23andMe : Un Règlement de 30 Millions de Dollars Après une Violation de Données
La société 23andMe, spécialisée dans les tests génétiques, a accepté de verser 30 millions de dollars pour mettre un terme à une action en justice liée à une violation de données ayant exposé les informations personnelles de 6,9 millions de clients. Cette affaire soulève des questions cruciales concernant la sécurité et la protection de la vie privée des utilisateurs.
Les Détails de la Violation de Données
En 2023, il a été révélé qu’un piratage avait touché environ 6,9 millions d’utilisateurs de 23andMe. La violation, annoncée par l’entreprise pour la première fois en octobre 2023, a été confirmée quelques mois plus tard et aurait permis la vente illégale d’au moins un million de profils liés à des données d’origine juive ashkénaze et à d’autres informations compromettantes concernant des centaines de milliers de personnes d’origine chinoise.
Accord et Conséquences
L’accord de 30 millions de dollars met fin à l’action en justice, mais il est également révélateur des accusations qui pesaient sur 23andMe. La société n’aurait pas informé certains de ses clients d’ascendance ciblée, dont les données auraient été mises en vente sur le dark web. Le règlement préliminaire a été déposé le 12 septembre devant le tribunal fédéral de San Francisco et doit recevoir l’approbation d’un juge.
Ce règlement prévoit des paiements en espèces pour les clients concernés et offre la possibilité de rejoindre un programme intitulé « Privacy & Medical Shield + Genetic Monitoring », qui vise à renforcer la protection de la vie privée et à assurer un suivi génétique pendant trois ans.
Réactions et Perspectives de 23andMe
Dans un document juridique, 23andMe a décrit ce règlement comme étant juste et raisonnable. Toutefois, la société a également exprimé son inquiétude face à sa « situation financière extrêmement incertaine ». Elle a demandé au juge de suspendre les arbitrages de milliers de membres du groupe jusqu’à l’approbation du règlement ou jusqu’à ce qu’ils décident de ne pas y participer. Environ 25 millions de dollars du coût total seront couverts par une cyber-assurance, selon les estimations de 23andMe.
La violation de données, survenue entre avril et septembre 2023, a touché près de la moitié des 14,1 millions de clients de la société à cette époque. Parmi les informations compromises figurent 5,5 millions de profils « DNA Relatives » et des données appartenant à 1,4 million d’autres clients utilisant la fonction « Family Tree ».
Les avocats des plaignants estiment que cet accord répond aux principales préoccupations de leurs clients et reflète les risques significatifs de litiges futurs, compte tenu de la situation financière difficile de 23andMe.
Pour les utilisateurs de 23andMe, cette affaire met en lumière l’importance cruciale de la sécurité des données personnelles et pose la question de la fiabilité des entreprises dans la protection de la vie privée de leurs clients.