d’une téléconsultation, ii) la cotation en bourse de la société 23andMe qui détient à ce jour plusieurs millions d’échantillons d’ADN qui lui ont été confiés par les internautes et iii) l’annonce d’un accord entre la compagnie pharmaceutique Pfizer et l’Etat d’Israël, pour que ce dernier fournisse, en échange de livraisons accélérées de vaccins, les informations médicales digitalisées concernant les effets de la campagne d’immunisation entamée sur sa population, dès la fin 2020 [27].
Toute proposition visant à établir une notion de patrimonialité du soi génétique individuel, doit prendre en compte le fait que son support physique est constitué par un ensemble de données à la fois uniques à la personne et partagées en partie par les membres de sa famille.
La quantité des données partagées par une fratrie pourrait sembler assez grande, au premier abord, pour qu’elle puisse en justifier une certaine copropriété [28].
Cependant, l’idée d’une copropriété des composants génétiques de l’ADN ou des informations issues de son exploitation est incompatible avec la nature même des données génétiques et de leur plasticité tenant à leur mode de transmission et aux influences épigénétiques du milieu biologique environnemental.
Une telle proposition est aussi affaiblie par le fait que la plus grande quantité des séquences nucléotidiques constituant les génomes humains est très conservée au sein de l’espèce [29].
Pour être un homme au sens anthropologique du terme, l’individu doit utiliser une base génétique commune, qu’il partage avec les autres [30] et qui constitue notre « moi » génétique [31].
On ne peut pour autant négliger la très grande spécificité génomique individuelle, sur laquelle il est légitime de vouloir exercer un droit de patrimonialité.
Dans ce contexte, définir un statut juridique aux ressources génétiques humaines n’est pas une tâche aisée.
A) Les écueils à une réglementation souple et adaptée au contexte évolutif.
L’amalgame entre données et information a entraîné une dénaturation nuisible des textes fondateurs pionniers et de la singularité de la loi française de 1978.
On peut regretter que la France se soit rangée docilement derrière les choix linguistiques des instances européennes en transposant mot pour mot des définitions lourdes de conséquences pour l’avenir de concepts essentiels, alors que les procédures de transposition laissent aux États membres une certaine latitude d’adaptation.
Si l’on doit reconnaître que les textes européens ont dans l’ensemble confirmé la volonté française de protéger l’exploitation des informations nominatives identifiantes (telles que le nom, l’adresse postale ou le numéro d’identification nationale), il est regrettable que les rédacteurs aient évité de prendre en compte les progrès gigantesques des connaissances biotechnologiques déclenchés par le séquençage du génome humain en 2001. Le texte adopté en 2016 ignore totalement l’évolution du déchiffrage des données génétiques sur lesquelles sont fondés tous les aspects modernes de leur exploitation qui doit plus que jamais être protégée efficacement.
Créé par la loi 94-654 de bioéthique de 1994 [32] le troisième alinéa de l’article 16-1 du Code civil dispose « le corps humain, ses éléments et ses produits ne peuvent faire l’objet d’un droit patrimonial ».
Cet alinéa, publié plus d’un demi-siècle après l’identification de l’ADN comme support physique de l’hérédité, ne s’applique pas au génome humain.
La biologie nous a enseigné de longue date que l’Homme est construit et fonctionne selon le patron des données génétiques que son ADN contient.
C’est bien l’Homme qui est le produit de l’ADN et non pas l’inverse.
B) Comment adapter les normes au monde actuel.
Malgré toute l’imprécision qu’on peut lui reprocher, le RGPD fournit une pierre d’angle à cette approche puisqu’il reconnaît implicitement, au travers des articles concernant les droits d’accès, d’opposition, de rétraction et de portabilité que la personne concernée est propriétaire de ses données.
La patrimonialité des données ainsi consacrée par le règlement, est en contradiction avec les articles 16 et suivants du code civil, et la loi de bioéthique de 2011 qui apparaissent aujourd’hui comme obsolètes et bloquants [33].
La patrimonialité implicite des données, érigée par le RGPD, doit cependant être restreinte à la propriété dépourvue de monétisation [34].
