MyHeritage trop léger sur la protection des données personnelles

Bien que l’activité soit encore officiellement interdite, des dizaines de milliers de Français ont déjà effectué un test ADN auprès de la société MyHeritage. Chacun d’entre eux a commandé un kit sur Internet, procédé à un prélèvement de salive puis renvoyé le tout dans un laboratoire aux États-Unis. Quelques jours plus tard, ils découvraient de quelles parties du monde venaient leurs ancêtres et pouvaient même retrouver des membres plus ou moins éloignés de leur famille. Mais une fois le test réalisé, que deviennent les échantillons et les données récoltées ? Les utilisateurs peuvent-ils garder le contrôle dessus comme les y autorise le Règlement général sur la protection des données (RGPD) ? Pour le savoir, le service juridique de l’UFC-Que Choisir s’est plongé dans les conditions générales et la politique de confidentialité de MyHeritage l’été dernier, et ce qu’il y a découvert n’a rien de rassurant. L’UFC-Que Choisir a donc, dans la foulée, décidé d’alerter la Commission nationale de l’informatique et des libertés (Cnil). Depuis, MyHeritage a clarifié certains points, mais on est encore loin du compte.

Des finalités mal encadrées

Dès qu’il transmet ses données personnelles à un organisme, le client est censé savoir lesquelles seront conservées et dans quel but. Celui-ci doit être raisonnable. MyHeritage fournit bien une liste de raisons pour lesquelles il conserve les données, mais il vise large. Celles-ci peuvent servir aussi bien à « traiter et stocker les échantillons d’ADN », qu’à assurer la « gestion de l’abonnement », « développer de nouveaux services », « améliorer le site Internet », « réaliser des recherches et des enquêtes », etc. La liste est longue ! Qui plus est, MyHeritage utilise des termes comme « notamment » ou « tel que » qui laissent penser que les données peuvent être conservées pour d’autres raisons non spécifiées, et emploie des expressions comme « tirer le meilleur parti du service » ou « analyser des données internes » dont il est impossible de savoir ce qu’elles recouvrent exactement. Il y a peu, ces finalités ont été clarifiées, mais elles sont encore loin d’être limpides.

Des droits sur ses données trop limités

MyHeritage évoque bien la possibilité pour chaque utilisateur de consulter, de modifier ou de supprimer les données le concernant, mais il précise aussi qu’entretemps, des copies peuvent avoir été réalisées par d’autres utilisateurs ou « à des fins commerciales internes ». Il indique également que la suppression des données est impossible dès lors qu’elles ont été utilisées à des fins de sondage, d’étude ou de recherche. Enfin, contrairement à ses obligations, MyHeritage n’indique à aucun moment le nom du responsable des traitements et les moyens de le contacter.

Un consentement loin d’être éclairé

Pour chaque type de données récoltées, le professionnel est censé soit obtenir le consentement du membre, soit indiquer pour quelle raison l’utilisation et la conservation de ses données est nécessaire (il peut s’agir d’exécuter le contrat, de répondre à des exigences légales, etc.). MyHeritage, lui, se contente d’assurer que la récolte des données est justifiée, selon les cas, pour l’un ou l’autre de ces motifs, sans préciser lequel. Résultat : le client ne sait pas pour quel type de données et pour quel usage son consentement est requis.

© myheritage.fr

Des données qui peuvent voyager

Si MyHeritage fait appel à un laboratoire américain pour réaliser le séquençage du génome, son siège est en Israël. Or, la société ne précise pas où sont stockées les données récoltées. Cette information est pourtant essentielle car le professionnel est tenu d’apporter un certain nombre de garanties supplémentaires lorsqu’elles sont conservées en dehors de l’Union européenne.

Des durées de conservation imprécises

Un professionnel est censé indiquer la durée pendant laquelle il entend conserver les données de ses clients. Mais sur ce point-là aussi, MyHeritage reste flou : « Nous ne conservons vos informations personnelles que le temps nécessaire pour les fins pour lesquelles elles sont collectées et pour nous conformer aux lois applicables », se contentait-il d’expliquer au moment de notre plainte avant d’indiquer que les échantillons d’ADN seraient conservés « jusqu’à ce qu’ils ne soient plus exploitables ». MyHeritage indiquait aussi que chaque utilisateur avait la possibilité de demander la destruction de ses échantillons d’ADN, mais précisait dans le même temps qu’il se réservait le droit de les conserver aussi longtemps qu’il l’estime nécessaire à des fins de recherche. Bref, difficile d’y voir clair.

Des données accessibles à tous par défaut

Outre les tests ADN, MyHeritage propose aussi un service de création d’arbre généalogique qui s’appuie en partie sur les données fournies par les membres de la communauté répartis dans le monde entier. L’ennui, c’est que contrairement aux principes édictés par le RGPD, le service est paramétré de manière à ce que les données fournies par l’utilisateur soient d’office accessibles à tous les autres membres du réseau, alors que lui ne pourra accéder aux recherches intelligentes sur les données des autres membres que s’il opte pour un abonnement payant. Récemment, MyHeritage a précisé qu’il tenait à la confidentialité des informations et au partage minimal des données, sans rien changer toutefois à sa manière de faire.

© myheritage.fr

Un deuxième échantillon conservé pour d’obscures raisons

Chaque client de MyHeritage récolte de la salive sur 2 cotons-tiges. L’un de ces deux échantillons est utilisé pour réaliser le test ADN. Quant au second, il est conservé par MyHeritage pour des raisons qui restent floues. Cette pratique est d’autant plus inquiétante que la société s’octroie la possibilité d’utiliser les échantillons partout dans le monde et comme bon lui semble. Depuis notre plainte, MyHeritage a précisé qu’il pouvait conserver cet échantillon pendant 10 ans pour effectuer de nouveaux tests. Le consommateur devra donner son accord pour une nouvelle exploitation.

Une décharge de responsabilité trop grande

Si, au moment de notre plainte, MyHeritage assurait prendre « toutes les mesures commercialement raisonnables » pour éviter que les données personnelles de ses clients ne soient divulguées, il expliquait ne « pas pouvoir garantir » que les données ne seraient pas volées, perdues ou mal utilisées et prévenait l’utilisateur qu’il fournissait ses informations personnelles à ses « propres risques ». Cette exonération de responsabilité contrevient à son obligation de sécurisation des données. Depuis, MyHeritage a modifié ces formulations, mais nie toujours sa responsabilité contre « tout accès non autorisé ou utilisation de [ses] serveurs ou de toutes les informations qui y sont stockées ».