Passer au contenu principal
Ce site utilise des témoins de connexion (« cookies ») en conformité avec notre politique de vie privée. En continuant à utiliser ce site, vous acceptez notre utilisation des témoins de connexion.
Bulletin

Tests génétiques et protection des renseignements personnels : Penser le code de l’avenir ?

Fasken
Temps de lecture 21 minutes S'inscrire

Bulletin Protection des renseignements confidentiels, vie privée et cybersécurité

L'industrie des tests génétiques destinés aux consommateurs produit une quantité sans précédent de données génétiques, ce qui incidemment donne aux milieux médicaux et de la recherche la capacité de recueillir et d'analyser un éventail beaucoup plus vaste et diversifié de données génétiques. Si la richesse de l'information produite par l'industrie des tests génétiques apparaît comme une véritable aubaine pour la recherche médicale et scientifique, elle suscite également l'intérêt d'autres secteurs, en particulier de la part des compagnies d'assurance, de l'industrie pharmaceutique, des institutions financières et des autorités publiques. À mesure que ce domaine  gagne en popularité et que la technologie se démocratise au consommateur moyen, il est de plus en plus évident que la protection de la vie privée et des renseignements personnels sera l'un des sujets « chauds » pour l'avenir, alors que des intérêts (parfois) concurrents se chevauchent pour avoir accès à cette nouvelle source d'information.

État des lieux de l'industrie des tests génétiques

Comme en témoignent la plupart des rapports, le marché de l'industrie des tests génétiques aux consommateurs triplera en taille au cours des quatre prochaines années (de près de 100 millions de dollars en 2017 à plus de 300 millions de dollars en 2022). Cet engouement est notamment stimulé par le manque de réglementation dans les pays où se trouve la majorité de ces entreprises, notamment les États-Unis et la Chine. Alors que dans de nombreux pays les lois sur la protection des renseignements personnels interdisent aux entreprises offrant des tests génétiques aux consommateurs de divulguer des renseignements génétiques confidentiels dans certaines circonstances, l'agence américaine Food and Drug Administration (« FDA ») facilite le processus d'approbation des tests génétiques, rendant le séquençage du génome entier infiniment plus accessible aux consommateurs.

En outre, l'industrie des tests génétiques a connu un afflux de nouveaux investissements dans le contexte de l'intérêt accru des sociétés pharmaceutiques qui espèrent puiser dans les bases de données génétiques, à la recherche de nouvelles connaissances médicales et de nouveaux traitements. Un partenariat a récemment été conclu entre une société offrant des tests génétiques et une société pharmaceutique, soit la mise en place d'une entente de collaboration exclusive pour les programmes de découverte de cibles pharmaceutiques, donnant à la société pharmaceutique un accès exclusif à la base de données génétiques de la société offrant des tests et à des analyses statistiques internes.

En général, les normes de l'industrie et les lois applicables considèrent les données génétiques comme des renseignements sensibles, justifiant une norme élevée de protection de l'information, particulièrement parce qu'elles peuvent être utilisées pour identifier une prédisposition à une condition médicale, ou révéler des renseignements sur des tiers, à savoir la parenté biologique (y compris les futurs enfants) ou d'autres individus partageant une même base génétique, ou même contenir des renseignements dont les répercussions peuvent ne pas être pleinement comprises au moment de la collecte. Plus fondamentalement, les données génétiques ont une grande portée et, prises sous forme agrégée, peuvent avoir un effet considérable sur des communautés.

Développements récents en matière de protection des données

Le 31 juillet 2018, le Future of Privacy Forum (« FPF »), un groupe de réflexion américain sur la protection des renseignements personnels, a publié un ensemble de lignes directrices sur les pratiques exemplaires dans l'industrie des tests génétiques destinés aux consommateurs. Nombre d'entreprises offrant des tests génétiques se sont engagées à suivre ces lignes directrices facultatives en vue de rendre leurs pratiques plus transparentes tout en tenant compte des préoccupations de plus en plus nombreuses concernant la protection de la vie privée (qui sont liées aux tests génétiques destinés directement aux consommateurs). Ces lignes directrices ont été publiées à la suite, entre autres événements récents, d'un incident de sécurité au sein d'une entreprise offrant des tests génétiques où un nombre important de comptes d'utilisateurs ont été piratés. Bien que les pirates n'ont finalement eu accès qu'à des courriels et des mots de passe cryptés, ce type d'incident pourrait se multiplier à mesure que les tests génétiques des consommateurs se démocratisent. Il convient de souligner qu'un incident de sécurité visant des données génétiques est susceptible d'être beaucoup plus grave que lorsque cela concerne des cartes de crédit, par exemple, étant donné que l'information génétique est immuable. Par ailleurs, certaines sociétés offrant des tests génétiques recueillent des renseignements à partir du profil des clients qui se connectent à leurs sites Web via d'autres comptes de médias sociaux, ce qui augmente encore les risques en cas d'incident de sécurité.

