Face à ce qui pourrait être décrit comme l’un des incidents de confidentialité génétique les plus préoccupants de l’histoire récente, les autorités de protection des données canadiennes et britanniques ont lancé une enquête coordonnée sur la fuite massive de données chez 23andMe qui a exposé les informations génétiques sensibles de millions d’utilisateurs à travers le monde.
Le Commissariat à la protection de la vie privée du Canada a annoncé mardi qu’il s’est associé au Bureau du Commissaire à l’information du Royaume-Uni pour examiner cette grave défaillance de sécurité chez la populaire entreprise de tests ADN. Cette collaboration souligne les sérieuses implications transfrontalières de cette violation qui a touché des clients dans plusieurs pays.
“Lorsque les consommateurs confient leurs informations biologiques les plus personnelles à des entreprises, ils s’attendent légitimement à une protection de type forteresse,” a déclaré le Commissaire à la vie privée du Canada, Philippe Dufresne, dans un communiqué obtenu par CO24 News. “Cette enquête déterminera si 23andMe a mis en place les protections rigoureuses requises pour des données aussi sensibles.”
La fuite, signalée pour la première fois en octobre 2023, semblait initialement limitée mais s’est rapidement étendue lorsque 23andMe a révélé que des pirates avaient accédé à environ 6,9 millions de profils d’utilisateurs—près de la moitié de la clientèle de l’entreprise. Les attaquants ont employé une technique connue sous le nom de “bourrage d’identifiants”, utilisant des mots de passe divulgués lors d’autres fuites de données pour obtenir un accès non autorisé aux comptes 23andMe.
Particulièrement troublant était l’intérêt ciblé des pirates pour les utilisateurs d’ascendance juive ashkénaze et chinoise. Selon des sources de CO24 World, les informations compromises comprenaient non seulement des adresses courriel et des mots de passe, mais aussi des données d’ascendance génétique, des rapports de prédisposition à certaines maladies et des correspondances ADN entre parents—créant des risques potentiels allant du vol d’identité à la discrimination génétique.
“L’enquête conjointe démontre la coopération internationale croissante nécessaire pour faire face aux violations de données qui transcendent les frontières,” a expliqué Dr. Elaine Morrison, analyste en cybersécurité de l’Université de Toronto. “Ces bases de données génétiques contiennent des informations non seulement sur les utilisateurs individuels, mais potentiellement sur toutes leurs familles biologiques.”
La violation a déjà déclenché plusieurs recours collectifs au Canada et aux États-Unis, les plaignants soutenant que 23andMe n’a pas mis en œuvre des mesures de sécurité adéquates malgré la nature extraordinairement sensible des données qu’elle détient.
23andMe a réagi en imposant l’authentification à deux facteurs et en encourageant les utilisateurs à créer des mots de passe uniques. L’entreprise a déclaré qu’elle “coopère pleinement avec toutes les enquêtes réglementaires” tout en maintenant que “l’accès non autorisé résulte de la réutilisation de mots de passe par les clients, et non d’une violation des systèmes de 23andMe.”
Cependant, les défenseurs de la vie privée restent sceptiques. “Les entreprises qui recueillent des données génétiques ont un devoir de diligence exceptionnel,” a déclaré Brenda McPhail, directrice de la protection de la vie privée à l’Association canadienne des libertés civiles. “Blâmer les utilisateurs pour leurs habitudes en matière de mots de passe néglige la responsabilité fondamentale de ces entreprises lorsqu’elles commercialisent nos informations génétiques.”
L’enquête conjointe examinera si 23andMe s’est conformée à la Loi sur la protection des renseignements personnels et les documents électroniques du Canada et à la Loi sur la protection des données du Royaume-Uni. Les sanctions potentielles pourraient atteindre des millions, particulièrement selon les réglementations britanniques qui permettent des amendes allant jusqu’à 4% du revenu annuel mondial pour les violations graves de la protection des données.
Alors que les tests génétiques deviennent de plus en plus courants, cette affaire soulève de profondes questions sur les garanties entourant nos informations biologiques les plus intimes. Lorsque nous envoyons nos échantillons d’ADN à des entreprises privées, considérons-nous pleinement qui pourrait éventuellement accéder à ces données—et ce qu’ils pourraient en faire?
