La Californie poursuit 23andMe pour une violation de données génétiques touchant 7 millions d’utilisateurs

La Californie poursuit 23andMe pour une violation de données génétiques touchant 7 millions d’utilisateurs

Le procureur général de Californie a intenté une action en justice contre la société de tests ADN 23andMe, désormais opérant sous le nom de Chrome Holding Co., concernant sa gestion d’une violation de données en 2023 qui a exposé les données génétiques et d’ascendance de près de 7 millions d’utilisateurs. La plainte repose sur deux griefs principaux : 23andMe n’aurait pas protégé de manière adéquate certaines des données personnelles les plus sensibles qui existent, et aurait induit ses clients en erreur sur la gravité réelle de l’exposition. Pour toute personne qui s’intéresse à la protection de la vie privée en cas de violation de données génétiques, cette affaire est un rappel brutal qu’aucun outil de confidentialité ni aucune habitude de consommation n’aurait pu empêcher ce résultat.

Ce que la plainte de la Californie contre 23andMe allègue réellement

La plainte du procureur général de Californie se concentre sur le manquement présumé de 23andMe à mettre en œuvre des mesures de sécurité adéquates pour des données comprenant des profils ADN et des informations de prédisposition à certaines maladies. Lorsque la violation a été divulguée pour la première fois, des critiques ont souligné que les communications publiques de l’entreprise minimisaient l’ampleur de ce qui avait été compromis. Le procès officialise ces inquiétudes, en soutenant que les consommateurs ont été induits en erreur sur la gravité de l’exposition.

Ce qui rend cette affaire juridiquement significative, c’est que les données génétiques occupent une catégorie particulière au regard du droit californien. Contrairement à une adresse électronique divulguée ou même à un numéro de carte de crédit, les données ADN ne peuvent pas être modifiées. Elles sont liées directement aux vulnérabilités de santé, aux relations familiales et à l’ascendance, et ce de manière permanente. L’État fait valoir que 23andMe avait l’obligation légale et éthique de traiter ces données avec un soin bien plus grand que ce qu’elle a apparemment fait.

Pourquoi les données génétiques et de santé constituent une catégorie de risque à part

La plupart des violations de données causent des préjudices graves, mais les violations de données génétiques entraînent des conséquences qui vont bien au-delà de l’individu. Votre ADN contient des informations sur vos proches, y compris des personnes qui n’ont jamais consenti à partager quoi que ce soit avec un tiers. Il peut révéler des prédispositions à des maladies, l’héritage ethnique et des liens biologiques familiaux, des détails qui peuvent être exploités par des assureurs, des employeurs ou des acteurs malveillants pendant des années, voire des décennies après une violation.

C’est ce qui distingue les données génétiques des identifiants et des profils comportementaux que la plupart des violations d’entreprises exposent. Il n’y a pas de réinitialisation de mot de passe pour votre génome. Cette réalité fait peser une énorme responsabilité sur les entreprises qui collectent et stockent ce type d’informations, et c’est exactement l’argument que la Californie avance devant les tribunaux.

La situation fait écho à des préoccupations plus larges sur la manière dont les grandes entreprises traitent les informations sensibles des utilisateurs sans réelle responsabilité. Comme le montre un reportage sur la poursuite du procureur général du Texas contre Netflix pour collecte secrète de données d’utilisateurs, les procureurs généraux de tout le pays sont de plus en plus disposés à poursuivre les entreprises technologiques et de consommation qui utilisent abusivement ou ne protègent pas les données personnelles qu’elles recueillent.

Ce qu’un VPN peut et ne peut pas faire après une violation de données d’entreprise

C’est une affaire qui mérite un cadrage honnête pour les lecteurs soucieux de leur vie privée. Un VPN est un outil précieux pour chiffrer votre trafic Internet, masquer votre adresse IP aux sites web et aux annonceurs, et protéger votre activité sur les réseaux publics. Ce sont des avantages réels et significatifs.