Les lignes directrices du FPF prévoient que les entreprises offrant des tests génétiques doivent obtenir un « consentement exprès initial » pour la collecte et l'analyse des données et un « consentement exprès distinct » pour le transfert de données génétiques à des tiers. Les entreprises offrant des tests seront également tenues d'obtenir un « consentement éclairé » pour mener des recherches sur les données génétiques, confirmant la nature facultative de ces recherches. Les lignes directrices prévoient par ailleurs le droit pour les consommateurs d'accéder à leurs données génétiques ou de les faire effacer, et d'être informés (aussi rapidement et clairement que possible) dans l'éventualité où les données doivent être divulguées aux autorités publiques. Elles exigent des mesures de responsabilisation accrues par la désignation d'une personne responsable du bon respect des lignes directrices du FPF ainsi que des mesures de sécurité accrues pour prévenir l'accès non autorisé ou tout autre type d'atteinte à la protection des données.

L'un des domaines du partage des données et de la protection des renseignements personnels qui n'est pas touché par les lignes directrices est celui de la recherche médicale anonyme. Ainsi, les entreprises offrant des tests génétiques peuvent transférer des données génétiques « dépersonnalisées » à des tiers, à condition que le consommateur y ait préalablement consenti. Les données « dépersonnalisées » sont définies comme étant « des renseignements qui ne comportent pas d'identificateurs directs ou indirects de sorte que l'information ne peut être raisonnablement associée à une personne ». Il est entendu que dans le cadre des lignes directrices du FPF, les services de tests génétiques n'ont pas à aviser les consommateurs lorsque leurs données ont été « dépersonnalisées » et transférées ou vendues à un tiers à des fins de recherche ou d'analyse.

Cadre légal actuel en matière de protection des renseignements personnels

Il convient de mentionner que les lignes directrices du FPF s'inspirent, dans une certaine mesure, des lois et règlements récents en matière de protection des renseignements personnels, à savoir le Règlement général sur la protection des données européen (« RGPD »), qui est entré pleinement en vigueur le 25 mai 2018, et le California Consumer Privacy Protection Act (« CPPA »), qui sera applicable à compter du 1er janvier 2020. Tant le RGPD que le CPPA prévoient le droit d'une personne d'accéder à ses données et de les faire effacer (bien que le CPPA n'ait pas la même portée que le RGPD à cet égard). Tout comme les lignes directrices du FPF, le RGPD prévoit le consentement exprès au traitement et au partage de données personnelles « sensibles », y compris les données génétiques. De plus, le RGPD et le CPPA exigent la mise en œuvre de mesures de protection administratives et techniques, notamment la dépersonnalisation (ou « pseudonymisation ») des données personnelles. 

Aux États-Unis, le Health Insurance Portability and Accountability Act (« HIPAA ») et le Genetic Information Non-discrimination Act (« GINA ») sont d'autres lois pertinentes auxquelles l'industrie des tests génétiques doit se conformer. En vertu de HIPAA, il est interdit aux compagnies d'assurance d'utiliser et de divulguer des renseignements génétiques pour la souscription de polices d'assurance maladie. HIPAA, cependant, ne s'étend pas aux polices d'assurance à long terme, y compris l'assurance vie et l'assurance invalidité. En vertu du GINA, les personnes sont protégées contre la discrimination génétique par les assureurs de soins de santé et les employeurs, mais là encore les régimes d'assurance à long terme ne sont pas couverts.

Au Canada, la Loi sur la non-discrimination génétique (« LNDG »), qui est entrée en vigueur le 4 mai 2017, érige en infraction criminelle le fait de conclure tout type de contrat qui impose des tests génétiques obligatoires ou la divulgation des résultats de tests génétiques, ou de refuser des services à une personne en fonction de ces résultats. Par exemple, un employeur ou une compagnie d'assurance ne pourrait pas exiger qu'un employé ou un client éventuel soit soumis à un test génétique ou en révèle les résultats comme condition d'emploi ou de couverture d'assurance. La LNDG interdit également la collecte, l'utilisation et la divulgation des résultats des tests génétiques d'une personne sans son consentement écrit. La peine maximale pour une infraction à la LNDG est une amende pouvant aller jusqu'à un million de dollars et une peine d'emprisonnement pouvant aller jusqu'à cinq ans. Notons ici que le gouvernement du Québec conteste actuellement la constitutionnalité de la LNDG devant la Cour d'appel du Québec, faisant valoir que cette loi ne relève pas de la compétence fédérale, car elle empiète notamment sur la réglementation de l'industrie de l'assurance étant de compétence provinciale.