L’Homme est dépositaire d’un patrimoine génétique qu’il a reçu et qu’il transmet mais sur lequel il ne doit avoir qu’un pouvoir limité, devant faire l’objet d’une réglementation adaptée.
L’ADN support physique confère à ces données une qualité d’objet de droit comme les éléments du corps, les cellules dont il est issu. Elle ne peuvent être considérées comme un bien immatériel, puisque sans elles il n’y a pas de corps. Elles doivent donc sortir de la qualification de biens de la personnalité.
Ces considérations mériteraient d’être abordées dans des débats dépassionnés fondés sur les acquis de la biologie, en dehors de toute considération morale ou philosophique.
Le droit français des biens pourrait permettre de prendre le recul nécessaire en fournissant une piste intéressante à exploiter permettant de définir les statuts juridiques des données et des informations génétiques. En effet, les articles 570 à 572 du Code Civil consacrent l’attribution de la propriété d’un bien nouvellement conçu à celui qui a créé ou transformé notablement le produit de départ par son savoir faire [35].
La notion d’acquisition par spécification s’applique parfaitement au cas des données génétiques, qui acquièrent une valeur commerciale uniquement au travers des informations obtenues après leur traitement et interprétation selon des procédés techniques performants.
On peut distinguer trois niveaux que sont i) les données brutes sur l’ADN sans valeur pécuniaire intrinsèque, ii) la recherche et l’identification par l’entreprise d’un polymorphisme d’intérêt, et iii) la comparaison des séquences avec des bases de données et la recherche de parenté entre le phénotype d’intérêt et le polymorphisme identifié.
C’est cette dernière étape qui est informative.
Aujourd’hui, dans le monde du génotypage généalogique commercial, les données génétiques appartiennent à la personne qui les confie à une entreprise de génotypage qualifiée, privée ou publique. Il est nécessaire que le droit international respecte ce principe.
Cette dernière est propriétaire des informations tirées de ces données sans que la personne « donneuse » ait un droit quelconque sur ces informations.
Le marché qui existe depuis plusieurs années est alimenté en partie, par les données personnelles de français qui envoient à l’étranger leur ADN puisqu’ils ne peuvent le faire analyser en France.
Offrir au public qui le désire un accès possible à des aspects de sa vie personnelle sur laquelle il souhaite conserver le levier fourni par le RGPD, éviterait le tourisme génétique, responsable d’une regrettable fuite de données vers l’étranger.
Il est prévisible que les blocages de principe, dépourvus de fondement scientifique, auront des conséquences sociales graves à long terme.
Le redressement est encore possible. Seule une véritable prise de conscience des autorités compétentes permettra de s’affranchir de la mainmise des nations étrangères sur notre patrimoine génétique.
On l’aura bien compris, rien ne s’oppose aujourd’hui à une modification par la France de la qualification obsolète des données génétiques qui regroupent tous les éléments du plan de construction humain et à une adaptation de la définition des différents types de données prenant en compte leur origine génétique.
Une réforme appropriée des textes, aurait pour effet d’attribuer aux données une qualification juridique adéquate permettant de les différencier des informations phénotypiques, aujourd’hui objets d’une exploitation commerciale intense.
Elle permettrait aussi à la CNIL et à la France de retrouver une place de leader mondial dans des domaines biotechnologiques pour lesquels la défense des informations identifiantes et de leur support génétique est indispensable.
Professeur Bernard Perbal, Docteur es Sciences, Docteur en droit[1] En application de son article 99 au journal officiel de l’Union européenne du 4 mai 2016, le règlement (UE) 2016/679, du Parlement européen et du Conseil du 27 avril 2016, est entré en vigueur le 4 mai 2016 et devenait applicable au 25 mai 2018. Obligatoire dans tous ses éléments et directement applicable dans tout Etat membre, le RGP constituait l’aboutissement de plusieurs années de travail dont les objectifs annoncés devaient marquer un tournant majeur dans « la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ».
