On parle souvent de « transformation numérique » comme d’une marche inéluctable vers plus de fluidité. Mais sur le terrain, cette fluidité masque parfois un transfert de pouvoir radical. Demain, votre accès au bureau pourrait dépendre d’un échantillon biologique traité par une startup en Californie. Ce n’est pas de la science-fiction, c’est le modèle d’affaires du « DNA-as-a-Service » (DaaS) qui frappe à la porte.
À mon avis, l’adoption de ces technologies dans le cadre du travail pose un risque d’arbitrage défavorable pour les employés comme pour les employeurs. On troque une sécurité matérielle éprouvée contre une vulnérabilité biologique permanente.
Le piège de la commodité et l’érosion du consentement
Le premier argument des fournisseurs de DaaS est toujours la « commodité ». C’est le même moteur qui a poussé l’adoption massive de la reconnaissance faciale durant la pandémie pour limiter les contacts physiques (Workplace organising in the age of facial recognition).
Cependant, dans un contexte d’emploi, le concept de « consentement » est souvent vide de sens. Un employeur occupe une position dominante (Psychological Effects of Workplace Surveillance). Demander à un employé de fournir son ADN pour un badge de sécurité, c’est en fait lui imposer un ultimatum : donnez-moi votre code génétique ou soyez étiqueté comme un élément perturbateur, avec les risques de stagnation de carrière ou de licenciement que cela comporte.
Au Québec, la Loi 25 est pourtant claire : le consentement doit être manifeste, libre et éclairé. Mais comment peut-il être libre si l’accès à son gagne-pain en dépend ? La Commission d’accès à l’information (CAI) a déjà statué que la commodité (c’est plus simple, plus pratique) ne justifie pas la collecte de données biométriques (Biométrie | Commission d’accès à l’information).
L’asymétrie de connaissance : Le « Ghost in the machine »
L’un des plus grands dangers que je vois est l’opacité des algorithmes de traitement. Lorsqu’une PME adopte une solution DaaS en mode SaaS, elle externalise non seulement les données, mais aussi sa responsabilité morale.
Ces systèmes sont des boîtes noires. On nous dit qu’ils ne servent qu’à l’identification, mais le « glissement de fonction » (function creep) est une réalité documentée (Function Creep in Surveillance Situations). Rien n’empêche techniquement le fournisseur, ou un futur acquéreur de cette startup, d’utiliser ces échantillons pour profiler la santé future des employés ou leur résistance au stress.
C’est ce que Shoshana Zuboff appelle le capitalisme de surveillance : transformer l’expérience humaine (ici, la biologie) en données comportementales pour prédire et modifier les actions (Surveillance Capitalism: Origins, History, Consequences). En tant que gestionnaire, vous perdez le contrôle sur ce qui est réellement extrait du corps de vos collaborateurs.
La fuite qui ne guérit jamais
Un mot de passe se change. Une carte d’accès se désactive. Votre ADN, lui, est immuable.
Si la base de données de votre fournisseur de DaaS est compromise — et l’histoire nous montre que c’est une question de « quand » et non de « si » — vos employés sont vulnérables pour le reste de leur vie. Le cas de 23andMe, qui a subi une brèche affectant 7 millions d’utilisateurs en 2023, est un avertissement brutal (Joint investigation into 23andMe data breach).
Pour une entreprise, cette responsabilité est un passif énorme au bilan. Une fuite de données biométriques est une « fuite qui ne guérit jamais ». Les recours collectifs et les sanctions de la Loi 25 (jusqu’à 25 millions $ ou 4 % du chiffre d’affaires mondial) peuvent couler une PME (Loi 25 expliquée – Genatec).
Du contrôle d’accès au profilage émotionnel
On voit déjà des dérives dans la gestion algorithmique. Certaines entreprises utilisent l’IA pour analyser le « sentiment » des employés dans leurs communications afin de décider des promotions ou des licenciements (Emotional Surveillance).
L’intégration de l’ADN ajoute une couche de déterminisme biologique terrifiante. Imaginez un système qui « suggère » de ne pas confier un projet critique à un employé parce que son profil génétique indique une prédisposition à l’anxiété. On ne juge plus le travail, on juge le potentiel biologique.
La Loi sur la non-discrimination génétique (LNDG) au Canada tente de freiner cela en interdisant d’exiger un test génétique comme condition d’un contrat (Genetic Non-Discrimination Act – Justice Canada). Mais les lacunes sont réelles : la loi définit étroitement le « test génétique » et ne couvre pas toujours les analyses inférées par l’IA (Canada’s Genetic Non-Discrimination Act: False Security).
Le rempart de la Loi 25 pour les gestionnaires québécois
Si vous envisagez malgré tout une solution biométrique, sachez que la barre est très haute au Québec. Vous devez :
- Réaliser une Évaluation des Facteurs relatifs à la Vie Privée (EFVP) : C’est obligatoire pour tout projet impliquant des données sensibles (Principaux changements – CAI).
- Démontrer la nécessité : Vous devrez prouver qu’aucun autre moyen moins intrusif (comme une clé FIDO2 ou un badge RFID moderne) n’est efficace. La commodité n’est pas une preuve.
- Divulgation préalable : Vous devez aviser la CAI au moins 60 jours avant la mise en service d’une banque de données biométriques (Utilisation de la biométrie : la CAI maintient la barre haute).
Check-list : Les questions inconfortables pour votre fournisseur DaaS
Je déconseille cette approche dans la majorité des contextes de PME que je connais. L’arbitrage risque/bénéfice me semble tout simplement mauvais. Mais si vous devez auditer un fournisseur, voici les questions à poser pour sortir de la langue de bois commerciale :
- Mécanisme de repli : Quelle alternative concrète proposez-vous pour les employés qui refusent le prélèvement biologique ? (La Loi 25 l’exige).
- Isolation des données : Comment garantissez-vous que nos données génétiques ne servent pas à entraîner vos modèles d’IA pour d’autres clients ou pour votre propre R&D ? (Direct-to-Consumer Genetic Testing Concerns)
- Sécurité logicielle : Pouvez-vous fournir un audit externe sur la vulnérabilité de votre pipeline de séquençage au « DNA malware » ? (L’ADN synthétique peut être utilisé pour pirater les logiciels de lecture). (The Unseen Threat: DNA as Malware)
- Clause de sortie : Que deviennent les modèles biologiques (les templates) si votre entreprise fait faillite ou est rachetée ? (Selling 23andMe assets raises concerns)
Conclusion
Le plus grand acte de leadership qu’un gestionnaire puisse poser aujourd’hui n’est pas d’adopter la technologie la plus avancée, mais de dire « non » à une commodité qui détruit la confiance fondamentale entre l’entreprise et l’humain.
En transformant votre bureau en une ferme de données biologiques, vous risquez de créer une culture de peur et de conformité qui étouffe l’innovation que vous cherchez tant à protéger. Je pense que la véritable résilience organisationnelle repose sur la défense de l’autonomie individuelle, et non sur sa dissolution dans une base de données californienne.
L’accès à un bâtiment ne devrait jamais coûter la dignité de ceux qui le font vivre.