Les autres lois canadiennes pertinentes en la matière comprennent la Loi sur la protection des renseignements personnels et des documents électroniques (« LPRPDÉ »), la Loi sur la protection des renseignements personnels dans le secteur privé du Québec (« Loi sur le secteur privé du Québec ») et la Loi sur la protection des renseignements personnels sur la santé de l'Ontario (« LPRPS »). Ce cadre législatif, dans son ensemble, restreint le partage de renseignements personnels avec des tiers. Toutefois, ni la LPRPDÉ, ni la Loi sur le secteur privé du Québec, ni la LPRPS ne mentionnent explicitement que les renseignements personnels comprennent les données génétiques. La LPRPDÉ et la LPRPS définissent les renseignements personnels sur la santé comme étant liés à la santé physique d'une personne et, conformément à la LPRPS, cela comprend les renseignements qui se rapportent aux antécédents médicaux de la famille de la personne.

En ce qui concerne le consentement, sa nature et les circonstances dans lesquelles il est donné varient d'une loi à l'autre. La LPRPDÉ autorise le consentement implicite, mais suggère qu'il soit explicite pour le traitement et le partage de renseignements sensibles, ce qui pourrait inclure les données génétiques. La Loi sur le secteur privé du Québec prévoit un consentement explicite pour tout traitement de renseignements personnels sauf dans certaines circonstances. L'une d'entre elles permet de ne pas exiger de consentement supplémentaire pour le partage de ces renseignements avec des tiers dans la mesure où leur divulgation sert un but sérieux et légitime et s'effectue dans l'intérêt de la personne. Enfin, la LPRPS permet le consentement implicite, mais exige qu'il soit explicite pour le partage de renseignements personnels sur la santé avec un tiers qui n'est pas défini comme « dépositaire de renseignements sur la santé ». Il convient de noter que les compagnies d'assurance ne sont pas, en vertu de la LPRPS, considérées comme « dépositaires de renseignements sur la santé ». Toutefois, on pourrait soutenir le contraire à l'égard des entreprises offrant des tests génétiques.

Enfin, la seconde édition de l'Énoncé de politique des trois Conseils (« EPTC2 ») comprend un chapitre entier à propos de la recherche en génétique humaine. Bien que l'EPTC2 n'ait pas force exécutoire, toutes les recherches réalisées sous l'égide du Conseil de recherche en sciences humaines du Canada (CRSH), du Conseil de recherches en sciences naturelles et en génie du Canada (CRSNG) ou des Instituts de recherche en santé du Canada (IRSC), c.-à-d. les dénommés trois conseils, doivent respecter les normes établies par l'EPTC2. En pratique, les études effectuées dans les hôpitaux canadiens ou dans un contexte universitaire sont presque toujours assujetties à l'EPTC2. À première vue, l'impact de l'EPCT2 peut paraître limité pour l'industrie des tests génétiques destinés aux consommateurs, mais la quantité impressionnante de données réelles collectées par cette industrie est très attrayante et fort utile dans le milieu de la recherche médicale et pharmaceutique. Dans les circonstances, l'EPTC2 est donc un élément important du cadre juridique actuel.

En plus de réitérer plusieurs normes juridiques déjà enchâssées dans le cadre législatif canadien, l'EPTC2 propose plusieurs règles particulières en lien avec l'utilisation des données génétiques. Ces règles ont pour objectif de réduire l'impact de la recherche sur les individus, les membres de leur famille, les communautés ou les groupes qui pourraient être atteints par les résultats des études. Parmi plusieurs règles particulières, notons que les chercheurs dont le projet de recherche prévoit l'utilisation secondaire de matériel génétique recueilli et mis en banque antérieurement doivent indiquer dans leur dossier de recherche comment ils entendent aborder les questions éthiques ayant trait à cette utilisation.

Enjeux touchant à la santé et à la sécurité publique

En substance, la croissance du marché des tests génétiques est le fruit d'un changement de paradigme chez les consommateurs, qui cherchent continuellement à exercer un plus grand contrôle sur leurs propres soins de santé. Avec l'essor d'Internet et l'utilisation accrue de l'information médicale, un changement profond dans la relation traditionnelle médecin-patient s'est produit à mesure que les personnes deviennent plus informées sur leur propre santé et veulent plus de contrôle sur leurs renseignements personnels et leurs décisions de traitement.

