Enquête conjointe menée par le Commissaire à la protection de la vie privée du Canada et le Commissaire à l’information du Royaume-Uni sur une atteinte à la sécurité des données survenue chez 23andMe

Conclusions en vertu de la LPRPDE no 2025-001

Le 20 juin 2025

---

Vue d’ensemble

En octobre 2023, 23andMe Inc. (23andMe), une société qui fournit des services de dépistage génétique et de généalogie directement aux consommateurs à l’échelle mondiale, a confirmé qu’une atteinte à la sécurité des données touchant près de sept millions de ses clients s’était produite. Compte tenu de l’ampleur de l’atteinte, de la sensibilité des renseignements personnels touchés et du service international fourni par 23andMe, le Commissaire à la protection de la vie privée du Canada et le Commissaire à l’information du Royaume-Uni (les commissaires) ont décidé de mener une enquête conjointe sur les pratiques de 23andMe en matière de protection de la vie privée et sur son respect de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) du Canada ainsi que du règlement général sur la protection des données (General Data Protection Regulation) et de la loi sur la protection des données de 2018 (Data Protection Act 2018) du Royaume-Uni. L’enquête visait à déterminer :

• si 23andMe avait mis en place les mesures de sécurité nécessaires pour protéger adéquatement les renseignements personnels dont elle avait la gestion (les mesures de sécurité);
• si 23andMe a adéquatement avisé le Commissariat à la protection de la vie privée du Canada (CPVP) et le commissariat à l’information du Royaume-Uni (le commissariat à l’information) (ensemble « les commissariats ») et les personnes touchées par l’atteinte (signalement de l’atteinte et avis).

La société 23andMe a fait l’objet d’une longue attaque par bourrage d’identifiants, lors de laquelle l’auteur de menace a pu accéder à des milliers de comptes de clients et directement télécharger certains des renseignements personnels qu’ils contenaient. Pour mener son attaque, l’auteur de menace a utilisé des identifiants (nom d’utilisateur ou adresse courriel et mot de passe) volés lors d’atteintes précédentes ayant touché d’autres sites Web pour entreprendre des tentatives de connexion automatisées (bourrage d’identifiants) à la plateforme de 23andMe jusqu’à ce qu’il trouve des correspondances.

Sur une période de 5 mois qui a commencé le 29 avril 2023, l’auteur de menace est parvenu à accéder à plus de 18 000 comptes de clients. Selon ce que 23andMe a déclaré, au total, près de 7 millions de clients ont été touchés par l’atteinte dans le monde entier, dont près de 319 000 personnes au Canada et près de 155 600 personnes au Royaume-Uni.

Parmi les renseignements personnels contenus dans les comptes auxquels l’auteur de menace a eu accès, il y avait la date de naissance des utilisateurs, leur sexe assigné à la naissance, des données génétiques brutes ainsi que des renseignements sur leur santé, leur race et leur origine ethnique. Les clients pouvaient également activer la fonctionnalité DNA Relatives (DNAR), qui leur permettait de mettre certains renseignements (lien de parenté, année de naissance, pourcentage d’ADN commun, lieu de résidence, etc.) à la disposition de leurs parents génétiques. Si cette fonctionnalité était activée pour un compte, l’auteur de menace pouvait également avoir accès aux renseignements personnels de milliers d’autres personnes avec lesquels le propriétaire du compte touché par l’attaque aurait une correspondance génétique, notamment son nom, son année de naissance et son lieu de résidence (c’est-à-dire la ville et le code postal) autodéclarés, sa photo de profil et sa race ou son origine ethnique. Cette situation explique pourquoi l’auteur de la menace a eu accès aux renseignements personnels de près de 7 millions de clients, et ce, même si seulement 18 000 comptes ont été touchés.

Mesures de sécurité

Notre enquête nous a permis de constater que les mesures de sécurité de 23andMe comportaient certaines lacunes qui ont contribué à l’atteinte. Bon nombre des lacunes découlaient principalement du fait que 23andMe n’a pas tenu compte des risques du bourrage d’identifiants lors de la conception de ses mesures de sécurité, bien que le bourrage d’identifiants soit largement reconnu comme étant une forme d’attaque courante. Pour la plupart, les lacunes relevées se classaient dans trois catégories clés soit i) la prévention, ii) la détection et iii) l’intervention en cas d’atteinte.

