L'Autorité britannique inflige une amende à 23andMe pour une violation de données "profondément dommageable"
Amende infligée à 23andMe pour violation de données
La société de tests ADN 23andMe a été condamnée à une amende de 2,31 millions de livres par un organisme de régulation britannique suite à une violation de données en 2023. Cette infraction a touché des milliers de personnes, mettant en lumière des failles dans la sécurité des données sensibles des utilisateurs.
Contexte de la violation
Le Bureau du Commissaire à l'information (ICO) a déclaré que l'entreprise, qui a depuis déposé le bilan, n'avait pas mis en place des mesures adéquates pour protéger les données des utilisateurs avant l'incident. "C'était une violation profondément dommageable qui a exposé des informations personnelles sensibles," a affirmé le Commissaire à l'information John Edwards.
23andMe est en passe d'être vendu à TTAM Research Institute, qui a promis de renforcer les protections des données clients. En octobre 2023, les utilisateurs ont été victimes d'une attaque de type "credential stuffing", où des mots de passe exposés dans des violations antérieures ont été utilisés pour accéder à des comptes 23andMe.
Impact de l'attaque
Les hackers ont pu accéder à 14 000 comptes individuels, téléchargeant des informations concernant environ 6,9 millions de personnes liées comme relations possibles sur le site. Selon l'ICO, cela incluait des données personnelles de 155 592 résidents britanniques, telles que noms, dates de naissance et rapports de santé.
Les données volées ne comprenaient pas les dossiers ADN, mais leur divulgation a suscité de vives inquiétudes. "Une fois que ces informations sont divulguées, elles ne peuvent pas être modifiées comme un mot de passe," a ajouté M. Edwards.
Mesures de sécurité insuffisantes
En raison de leur nature sensible, les données génétiques sont considérées comme des données de catégorie spéciale selon la législation britannique sur la protection des données. Les entreprises doivent mettre en place des mesures de sécurité supplémentaires pour protéger ces informations, selon les directives de l'ICO.
L'enquête a révélé que 23andMe avait enfreint la loi britannique en n'ayant pas de mesures d'authentification appropriées lors du processus de connexion. Cela incluait l'absence d'une authentification multi-facteurs obligatoire pour les utilisateurs.
Réponses de l'entreprise et avenir
La société a affirmé avoir résolu les problèmes identifiés par l'ICO et le Bureau du Commissaire à la protection de la vie privée du Canada d'ici la fin de 2024. Les deux organismes ont récemment appelé 23andMe à protéger les données personnelles sensibles de ses clients pendant la procédure de faillite.
Initialement, 23andMe devait être vendu à Regeneron Pharmaceuticals pour 256 millions de dollars, mais a finalement accepté une vente à TTAM Research Institute pour 305 millions de dollars, avec des engagements contraignants pour maintenir les protections des consommateurs.
Conclusion
La situation de 23andMe met en évidence l'importance de la sécurité des données dans le domaine des tests ADN. Les violations de données peuvent avoir des conséquences graves pour les utilisateurs. Il est crucial que les entreprises prennent des mesures proactives pour protéger les informations sensibles de leurs clients.