[2] A. Steinnmann « RGPD, CNIL : le constat de l’échec » Journal du Net - 02 juin 2021 ; N. Jaimes « Règles CNIL : 86% des sites français s’y plient, 82% des étrangers s’en moquent » Journal du Net - 09 juin 2021.
[3] Article 9 du Code civil Créé par Loi 1803-03-08 promulguée le 18 mars 1803, Modifié par Loi 1927-08-10 art. 13, par Loi n°70-643 du 17 juillet 1970 - art. 22 JORF 19 juillet 1970, et par Loi n°94-653 du 29 juillet 1994 - art. 1 JORF 30 juillet 1994 §1 Chacun a droit au respect de sa vie privée. §2 Les juges peuvent, sans préjudice de la réparation du dommage subi, prescrire toutes mesures, telles que séquestre, saisie et autres, propres à empêcher ou faire cesser une atteinte à l’intimité de la vie privée : ces mesures peuvent, s’il y a urgence, être ordonnées en référé.
[4] B. Perbal « Les données personnelles et la propriété du soi » Thèse de droit (2018) Université Côte d’Azur.
[5] La première loi relative au « traitement informatisé des informations nominatives » fut adoptée le 7 octobre 1970 par le Land de Hesse, suivie par la loi suédoise n° 289 du 11 mai 1973 et le Privacy Act américain (5 USC § 552 a) du 31 décembre 1974.
[6] L’INSEE (Institut national de la statistique et des études économiques) décidait de centraliser en 1971 les répertoires d’identification à Nantes dans le cadre de la mise en place d’un « Système Automatisé pour les Fichiers Administratifs et le Répertoire des Individus » (projet Safari) et de fusionner ces données en février 1972, avec le fichier national des assurés de la caisse nationale d’assurance vieillesse qui comprenait les adresses de toutes les personnes répertoriées.
[7] P. Boucher « Une division de l’informatique est créée à la chancellerie "Safari " ou la chasse aux Français » Le Monde p 9, 21 mars 1974.
[8] NIR ou NIRPP : numéro d’inscription au répertoire national d’identification des personnes.
[9] Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données - Journal officiel n° L 281 du 23/11/1995 p. 0031 - 0050
[10] Le deuxième alinéa de l’article 2 dispose qu’« aux fins de la présente directive, on entend par « données à caractère personnel » : toute information concernant une personne physique identifiée ou identifiable (personne concernée) ; est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale ».
[11] Loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
[12] Le deuxième alinéa de l’article 2 de la loi de 1978 consolidée dispose « Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres ».
[13] B. Perbal Données et Informations Génétiques : un flou sémantique et scientifique préjudiciable à leur protection juridique. Village de la justice 16 août 2019.
[14] Pour un rappel sur les notions de données et d’information, voir https://ecoledesdonnees.org
[15] Les « données à caractère personnel » sont définies à l’Article 4 du RGPD comme « toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée « personne concernée ») ; est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ».
[16] Dernière consultation en date du 16 mai 2021 « Une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable ».
[17] Voir par exemple, l’article 16 du Traité sur le fonctionnement de l’Union européenne (TFUE), les articles 7 et 8 de la Charte des droits fondamentaux de l’Union européenne, le traité n°108 (Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel), ou l’avis 130 récent du Comité Consultatif National d’éthique (CCNE) rendu public le 29 mai 2019.
[18] La transmission des traits héréditaires fut associée à la présence de chromosomes présents dans le noyau des cellules en 1848 par W. Hofmeister. Les travaux de T.H. Morgan et coll. en 1919 et ceux de O.T. Avery et coll. en 1944 ont identifié l’ADN comme la base physique de l’hérédité.
[19] Travaux de J. C. Venter et coll. et de E. S. Lander et coll. (publiés dans Nature en 2001). On appelle « séquençage » une méthodologie permettant d’établir l’ordre des constituants de l’ADN. La « séquence » des nucléotides détermine celle des acides aminés composant les protéines. Cette opération nécessite le déchiffrage du code génétique.
[20] L’ensemble du matériel génétique (appelé génome) contenant toutes les données génétiques de l’organisme, est contenu dans l’ADN présent dans le noyau de toutes les cellules de l’organisme (à l’exception des globules rouges qui ne contiennent pas de noyau), et pour une petite fraction (16 569 paires de bases) dans l’ADN des mitochondries cellulaires.