Prévention

• Authentification multifacteur (AMF) facultative : L’AMF est un processus visant à renforcer la sécurité de l’authentification en exigeant de l’utilisateur plus qu’un simple mot de passe. Au moment de l’atteinte, 23andMe n’obligeait pas ses clients à activer l’AMF, et moins de 22 % d’entre eux avaient activé l’AMF ou l’authentification unique (AU), qui est un autre processus d’authentification plus sécuritaire que l’utilisation d’un simple mot de passe. Par conséquent, pour plus des trois quarts des clients, la seule mesure de contrôle qui protégeait l’accès à leur compte était l’utilisation d’un mot de passe, ce qui rendait les comptes vulnérables aux attaques basées sur les identifiants. La société 23andMe a déclaré qu’elle n’avait pas mis en œuvre l’AMF pour éviter de nuire à l’expérience utilisateur. Bien que nous comprenions que 23andMe tient à ce que sa plateforme soit conviviale, utiliser la plateforme facilement ne doit pas se faire au détriment d’une sécurité adéquate.
• Caractère inadéquat des exigences minimales relatives aux mots de passe : La politique relative aux mots de passe de 23andMe ne cadrait pas avec les pratiques exemplaires de l’industrie en place en 2023 ni avec les recommandations se trouvant sur la page Passwords in online services du commissariat à l’information, notamment celle que les mots de passe contiennent au moins dix caractères. La société 23andMe exigeait que les mots de passe contiennent au moins huit caractères, et il y avait peu de critères pour la complexité de ceux-ci.
• Vérifications inadéquates des mots de passe compromis : La société 23andMe n’a pas effectué de vérification minutieuse pour déterminer si ses clients réutilisaient des identifiants compromis lors d’atteintes antérieures à la protection des données.
• Absence de mesure de protection supplémentaire pour contrôler l’accès aux données génétiques brutes : Une fois qu’une personne avait ouvert une session, aucune mesure de sécurité supplémentaire ne vérifiait son identité pour l’empêcher, au besoin, de consulter et de télécharger les renseignements personnels les plus sensibles, notamment les données génétiques brutes.

Détection

• Systèmes de détection inefficaces : Les mécanismes de détection de 23andMe n’ont pas permis que la société soit avisée que des signes indiquaient clairement qu’un auteur de menace tentait d’accéder à un grand nombre de comptes de clients sans y être autorisé et était parvenu à le faire.
• Consignation et surveillance insuffisantes des activités suspectes des clients : Les mesures prises par 23andMe pour consigner et surveiller les activités sur les comptes des clients n’ont pas été suffisantes pour permettre à la société de détecter des comportements anormaux d’utilisateurs indiquant un accès non autorisé. De plus, 23andMe ne mettait aucun historique des appareils à la disposition des clients pour qu’ils puissent connaître les appareils utilisés pour accéder à leur compte.
• Caractère inadéquat des enquêtes sur les anomalies : La société 23andMe a manqué des occasions de détecter et de prévenir l’attaque, ou au moins de l’interrompre. Pendant la période de l’attaque, trois événements distincts sont survenus qui, collectivement, auraient dû faire en sorte que 23andMe détecte l’attaque avant octobre 2023. Si 23andMe l’avait détectée plus tôt, elle aurait pu éviter que des milliers de comptes ne soient touchés par l’attaque par bourrage d’identifiants.

Intervention en cas d’atteinte

• Mise en œuvre tardive des mesures d’atténuation : Malgré l’urgence de la situation et le fait que 23andMe savait qu’une attaque basée sur les identifiants était possiblement en cours, il a fallu quatre jours à la société pour fermer toutes les sessions actives des utilisateurs et exiger que tous les clients réinitialisent leur mot de passe. De plus, il a fallu environ un mois à 23andMe pour désactiver la fonctionnalité libre-service de téléchargement des données génétiques brutes et mettre en œuvre l’AMF obligatoire. L’absence de protocoles établis d’intervention en cas d’attaque par bourrage d’identifiants pourrait avoir contribué à cette mise en œuvre tardive.

Compte tenu de ce qui précède, les commissaires ont conclu dans leur rapport d’enquête préliminaire (le rapport préliminaire) que 23andMe n’avait pas mis en œuvre des mesures de sécurité adaptées à la sensibilité des renseignements en question et ont formulé des recommandations que 23andMe devait suivre pour que ses mesures de sécurité respectent les lois sur la protection des données du Canada et du Royaume-Uni. En réponse, 23andMe a informé les commissariats des améliorations qu’elle avait apportées à ses mesures de protection des renseignements depuis l’atteinte, et bon nombre d’entre elles correspondent à des domaines d’enquête ou à des préoccupations soulevés au cours de l’enquête. À la lumière de ce qui précède, les commissaires ont tiré les conclusions suivantes :

• Le Commissaire à la protection de la vie privée du Canada conclut que 23andMe a contrevenu au principe 4.7 de l’annexe 1 de la LPRPDE en omettant de mettre en œuvre des mesures de sécurité appropriées pour assurer la protection des renseignements personnels hautement sensibles de ses clients. Compte tenu des améliorations apportées par 23andMe, le Commissaire à la protection de la vie privée du Canada estime que ce volet de la plainte est fondé et résolu;
• Le Commissaire à l’information du Royaume-Uni conclut que 23andMe a contrevenu à l’alinéa 5(1)(f) et au paragraphe 32(1) du règlement général sur la protection des données du Royaume-Uni en omettant de mettre en œuvre des mesures techniques et organisationnelles adéquates pour assurer l’intégrité et la confidentialité de ses systèmes et services de traitement et des renseignements personnels de ses clients.

