23andMe « n'a pas pris les mesures de base » pour protéger les informations privées, selon une enquête
La société de tests ADN 23andMe n'avait pas de protections de données adéquates et a ignoré les signes avant-coureurs d'une violation massive de données il y a près de deux ans, selon une enquête menée par le commissaire à la protection de la vie privée du Canada.
Le commissaire Philippe Dufresne a déclaré aux journalistes que les protections adéquates n'étaient pas en place en 2023 lorsque des pirates ont eu accès à environ 6,9 millions de profils sur le site, soit près de la moitié de sa clientèle.
« Cette violation sert d'avertissement à toutes les organisations quant à l'importance de la protection des données », a déclaré Dufresne lors d'une conférence de presse mardi.
« Avec des violations de données de plus en plus graves et complexes, et des attaques de rançongiciels et de logiciels malveillants en forte augmentation, toute organisation qui ne prend pas de mesures pour donner la priorité à la protection des données et faire face à ces menaces est de plus en plus vulnérable. »
Les profils des clients contenaient des données personnelles sensibles, notamment leur année de naissance, leur localisation géographique, leurs informations de santé et le pourcentage d'ADN que les utilisateurs partagent avec leurs proches. Dufresne a indiqué qu'une partie des informations volées était ensuite revendue en ligne.
L'enquête a été lancée l'année dernière en collaboration avec le commissaire à l'information britannique John Edwards.
« 23andMe n'a pas pris les mesures de base pour protéger les informations des gens, leurs systèmes de sécurité étaient inadéquats, les signes avant-coureurs étaient là et l'entreprise a été lente à réagir », a déclaré Edwards.
Comme d'autres entreprises de tests génétiques, 23andMe utilise des échantillons de salive pour générer des rapports sur l'ascendance d'un client ainsi que sur les prédispositions potentielles à certains problèmes de santé.
Près de 320 000 Canadiens et 150 000 personnes au Royaume-Uni ont été touchés par la violation de 2023, ont déclaré les commissaires.
Edwards a déclaré que le Royaume-Uni avait infligé à la société basée à San Francisco une amende de 4,2 millions de dollars pour la violation de données, mais Dufrense a déclaré qu'il n'avait pas le pouvoir de frapper la société avec des sanctions pécuniaires.
« [Le pouvoir d'infliger des amendes aux entreprises] est largement répandu dans les autorités de protection de la vie privée à travers le monde, et c'est une nécessité. Malheureusement, la loi canadienne sur la protection de la vie privée ne me le permet pas encore », a déclaré Dufrense.
Des modifications législatives ont été proposées par le passé pour conférer au commissaire à la protection de la vie privée le pouvoir d'imposer des amendes, mais elles n'ont jamais été adoptées. Dufrense a déclaré espérer que le nouveau Parlement proposera à nouveau prochainement des modifications.
23andMe a déposé le bilan plus tôt cette année et annoncé la vente de ses actifs, ce qui signifie que les données de ses clients pourraient être « consultées, vendues ou transférées ». Cependant, l'entreprise a déclaré que la procédure de faillite n'affecterait pas la manière dont elle stocke, gère ou protège les données de ses clients.
Dufresne et Edwards ont déclaré qu'ils s'attendaient à ce que l'entreprise protège adéquatement les données des utilisateurs lors de toute vente.
« Nous suivrons cela attentivement… les obligations [de confidentialité] devraient continuer à s’appliquer à tout nouveau propriétaire », a déclaré Dufresne.
cbc.ca