[21] Les molécules d’ADN sont formées d’un enchaînement de motifs élémentaires appelés nucléotides, eux-mêmes constitués par l’assemblage d’une base (il en existe 4 principales), d’un sucre et d’un résidu phosphate. L’arrangement des différents motifs que les scientifiques appellent séquence nucléotidique, est commun à tous les membres d’une même espèce. Les variations propres à chaque individu sont la base du polymorphisme de nucléotide unique (Single Nucleotide Polymorphism ou SNP) responsable d’environ 90% de la variabilité génétique humaine. Il est utilisé à des fins d’identification généalogique ou criminalistique par exemple.
[22] L’ensemble des données génétiques est le « patron » humain de base qui fait de nous des homininés de l’espèce « homo sapiens » distinguables, au premier regard, des autres espèces animales.
[23] Un exemple bien connu d’identification des individus est fondé sur la détermination génétique des dermatoglyphes dessinées par les crêtes dermiques sur les doigts, les orteils, la face palmaire de la plante des pieds et des mains qui sont utilisées lors du relevé d’empreintes digitales.
[24] Par exemple, si l’on considère une maladie telle que la drépanocytose, il est incorrect d’utiliser le terme de « donnée de santé » pour les symptômes ( pâleur et une fatigue chronique) qui résultent de la mutation d’un gène impliqué dans la synthèse de l’hémoglobine. La vraie donnée est l’altération génétique de la séquence d’ADN codant pour une des deux protéines constitutives de l’hémoglobine.
[25] La définition très (trop) large des données de santé retenue par la CNIL interfère avec le développement d’objets connectés utilisant des informations personnelles et à toute tentative d’exploiter les données génétiques qui fourniraient des indicateurs utilisables pour améliorer le bien être physique et psychologique des personnes. Les partisans d’un encadrement strict de l’interdiction inconditionnelle visant l’accès des individus à leur génome, s’appuient sur les freins érigés par la CNIL dans le domaine des « données de santé » pour interférer avec les utilisations non médicales des informations qualifiées de « données génétiques ». C’est ainsi que l’on peut entendre des « spécialistes de plateau » nier l’intérêt de nouvelles études ouvrant des possibilités réelles de la nutrigénomique et de la cosmétogénomique, au motif qu’elles auraient des conséquences potentiellement dangereuses pour leur utilisateurs(trices), alors qu’aucun argument scientifique n’appuie de telles affirmations. Cette argumentation rappelle les craintes soulevées, il y a plus de 200 ans, à l’encontre du développement des automobiles au motif que des passants pourraient être renversés ou écrasés par ces engins ! Exprimées au nom de la liberté de pensée, les oppositions à l’utilisation des données génétiques sont des atteintes à la liberté individuelle et un frein au progrès social.
[26] Une étude de Global Market Insights,Inc publiées en 2021 prédit que le marché des tests génétiques en accès libre aux USA atteindra 2,5 milliards de dollars en 2025. Les domaines porteurs concernent la généalogie moléculaire, le bien être, le mode de vie, et les indicateurs non médicaux de santé physique et psychologique. Le rapport de BIS Research publié en 2019, prévoyait que la progression rapide du marché global des tests génétiques en libre accès, pourrait atteindre 6,36 milliards de dollars en 2028.
[27] i) en dépit de tous les risques associés à la transmission d’informations hautement sensibles au sein d’un espace privé ; ii) qui met sur le marché des informations génétiques à haute valeur ajoutée dont les groupes pharmaceutiques sont friands dans la course à l’innovation et iii) la marchandisation des informations personnelles sensibles qui selon les médias favorables permettront aux Israéliens vaccinés de « jouir du retour à la liberté sociale et de la vie en plein air, grâce à l’obtention d’un passeport vaccinal » alors que la mise en application du passeport vaccinal et des vérifications par QR code soulèvent par ailleurs bien des levées de bouclier au regard de la protection des données personnelles.