Signalement de l’atteinte et avis

Étant donné la grande sensibilité des renseignements compromis et la forte probabilité d’un mauvais usage dans le contexte, l’atteinte a créé un risque de préjudice pour les personnes qui franchit les seuils de signalement établis par la LPRPDE (c’est-à-dire un risque réel de préjudice grave) et par les paragraphes 33(1)^{Note de bas de page 1} et 34(1) du règlement général sur la protection des données du Royaume-Uni^{Note de bas de page 2}, de sorte que 23andMe a été tenue d’aviser 1) les commissariats et 2) les personnes touchées par l’atteinte.

Signalement aux commissariats

En ce qui concerne le signalement de l’atteinte par 23andMe aux commissariats, le Commissaire à la protection de la vie privée du Canada et le Commissaire à l’information du Royaume-Uni concluent qu’il ne respectait pas la LPRPDE et le règlement général sur la protection des données du Royaume-Uni, car 23andMe n’y a pas précisé tous les renseignements personnels compromis ou susceptibles d’être compromis lors de l’atteinte, notamment les données génétiques brutes, ni fourni l’information qu’elle savait au moment où elle a signalé l’atteinte. Pour ce qui est du moment du signalement, le Commissaire à la protection de la vie privée du Canada convient que 23andMe a signalé l’atteinte « dès que possible ». De même, le Commissaire à l’information du Royaume-Uni considère que les explications fournies par 23andMe pour justifier le fait qu’elle n’a pas signalé l’atteinte dans le délai de 72 heures prévu par le règlement général sur la protection des données sont raisonnables dans les circonstances.

Avis fourni aux personnes touchées

En ce qui concerne les avis qui ont été fournis aux personnes touchées par l’atteinte, le Commissaire à la protection de la vie privée du Canada et le Commissaire à l’information du Royaume-Uni concluent que certains des avis ne respectaient pas la LPRPDE et le règlement général sur la protection des données du Royaume-Uni, car 23andMe n’a pas fourni l’information pertinente qu’elle savait au moment où elle a avisé les personnes touchées. Par exemple, 23andMe n’a pas i) précisé tous les renseignements personnels compromis ou susceptibles d’être compromis lors de l’atteinte, ni ii) indiqué que les renseignements personnels de certaines personnes avaient été mis en vente en ligne par l’auteur de menace. Pour ce qui est du moment auquel les avis ont été fournis, ce n’est qu’en janvier 2024 que les personnes dont le compte a été compromis auraient été avisées qu’un auteur de menace avait directement accédé à leur compte, soit plus d’un mois après que 23andMe ait terminé son analyse judiciaire et déterminé quels comptes avaient été compromis. Étant donné qu’il lui a fallu un mois pour envoyer les avis, le Commissaire à la protection de la vie privée du Canada a conclu que 23andMe n’avait pas envoyé les avis aux personnes touchées par l’atteinte dès que possible.

Dans un rapport préliminaire, les commissariats ont formulé des recommandations que 23andMe devait suivre pour respecter ses obligations prévues par les lois sur la protection des données du Canada et du Royaume-Uni en ce qui concerne les avis à fournir en cas d’atteinte. En réponse, 23andMe a présenté aux commissariats les améliorations qu’elle a apportées pour veiller à ce que les organismes de réglementation concernés et les personnes touchées soient avisés adéquatement d’une atteinte à l’avenir. À la lumière de ce qui précède, les commissaires ont tiré les conclusions suivantes :

• Compte tenu des lacunes dans le signalement de l’atteinte au CPVP et les avis envoyés aux personnes touchées par l’atteinte, le Commissaire à la protection de la vie privée du Canada conclut que 23andMe a contrevenu à l’article 10.1 de la LPRPDE et aux articles 2 et 3 du Règlement sur les atteintes aux mesures de sécurité. Étant donné les mesures mises en œuvre par 23andMe après l’atteinte, le Commissaire estime que ce volet de la plainte est fondé et résolu;
• Le Commissaire à l’information du Royaume-Uni conclut que 23andMe n’a pas respecté les exigences des alinéas 33(3)(a) et (c) du règlement général sur la protection des données du Royaume-Uni concernant les signalements au commissariat à l’information ni les exigences des paragraphes 34(1) et (2) du règlement (à lire avec l’alinéa 33(3)(c) du règlement) concernant le contenu des avis envoyés aux personnes touchées par une atteinte.

