Scandale de confidentialité : 23andMe visé par le Royaume-Uni et le Canada
Le géant des tests génétiques 23andMe se retrouve au cœur d'un nouveau scandale de confidentialité. Les autorités de protection des données personnelles du Royaume-Uni et du Canada viennent d'annoncer le lancement d'une enquête conjointe sur la fuite massive de données ayant affecté la startup l'an dernier. Pas moins de 6,9 millions d'utilisateurs, soit près de la moitié de sa base totale, ont vu leurs informations génétiques et généalogiques compromises.
Une brèche de sécurité aux lourdes conséquences
En octobre 2023, 23andMe révélait avoir été victime d'un piratage de grande ampleur. Des hackers sont parvenus à s'introduire dans environ 14 000 comptes clients en réutilisant des mots de passe issus de précédentes fuites, une technique appelée "password spraying". À partir de là, ils ont pu aspirer les données de millions d'autres utilisateurs en exploitant la fonctionnalité "DNA Relatives" qui permet de partager automatiquement certaines informations avec des personnes susceptibles d'être apparentées.
Parmi les données exposées figurent les noms, années de naissance, pourcentages d'ADN partagé avec des proches, rapports d'ascendance et localisations auto-déclarées des utilisateurs concernés. Un butin particulièrement sensible quand on sait à quel point nos données génétiques en disent long sur nous. D'autant plus préoccupant, 23andMe admet n'avoir détecté les activités malveillantes que 5 mois après les faits.
Les autorités montent au créneau
Face à l'ampleur de la fuite, le Commissaire à l'information du Royaume-Uni (ICO) et le Commissariat à la protection de la vie privée du Canada (CPVP) ont décidé d'unir leurs forces. Leur enquête conjointe va se pencher sur l'étendue des informations exposées et les dommages potentiels pour les victimes. Mais aussi sur les mesures de sécurité mises en place par 23andMe pour protéger ces données ultra-sensibles et sur la façon dont l'entreprise a alerté les autorités compétentes.
Les gens doivent pouvoir faire confiance à toute organisation manipulant leurs informations personnelles les plus sensibles et s'attendre à ce que des mesures de sécurité adéquates soient en place.
John Edwards, Commissaire de l'ICO
23andMe dans la tourmente
Ce n'est pas la première fois que 23andMe se retrouve sous le feu des critiques. Par le passé, l'entreprise a déjà été épinglée pour son manque de transparence sur l'utilisation des données collectées et pour avoir partagé des informations génétiques avec des géants pharmaceutiques à des fins de recherche, parfois sans le consentement explicite des utilisateurs.
Avec cette nouvelle affaire, c'est la sécurité même de son système d'information qui est remise en cause. Un coup dur pour la startup qui a bâti son succès sur la promesse de percer les secrets de nos origines et de notre santé grâce à de simples tests ADN. Reste à voir quelles seront les conséquences de l'enquête des autorités britanniques et canadiennes et les leçons qu'en tirera 23andMe pour regagner la confiance des consommateurs.
L'inquiétant marché des données génétiques
Au-delà du cas 23andMe, cette fuite massive met en lumière les risques inhérents à la collecte de données génétiques à grande échelle par des acteurs privés. Un marché en plein essor mais qui soulève de nombreuses questions éthiques :
- Comment s'assurer du consentement éclairé des utilisateurs ?
- Quelles limites poser à l'exploitation commerciale de ces informations ultimes sur nous ?
- Comment prévenir les dérives discriminatoires liées à la génétique ?
Autant d'enjeux cruciaux qui appellent à renforcer urgemment l'encadrement et le contrôle de cette industrie florissante. Car derrière la promesse d'une médecine personnalisée et d'une meilleure connaissance de soi, se profile le spectre inquiétant d'une mise en données généralisée de notre identité biologique. Une dérive aux implications vertigineuses pour nos libertés individuelles et notre vie privée.