[28] N. Ram « DNA by the Entirety » University of Baltimore Legal Studies Research Paper N°2015-33, 115 : 872-939, correspondant en France à la propriété indivise : F.D. JONAS « Etats-Unis, les systèmes de common law » In RDIC (1965) Vol 17 n°3 pp 661-668.
[29] La comparaison de séquences globales d’ADN provenant de deux individus non civilement apparentés indique qu’ils partagent 99,9% d’identité génétique et ne diffèrent que par 0,1% de la totalité de leurs séquences, ce qui représente tout de même 3 millions de paires de bases.
[30] A cette fraction de notre génome pourrait s’appliquer l’article 714 du Code civil qui dispose « Il est des choses qui n’appartiennent à personne et dont l’usage est commun à tous ».
[31] Par analogie au modèle d’interactionnisme symbolique introduit par G.H.Mead en 1934 (voir Mind, self, and Society traduit en 2003 par « l’esprit, le soi et la société ») on peut considérer que le « soi » biologique, correspond aux manifestations visibles de notre personnalité génétique intimement enfouie au plus profond de nous-même (notre « je »). Ici, le « moi » biologique humain est défini par des caractéristiques, qui, prises dans leur ensemble, distinguent les Hommes des autres espèces du monde vivant animal, végétal ou microbiologique et en particulier de leurs cousins les plus proches dans la classification phylogénétique.
[32] Loi n° 94-654 du 29 juillet 1994 relative au don et à l’utilisation des éléments et produits du corps humain, à l’assistance médicale, à la procréation et au diagnostic prénatal.
[33] Créé par la loi 04-653 du 29 juillet 1994, soit 6 ans avant le séquençage total de l’ADN humain, le premier alinéa de l’article 16-10 du Code civil, (toujours en vigueur en 2021 !) dispose : « L’examen des caractéristiques génétiques d’une personne ne peut être entrepris qu’à des fins médicales ou de recherche scientifique », et l’article 226-28-1 du Code pénal créé par la loi de bioéthique en 2011, dispose « Le fait, pour une personne, de solliciter l’examen de ses caractéristiques génétiques ou de celles d’un tiers ou l’identification d’une personne par ses empreintes génétiques en dehors des conditions prévues par la loi est puni de 3 750 € d’amende ».
Ces restrictions et interdictions édictées dans l’ignorance des progrès biotechnologiques sont toujours âprement défendues par certains parlementaires, malgré la demande pressante exprimée par plus de 50% de la population française, qui souhaite avoir accès à son génome et pouvoir faire réaliser, si elle le désire, des tests de confort ou de filiations généalogiques établies sur la base de comparaison génétiques moléculaires. Il est de notoriété publique que plusieurs centaines de milliers de français ont fait usage de trousses de prélèvement buccal d’ADN fournies par des entreprises étrangères, dont l’une avait même pu bénéficier d’un droit de publicité sur les chaines de télévision françaises !
Les comptes rendus de débats qui se sont déroulés en 2019 et 2020 au Sénat et à l’Assemblée nationale au sujet de la libéralisation des tests génétiques non médicaux montrent à quel point la France est en chute libre dans la gestion objective de ce sujet sociétal brûlant.
Très maladroitement qualifiés péjorativement de « récréatifs » alors qu’ils touchent à des motivations personnelles intimes, ces tests sont négligés, voire raillés par un pouvoir législatif qui, au lieu d’entreprendre une véritable éducation du public fasciné par les potentialités de la génétique moléculaire, semble préférer baisser les bras et accepter que la fuite des données génétiques des français perdure et alimente la manne des millions de données collectées et exploitées en particulier aux USA.
[34] En accord avec l’article 16-5 du code civil qui dispose « Les conventions ayant pour effet de conférer une valeur patrimoniale au corps humain, à ses éléments ou à ses produits sont nulles ».
[35] Voir à ce sujet l’exemple développé par Me S. Astier « Co-responsables de traitements : qui est propriétaire des données ? » 2017 https://www.haas-avocats.com/data/co-responsables-de-traitements-qui-est-proprietaires-des-donnees/