Protection des renseignements personnels dans le cadre d’une faillite

À la suite de l’atteinte et en raison de pertes financières croissantes, 23andMe Holding Co. et certaines de ses filiales, dont 23andMe, ont déclaré faillite au titre du chapitre 11 de la loi américaine sur les faillites le 23 mars 2025. Les commissariats ont écrit au syndic de faillite américain qui gère les procédures de faillite de 23andMe pour insister sur le fait qu’il y a des exigences juridiques selon lesquelles les renseignements personnels concernant des personnes situées au Canada et au Royaume-Uni doivent être traités conformément aux lois sur la protection des données des deux pays. Une audience d’approbation de la vente est prévue le 17 juin 2025 devant le tribunal de la faillite des États-Unis pour le district Est du Missouri.

Si une entreprise acquiert les renseignements personnels des clients de 23andMe, les commissariats lui fourniront une copie du présent rapport pour qu’elle comprenne ses obligations prévues par la LPRPDE et le règlement général sur la protection des données du Royaume-Uni, notamment la protection des renseignements personnels au moyen de mesures de sécurité rigoureuses. Les commissariats n’hésiteront pas à prendre les mesures appropriées s’ils estiment qu’on ne respecte pas les lois applicables en matière de protection des données dans leur juridiction respective.

Contexte

1. La société 23andMe est une multinationale dans le domaine de la biotechnologie et son siège social est situé dans l’État du Delaware, aux États-Unis. Elle a fourni, et fournit toujours au moment de la rédaction du présent rapport, des services de dépistage génétique et de généalogie directement aux consommateurs à l’échelle mondiale, notamment au Canada et au Royaume-Uni. Au moyen d’un compte en ligne, les clients ont accès à des renseignements sur leur généalogie et leur santé. Ils peuvent se connecter à leur compte sur le site Web de 23andMe (en anglais seulement) ou sur l’application mobile Android ou iOS (la plateforme).
2. Afin de servir ses clients, 23andMe leur demande de fournir un échantillon d’ADN^{Note de bas de page 3}, qu’elle analyse. Si le client y a consenti, son échantillon d’ADN peut également être utilisé dans le cadre de travaux de recherche. Entre autres, 23andMe offre les services suivants au Canada et au Royaume-Uni :
   1. L’Ancestry Service (en anglais seulement), qui permet aux clients d’accéder à leur rapport d’ascendance pour connaître l’origine géographique de leurs ancêtres (liste d’ascendance). S’ils le souhaitent, les clients peuvent accepter que leurs renseignements servent à trouver leurs parents génétiques grâce à la fonctionnalité DNAR. La fonctionnalité peut également créer un arbre généalogique contenant les parents génétiques du client.
   2. Le Health Service (en anglais seulement), qui permet aux clients de consulter les rapports sur leur santé, leur prédisposition génétique, leur bien-être et leur statut de porteur. Les clients peuvent également payer pour avoir accès à des rapports pharmacogénétiques supplémentaires et à d’autres fonctionnalités et rapports liés à la santé alimentés par les travaux de recherche de 23andMe^{Note de bas de page 4}.
3. Dans une publication datée du 1er octobre 2023, une personne utilisant Reddit^{Note de bas de page 5} a affirmé qu’elle avait infiltré les systèmes de 23andMe. Elle offrait de vendre les renseignements personnels^{Note de bas de page 6} de clients de 23andMe et avait inclus un échantillon des données volées.
4. Après qu’un employé de 23andMe a découvert la publication Reddit, la société a entamé une enquête. Le 5 octobre 2023, elle a confirmé à l’interne qu’une attaque par bourrage d’identifiants s’était produite (l’atteinte). Le 6 octobre 2023, 23andMe a publié des précisions sur l’atteinte sur son site Web et confirmé qu’une attaque par bourrage d’identifiants en était la cause^{Note de bas de page 7}.
5. Une attaque par bourrage d’identifiants est une méthode de cyberattaque qui exploite la tendance des personnes à utiliser les mêmes justificatifs d’identité (une même combinaison de nom d’utilisateur ou courriel et de mot de passe, par exemple) sur de multiples plateformes en ligne. Ce type d’attaque est automatisé et souvent de grande envergure, et utilise des identifiants volés lors d’atteintes précédentes à la sécurité des données pour accéder illégalement à d’autres comptes des utilisateurs.
6. Le 9 octobre 2023, 23andMe a fermé toutes les sessions actives sur la plateforme.
7. Le 10 octobre 2023, 23andMe a envoyé un courriel à tous ses clients pour les aviser de l’atteinte et les informer qu’ils recevraient un courriel distinct si leurs renseignements personnels avaient été touchés. La société a demandé à ses clients de modifier leur mot de passe et les a encouragés à activer l’AMF. Cette dernière est un processus de connexion en plusieurs étapes, qui exige plus qu’un simple mot de passe. Elle authentifie les utilisateurs à l’aide d’au moins deux des trois facteurs suivants : quelque chose qu’ils savent (par exemple, un mot de passe), quelque chose qu’ils ont (par exemple, un appareil de confiance) et quelque chose qu’ils sont (par exemple, des données biométriques).
