Vous le sortez de la boîte aux lettres. Il est imprimé dans des couleurs amusantes et accueillantes. Frottez. Crachez. Piquez-vous le doigt. Renvoyez-le par la poste. Bientôt, vous apprendrez quelque chose de nouveau sur vous-même : vos hormones, votre fertilité, votre risque de cancer, votre prédisposition à Alzheimer, votre métabolisme, vos sensibilités alimentaires, ou même votre génome entier. C'est l'appât des tests ADN et de santé à domicile ("directs au consommateur"). Tard dans la nuit, depuis votre téléphone, vous pouvez commander à peu près n'importe quel test à faire chez vous, que vous soyez non assuré, curieux, ou simplement anxieux de savoir quels secrets votre corps pourrait cacher.

Avant d'en commander un moi-même, j'ai fait un petit tour sur Google. Au début, je cherchais des réponses simples : le test était-il examiné par la FDA ? L'entreprise était-elle couverte par la HIPAA ? Un médecin expliquerait-il les résultats ? Plus je lisais, moins c'était simple. Le langage de la FDA était rare, et quand il apparaissait, il était généralement lié à un test, un rapport ou un kit de collecte spécifique - pas nécessairement à l'ensemble de l'entreprise ou du service. Certaines entreprises disaient être conformes à la HIPAA ; d'autres non. Presque toutes citaient des laboratoires certifiés CLIA ou accrédités CAP, mais ce ne sont que des normes de qualité de laboratoire. Les conseils et le suivi variaient également beaucoup. Cela m'a poussé à creuser les petits caractères : mes informations pourraient-elles être partagées avec les forces de l'ordre, ou utilisées pour des publicités ou des recherches ?

La réponse se trouvait dans les politiques que la plupart des gens ne lisent jamais. Mais moi, je l'ai fait, pour 10 entreprises : Everlywell, LetsGetChecked, Labcorp OnDemand, Nebula Genomics / DNA Complete, Nucleus, SiPhox, myLAB Box, CircleDNA, SelfDecode, et 23andMe. J'ai contacté chaque entreprise que j'ai mentionnée pour obtenir un commentaire. J'ai également parlé à 12 experts en bioéthique, génétique, HIPAA et droit de la santé, réglementation de la FDA, confidentialité des consommateurs et cybersécurité, bien que je n'en aie cité que six.

Mon premier risque ? Ce n'est pas la lancette, l'écouvillon ou le tube que j'utilise pour collecter mon échantillon biologique. Cela commence plus tôt, quand je commande le test et que je suppose probablement que, parce que l'entreprise traite des données liées à la santé, mes informations sont protégées comme tout autre dossier médical. Aux États-Unis, la HIPAA, la loi sur la portabilité et la responsabilité de l'assurance maladie de 1996, protège les informations de santé personnelles, ou PHI, lorsqu'elles sont créées, maintenues ou transmises par des entités couvertes et leurs associés commerciaux. Ce n'est pas une loi générale sur la vie privée pour tout le monde.

Anya Prince, professeure David H. Vernon en droit à la faculté de droit de l'Université de l'Iowa, étudie la confidentialité en matière de santé et de génétique. Prince a déclaré à ZDNET que la question principale est de savoir si une entreprise est couverte par la HIPAA. "Les laboratoires DTC peuvent ne pas compter comme des entités couvertes," a déclaré Prince. "Les informations de santé qu'ils ont... seraient régies par la politique de confidentialité d'une entreprise plutôt que considérées comme des PHI." Quand j'ai regardé les entreprises DTC populaires à domicile, j'ai été surpris de trouver plusieurs utilisations du langage HIPAA et quelques lacunes. Everlywell a déclaré qu'elle est "engagée à protéger vos informations de santé personnellement identifiables" en vertu de la HIPAA. Labcorp a dit qu'elle est "tenue par la loi de maintenir la confidentialité des informations de santé" en vertu de la HIPAA. Nucleus m'a dit qu'elle est "conforme à la HIPAA." SiPhox a dit qu'elle a une "sécurité de niveau HIPAA," et myLAB Box a dit que les informations et échantillons liés à ses kits sont "couverts" par la HIPAA. Pour les autres, je n'ai pas pu trouver une page publique actuelle confirmant que l'entreprise est conforme à la HIPAA ou couverte par celle-ci.

Julian Gage, fondateur d'Engage Compliance et délégué à la protection des données externalisé pour les entreprises de tests génétiques et de santé DTC, a déclaré à ZDNET que les affirmations "de niveau HIPAA" et "conforme à la HIPAA" sont un langage marketing, "pas une protection." "Le cryptage de niveau HIPAA est une déclaration sur un paramètre de sécurité," a déclaré Gage. "Cela ne dit rien sur le fait que la HIPAA s'applique réellement à vous ou sur ce que l'entreprise peut faire de vos résultats." Par exemple, il a expliqué que lorsqu'une entreprise DTC achemine une commande via un médecin ou un réseau de télésanté, ce clinicien ou ce réseau peut être une entité couverte par la HIPAA, et la partie des données qu'il crée et conserve peut relever de la HIPAA. Mais cela n'implique pas nécessairement l'entreprise de test, ou les