Ainsi, parallèlement aux tests et à l'analyse du matériel génétique dans le but de découvrir l'ascendance ou l'origine ethnique, les personnes se tournent de plus en plus vers les services offrant des tests génétiques pour produire des rapports sur les risques pour la santé et détecter des anomalies génétiques. En plus des tests d'identité plus courants, ce domaine des tests génétiques comprend le dépistage des porteurs, le diagnostic génétique préimplantatoire, le dépistage néonatal, les tests présymptomatiques, le diagnostic conformationnel et les plans de traitement personnalisés. Ces types de tests génétiques à l'initiative du consommateur doivent être prescrits par un médecin. Cependant, le médecin n'a pas besoin d'être un généticien; il peut tout simplement s'agir d'un médecin d'entreprise ou de famille.

En avril 2017, par exemple, l'agence américaine FDA a accordé à une importante société offrant des tests génétiques l'autorisation de commercialiser dix rapports sur les risques génétiques pour la santé, y compris la détection de la maladie de Parkinson et de la maladie d'Alzheimer à apparition tardive, et a plus récemment autorisé la société à vendre des tests génétiques pour le risque de cancer. Cette trousse de détection testera trois mutations connues pour prédisposer les gens à développer un cancer, mais il vaut la peine de mentionner qu'il y en a des centaines d'autres qui ne seront pas prises en considération. C'est la première fois que le FDA approuve un test génétique offert directement au consommateur pour ces trois mutations particulières sur les gènes BRCA1 et BRCA2, dont on sait qu'ils sont associés à un risque plus élevé de cancer de la prostate, de l'ovaire et du sein. Cependant, comme le test ne détecte que ces trois mutations, les personnes testées sont susceptibles d'avoir la fausse illusion qu'elles ne sont pas porteuses. En effet, ces rapports ne donnent qu'une approximation du risque génétique de développer une maladie et n'offrent en aucun cas un diagnostic médical réel.

L'incertitude diagnostique de ce type de tests génétiques s'accompagne d'autres préoccupations en matière de santé et de sécurité qui convergent avec des préoccupations en matière de consentement et de protection des renseignements personnels. Même si le client/patient doit donner son consentement exprès avant de subir un séquençage du génome entier, et sous réserve de certaines lois particulières, comme la LNDG, qui vise à protéger les consommateurs en interdisant d'imposer des tests génétiques obligatoires ou de divulguer obligatoirement des résultats de tests génétiques, il n'y a en théorie aucune restriction quant à ce qu'un client peut faire avec ses propres renseignements génétiques ou en ce qui a trait aux exigences concernant la participation des membres de sa famille au processus de consentement. Cela soulève d'importantes questions quant à savoir qui détient les droits exclusifs sur le code génétique d'une personne, étant donné que les membres de la famille partagent de nombreux traits génétiques et peuvent héberger les mêmes anomalies génétiques associées à certaines maladies.

Meilleures pratiques pour l'industrie

Les tests génétiques, que ce soit à des fins médicales prédictives ou non, comportent des risques. Les préoccupations relatives à la protection des renseignements personnels, les questions d'éthique et les risques potentiels pour la santé ne doivent pas être ignorés. Et parce que l'industrie croît si rapidement, la réglementation introduite a posteriori pourrait être perçue comme inadéquate ou, à l'inverse, démesurément restrictive. Il reste donc à voir comment l'industrie des tests génétiques se positionnera face à la surveillance accrue du grand public et des autorités de contrôle.

Pour l'instant, alors que la législation continue d'évoluer et de s'adapter à la dynamique changeante du marché, les préoccupations en matière de protection des renseignements personnels et de santé publique devraient demeurer l'une des priorités absolues pour les intervenants de l'industrie. Les initiatives menées par l'industrie, telles que les lignes directrices du FPF, apparaissent encourageantes. Pourtant, les lois et règlements actuels sont inégaux et parfois incongrus d'une juridiction à une autre. Au fur et à mesure que les tests génétiques gagnent en popularité, la transparence, l'accessibilité et le consentement de l'utilisateur devraient continuer d'éclairer les pratiques exemplaires de l'industrie des tests génétiques destinés aux consommateurs. Dans les années à venir, alors que l'industrie continue de faire sa marque dans le domaine médical, il ne faut pas perdre de vue que les enjeux de protection des renseignements personnels et de données génétiques seront intimement reliés.

    Abonnement

    Recevez des mises à jour de notre équipe

    S'inscrire