8. Le 15 octobre 2023, 23andMe a soumis le premier de deux rapports d’atteinte à la vie privée au commissariat à l’information.
9. Le 18 octobre 2023, à la suite d’une demande du CPVP, 23andMe lui a soumis le premier de trois rapports d’atteinte à la vie privée.
10. Dans ses premiers rapports soumis aux commissariats en octobre 2023, 23andMe a signalé que les renseignements personnels de 1 103 647 clients à l’échelle mondiale semblaient avoir été touchés. De ce nombre, 41 287 utilisateurs habitaient au Canada; et 18 856, au Royaume-Uni. Bien que 23andMe ait indiqué que son enquête sur l’incident était en cours, elle a confirmé qu’un auteur de menace avait accédé à certains comptes 23andMe au moyen du bourrage d’identifiants et téléchargé les renseignements générés par la fonctionnalité DNAR de plus d’un million de clients. Des rapports de signalement d’atteinte à la vie privée supplémentaires soumis plus tard en octobre 2023^{Note de bas de page 8} ont indiqué que 5 621 179 clients avaient été touchés à l’échelle mondiale, dont 250 082 au Canada et 77 412 au Royaume-Uni.
11. Le 4 décembre 2023, 23andMe a signalé au CPVP que l’accès par l’auteur de menace avait compromis des « renseignements non interprétés sur le génotype » (données génétiques brutes) de certaines personnes dont le compte avait été touché. À cette date, 23andMe a également mis à jour les chiffres précédemment transmis au CPVP, indiquant qu’un total de 6 984 430 clients avaient été touchés par l’atteinte à l’échelle mondiale, dont 319 635 au Canada. En réponse aux demandes présentées par les commissariats pendant l’enquête visée par le présent rapport, 23andMe a déclaré qu’elle avait oublié de soumettre une mise à jour correspondante des chiffres au commissariat à l’information; celle-ci lui a été fournie le 24 juin 2024.
12. En février 2024, le CPVP a reçu l’information supplémentaire qu’il avait demandée à 23andMe au sujet de l’atteinte, notamment sur les renseignements personnels touchés et les mesures de protection en place au moment de l’atteinte. 23andMe a également précisé que les « renseignements non interprétés sur le génotype » compromis étaient des fichiers de données contenant des données génétiques brutes. Après avoir reçu cette information, le Commissaire à la protection de la vie privée du Canada a déposé une plainte contre 23andMe concernant l’atteinte en vertu du paragraphe 11(2) de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) du Canada^{Note de bas de page 9}.
13. Compte tenu de l’ampleur de l’atteinte, de la sensibilité des renseignements personnels touchés et du service international fourni par 23andMe, le CPVP et le commissariat à l’information ont décidé de mener une enquête conjointe sur les pratiques de 23andMe en matière de protection de la vie privée et sur son respect des lois sur la protection des données applicables. L’enquête conjointe a été annoncée publiquement le 10 juin 2024^{Note de bas de page 10} et démontre que les commissariats s’engagent à travailler ensemble, puisqu’ils jugent la collaboration internationale essentielle pour intervenir efficacement en cas d’atteinte à la protection des données personnelles.
14. L’enquête conjointe a été menée sous le régime de la LPRPDE du Canada et des lois sur la protection des données du Royaume-Uni, soit le règlement général sur la protection des données et la loi sur la protection des données de 2018. La collaboration internationale a été rendue possible grâce à la participation du CPVP et du commissariat à l’information à un protocole d’entente au titre de l’article 23.1 de la LPRPDE et de l’article 50 du règlement général sur la protection des données du Royaume-Uni.
15. L’enquête conjointe visait à évaluer :
    1. le volume et la nature des renseignements personnels compromis lors de l’atteinte, notamment le nombre de personnes vivant au Canada et au Royaume-Uni dont les comptes ont été directement consultés ou pourraient avoir été consultés, le type de renseignements personnels compromis à la suite de l’accès non autorisé (par exemple, les données génétiques brutes) et les préjudices potentiels pour les personnes touchées;
    2. la pertinence des mesures de sécurité mises en place pour protéger les comptes des clients et les renseignements personnels qu’ils contiennent (par exemple, les données génétiques brutes), la capacité des mesures à détecter un accès non autorisé sur une période prolongée et la pertinence des améliorations en matière de sécurité apportées à la suite de l’incident;
    3. la pertinence, la qualité et la rapidité du signalement de l’atteinte aux commissariats et aux personnes touchées.