Mais la violation de 23andMe n’était pas un cas d’interception de données en transit. Il s’agissait d’une défaillance interne aux systèmes de l’entreprise, impliquant des données que les utilisateurs avaient déjà soumises des années auparavant. Un VPN en cours d’exécution sur votre appareil au moment de la violation n’aurait rien fait pour protéger les profils ADN stockés dans la base de données de 23andMe.

Cette distinction est importante, car les consommateurs sont parfois amenés à croire que des outils de confidentialité comme les VPN créent un bouclier complet autour de leur vie numérique. Ce n’est pas le cas. Une fois que vous confiez des données à un tiers, votre protection dépend entièrement des pratiques de sécurité de cette entreprise, de ses obligations légales et de sa volonté de faire preuve de transparence lorsque quelque chose ne va pas. Le procès contre 23andMe suggère qu’au moins une de ces protections a échoué sur plusieurs plans.

Mesures concrètes pour limiter votre exposition au-delà d’un VPN

Comprendre les limites de tout outil de confidentialité unique est la première étape, et la plus importante. À partir de là, quelques habitudes concrètes peuvent réduire significativement votre risque auprès des entreprises qui détiennent des données sensibles.

Soyez sélectif sur ce que vous partagez. Les services de tests génétiques sont des produits de consommation avec de réels compromis en matière de vie privée. Avant de soumettre un échantillon d’ADN, examinez la politique de conservation des données de l’entreprise, ses antécédents en matière de demandes de données par les forces de l’ordre, et ce qu’il advient de vos données si l’entreprise est rachetée ou fait faillite. La procédure de faillite de 23andMe a déjà suscité des inquiétudes distinctes sur le devenir de sa base de données.

Examinez et utilisez les options de suppression. De nombreuses entreprises de tests génétiques offrent la possibilité de supprimer vos données ADN stockées et les informations de votre compte. Si vous avez utilisé un service et ne souhaitez plus que vos données soient conservées, exercez ce droit. Toutes les entreprises ne facilitent pas la tâche, mais l’option est souvent disponible.

Lisez attentivement les notifications de violation. Les entreprises sont légalement tenues de vous informer des violations admissibles, mais comme l’illustre le procès en Californie, la présentation de ces notifications peut minimiser l’ampleur réelle du préjudice. Si vous recevez un avis de violation, prenez-le au sérieux quelle que soit sa formulation, et consultez des articles indépendants pour avoir une image plus complète.

Comprenez ce que couvre réellement le consentement. S’inscrire à un service signifie accepter la politique de confidentialité de cette entreprise, mais ces politiques incluent souvent un langage large sur le partage de données avec des tiers. Les données génétiques, les dossiers médicaux et les informations biométriques méritent une attention particulière avant de cliquer sur « accepter ».

Ce que cela signifie pour vous

Le procès intenté par le procureur général de Californie contre 23andMe n’est pas seulement une action réglementaire à l’encontre d’une seule entreprise. C’est un signal que l’application des lois au niveau des États en matière de protection de la vie privée pour les violations de données génétiques devient plus agressive, et que l’exposition de l’ADN et des dossiers de santé attirera de plus en plus des conséquences juridiques qu’une entreprise ne peut pas simplement absorber comme un coût de fonctionnement.

Pour les consommateurs, le message est à la fois responsabilisant et qui donne à réfléchir. Vous pouvez prendre de meilleures décisions quant aux entreprises à qui vous confiez vos données les plus sensibles. Vous pouvez exiger leur suppression, lire les petits caractères et rester informé lorsque les entreprises auxquelles vous avez fait confiance font l’objet d’un examen. Ce que vous ne pouvez pas faire, c’est compter sur un seul outil, y compris un VPN, pour protéger des données qui résident déjà dans les systèmes d’un tiers.

Pour comprendre comment ce schéma se reproduit dans d’autres secteurs, la couverture de la poursuite du procureur général du Texas contre Netflix relative aux données offre un parallèle utile : l’utilisation abusive des données par les entreprises opère à un niveau qui dépasse totalement ce que les outils de confidentialité personnels peuvent contrer. Rester informé de ces affaires est l’une des choses les plus pratiques que vous puissiez faire.