Méthodologie

16. Les commissariats ont analysé les observations et les autres documents fournis par 23andMe en réponse aux demandes de renseignements et par les employés clés de 23andMe lors d’entrevues. Les commissariats ont également examiné les renseignements de source ouverte disponibles concernant cette atteinte.
17. Il convient de noter que les commissariats n’ont pu obtenir tous les documents demandés, notamment certaines copies des registres d’incidents internes de 23andMe et le rapport d’enquête judiciaire^{Note de bas de page 11}, et qu’ils n’ont donc pas pu les analyser dans le cadre de leur enquête. La société a justifié sa décision de ne pas transmettre ces documents en invoquant le secret professionnel de l’avocat au Canada et au Royaume-Uni et la doctrine relative aux préparatifs d’une instance aux États-Unis^{Note de bas de page 12} (collectivement appelés le « secret professionnel de l’avocat »).
18. Après avoir recueilli les éléments de preuve de l’enquête, les commissaires ont remis un rapport préliminaire à 23andMe. Ce rapport préliminaire présentait la justification des conclusions préliminaires des commissaires et les sujets de préoccupation détaillés ci-dessous, en plus de contenir les recommandations du CPVP et les exigences provisoires du commissariat à l’information visant à faire en sorte que 23andMe respecte la LPRPDE et le règlement général sur la protection des données. En réponse aux conclusions du rapport préliminaire, 23andMe a fourni des observations écrites. Dans le cadre des procédures du commissariat à l’information, elle a présenté d’autres observations à l’occasion d’une audience qui a eu lieu le 30 avril 2025 (l’audience). Lorsqu’il était approprié de le faire, nous avons intégré les réponses de 23andMe dans le présent rapport de conclusions.
19. Tout au long de l’enquête, 23andMe a tardé à répondre aux demandes. Comme certaines de ses réponses étaient approximatives, les commissariats ont également dû lui demander des précisions à maintes reprises. Pour expliquer les longs délais de réponse et les incohérences, 23andMe a cité des absences de personnel, le fait qu’elle gérait de nombreux litiges en cours, une réduction des effectifs et des changements importants de personnel.

Analyse

Renseignements sur l’atteinte

20. Un auteur de menace^{Note de bas de page 13} a mené une attaque par bourrage d’identifiants entre le 29 avril et le 20 septembre 2023, pendant laquelle il a accédé aux comptes de 18 222 clients à l’échelle mondiale, dont 769 habitants du Canada et 611 habitants du Royaume-Uni^{Note de bas de page 14}. À l’aide des comptes touchés par l’attaque, l’auteur de menace a pu accéder aux renseignements personnels de près de 7 millions de clients supplémentaires en utilisant la fonctionnalité DNAR, comme indiqué au paragraphe 29. La chronologie des événements entourant l’atteinte est présentée ci-dessous.
21. Du 29 avril au 16 mai 2023, il y a eu une première période au cours de laquelle l’auteur de menace a mené d’intenses activités de bourrage d’identifiants. Pendant cette période, il est parvenu à accéder à 9 974 comptes.
22. En juillet 2023, l’auteur de menace a utilisé un programme informatique pour se connecter à un compte gratuit sans échantillon d’ADN à plus d’un million de reprises pendant une seule journée. Son objectif était de lancer des transferts de profils, mais il n’y est pas parvenu. En ce qui concerne les transferts de profils, nous soulignons qu’un compte 23andMe peut comprendre plus d’un profil. Une fois qu’un client enregistre sa trousse de prélèvement 23andMe, un profil est créé pour la trousse. Un client peut choisir de transférer son profil à un compte distinct, par exemple, pour autoriser un autre utilisateur à le gérer en son nom^{Note de bas de page 15}. En raison de cet énorme volume de connexions en une seule journée, la plateforme de 23andMe a « planté », c’est-à-dire qu’elle a cessé de fonctionner et que les utilisateurs n’y avaient pas accès. Plus tard dans le mois, l’auteur de menace a tenté de transférer des profils de centaines de comptes de clients, mais, encore une fois, il n’y est pas parvenu.
23. Après avoir découvert les tentatives de transfert de profils, 23andMe a fait enquête et pris les mesures nécessaires pour prévenir les transferts de profils non autorisés (comme il est expliqué en détail au paragraphe 91). L’enquête menée par 23andMe à ce moment n’a pas permis de lier l’incident à une attaque plus vaste contre la plateforme.
24. Le 10 août 2023, 23andMe a reçu des messages (dans son portail client) d’une personne affirmant avoir volé les données de plus de 10 millions de clients, ce qui représente 300 téraoctets de données. Selon les registres d’incidents de 23andMe, quelqu’un du personnel de 23andMe a noté qu’à peu près au même moment, une personne ayant le même nom d’utilisateur avait fait une déclaration similaire sur Reddit (comme indiqué au paragraphe 94). Après avoir réalisé une enquête à ce sujet, l’équipe de sécurité de 23andMe a déterminé qu’il s’agissait d’un canular.
25. En septembre 2023, il y a eu une deuxième période au cours de laquelle l’auteur de menace a mené d’intenses activités de bourrage d’identifiants^{Note de bas de page 16}, et 4 364 comptes supplémentaires ont été compromis.
26. Dans le cadre d’une série d’attaques menées entre avril et septembre 2023, l’auteur de menace a :
    1. fait planter la plateforme en tentant d’accéder à un même compte plus d’un million de fois au cours d’une seule journée;
    2. tenté, sans succès, d’entreprendre environ 400 transferts de profils;
    3. lancé la copie automatique des renseignements sur le profil et l’arbre généalogique de millions de clients qui avaient activé la fonctionnalité DNAR et étaient parents avec les propriétaires des comptes touchés par l’attaque;
    4. lancé la copie automatique de la liste d’ascendance et des renseignements sur la santé de milliers de comptes touchés par l’attaque;
    5. téléchargé les données génétiques brutes d’un certain nombre de personnes dans le monde dont les comptes avaient fait l’objet d’une attaque par bourrage d’identifiants (voir les précisions au paragraphe 31 et plus loin dans le rapport).
27. Malgré toutes ces activités, 23andMe n’a pas réalisé qu’une attaque par bourrage d’identifiants était en cours avant octobre 2023. Ce n’est que lorsque l’auteur de menace a mis en vente les données volées sur Reddit le 1er octobre 2023 que 23andMe a mené une enquête plus approfondie sur l’incident, puis a confirmé qu’une atteinte à la sécurité des données s’était produite.

Personnes touchées et renseignements personnels compromis

28. À l’échelle mondiale, près de sept millions de clients de 23andMe ont été touchés par l’atteinte, ce qui représentait près de la moitié de ses clients actifs à ce moment. Les personnes touchées appartiennent à l’une des deux catégories suivantes : i) les personnes dont les renseignements sur leur arbre généalogique et les renseignements se trouvant dans leur profil DNAR ont été touchés et ii) les personnes dont les comptes ont été touchés.
29. Lorsqu’un utilisateur active la fonctionnalité DNAR dans son compte, il peut voir le profil DNAR de 1 500 ou 5 000 autres utilisateurs, selon le niveau de son abonnement. Par conséquent, en accédant aux comptes de 18 222 clients, l’auteur de menace a pu utiliser cette fonctionnalité pour copier les renseignements des profils DNAR de près de 7 millions de clients.
30. Renseignements contenus dans les profils DNAR : Le profil DNAR d’un utilisateur peut notamment contenir son nom^{Note de bas de page 17}, son année de naissance et son emplacement autodéclarés (ville et code postal), sa photo de profil et sa race ou son origine ethnique. Il pourrait également contenir des renseignements sur le lien de parenté entre l’utilisateur en question et l’utilisateur dont le compte a été compromis, notamment le pourcentage d’ADN commun, les segments d’ADN communs, les segments identiques par descendance (IBD)^{Note de bas de page 18} et d’autres renseignements sur l’arbre généalogique.
    

    Profils DNAR, rapports d’ascendance et profils d’arbre généalogique
    Nombre* de personnes touchées signalé par 23andMe

    Type de RP compromis	Canada	R.-U.	Échelle mondiale
    Profils DNAR	244 583	120 031	5 497,376
    Rapports d’ascendanceNote de bas de page 19	245 208	120 504	5 512 131
    Profils d’arbre généalogique	74 282	35 561	1 468 791
    * Les profils DNAR et les profils d’arbre généalogique sont mutuellement exclusifs, mais pas les profils DNAR et les rapports d’ascendance.

31. Renseignements contenus dans les comptes touchés par l’attaque : En plus des renseignements contenus dans les profils DNAR et les arbres généalogiques mentionnés au paragraphe 30, l’accès de l’auteur de menace à des comptes touchés par l’attaque a fait en sorte qu’il a pu consulter une partie ou l’ensemble des renseignements suivants :
    1. nom complet, date de naissance, sexe à la naissance, genre, adresse courriel, pays et code postal de résidence actuelle, poids et taille;
    2. des données génétiques brutes, qui offrent des précisions sur tous les renseignements bruts non interprétés sur le génotype, notamment des données ne figurant pas dans les rapports que 23andMe fournit à ses clients;
    3. des rapports sur la santé, qui présentent les risques génétiques pour la santé (variantes liées à un risque accru de certains problèmes de santé); des rapports sur la pharmacogénétique (variantes pouvant influer sur la capacité du corps à tolérer certains médicaments); des rapports sur le statut de porteur (variantes pouvant être la cause de maladies héréditaires); et, pour certains clients, des renseignements fournis par eux-mêmes sur leur état de santé;
    4. des rapports d’ascendance, qui présentent des renseignements sur l’origine ethnique, laquelle a été déterminée selon l’ADN, notamment les régions d’origine, les haplogroupes^{Note de bas de page 20} maternel et paternel et l’ascendance néandertalienne^{Note de bas de page 21}.
32. En date du 16 juillet 2024, selon les observations de 23andMe, le nombre de personnes dont les renseignements personnels suivants ont été compromis va comme suit :
    

    Comptes touchés par l’attaque
    Nombre de personnes touchées signalé par 23andMe

    Comptes touchés par l’attaque	Canada	R.-U.	Échelle mondiale
    Total :	769	611	18 222
    Type de RP compromis	Canada	R.-U.	Échelle mondiale
    Données génétiques brutes (téléchargées)	1 *	0	18 *
    Données génétiques brutes (consultées)Note de bas de page 22	2	2	49
    Rapports sur la santé	413	320	8 217
    Renseignements fournis par les clients sur leur état de santé	2	3	63
    * Comme indiqué au paragraphe 33 ci-dessous, ces chiffres ont été modifiés à la suite d’une analyse plus approfondie effectuée par 23andMe.

33. Les commissariats ont constaté dans l’analyse judiciaire qu’a faite 23andMe des téléchargements de données génétiques brutes des lacunes qui laissent croire que l’auteur de menace pourrait avoir téléchargé les données génétiques brutes d’un plus grand nombre de comptes (pour des précisions, voir les paragraphes 194 et 195). Lors de l’audience du 30 avril 2025, 23andMe a fourni des statistiques révisées sur le nombre de personnes touchées; elle a établi ces données après avoir reçu le rapport préliminaire et effectué une autre analyse. La société a informé les commissariats que cette nouvelle analyse avait révélé que l’auteur de menace n’avait téléchargé que les données génétiques brutes de quatre personnes dans le monde, dont aucune ne se trouvait au Canada ou au Royaume-Uni. Ni le CPVP ni le commissariat à l’information n’ont vérifié ces chiffres de façon indépendante.

Enjeu 1 : La société 23andMe a-t-elle mis en œuvre des mesures de sécurité appropriées pour protéger adéquatement les renseignements personnels dont elle avait la gestion?

34. Les commissariats ont déterminé que les mesures de sécurité de 23andMe présentaient de nombreuses lacunes, qui ont fait en sorte qu’il soit plus facile pour l’auteur de menace d’obtenir un accès non autorisé aux renseignements personnels compromis. La conclusion des commissaires est que, pour les raisons décrites plus loin, les mesures de protection en place au moment de l’atteinte n’étaient pas adéquates ni appropriées pour protéger la grande quantité de renseignements personnels sensibles détenus par 23andMe. Par conséquent, les commissaires ont conclu qu’au moment de l’atteinte, 23andMe ne respectait pas le principe 4.7 de l’annexe 1 de la LPRPDE et contrevenait aux alinéas 5(1)(f) et 32(1)(b) et (d) du règlement général sur la protection des données du Royaume-Uni.
35. Le principe 4.7 de l’annexe 1 de la LPRPDE prévoit que les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité. Conformément au principe 4.7.1, les mesures de sécurité doivent protéger les renseignements personnels contre la perte ou le vol ainsi que contre la consultation, la communication, la copie, l’utilisation ou la modification non autorisée.
36. Le principe 4.7.3 de l’annexe 1 de la LPRPDE prévoit que les méthodes de protection devraient comprendre : a) des moyens matériels, par exemple le verrouillage des classeurs et la restriction de l’accès aux bureaux; b) des mesures administratives, par exemple des autorisations sécuritaires et un accès sélectif; et c) des mesures techniques, par exemple l’usage de mots de passe et du chiffrement.
37. L’alinéa 5(1)(f) du règlement général sur la protection des données prévoit que les données personnelles doivent être traitées de façon à garantir une sécurité appropriée des données personnelles, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle à l’aide de mesures techniques ou organisationnelles adéquates (intégrité et confidentialité).
38. Le paragraphe 32(1) du règlement général sur la protection des données prévoit que, compte tenu de l’état de la technique, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des fins du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, que présente le traitement pour les droits et libertés des personnes physiques, le contrôleur^{Note de bas de page 23} et le responsable du traitement^{Note de bas de page 24} doivent mettre en œuvre des mesures techniques et organisationnelles adéquates pour assurer un niveau de sécurité adapté au risque.

Nature sensible des renseignements personnels

39. Les renseignements personnels sensibles nécessitent un niveau de protection plus élevé. Le CPVP et le commissariat à l’information concluent respectivement que certains renseignements personnels traités par 23andMe sont des renseignements personnels très sensibles au titre de la LPRPDE et des données de catégorie spéciale au titre du règlement général sur la protection des données du Royaume-Uni. Par conséquent, 23andMe aurait dû mettre en place des mesures de sécurité assez rigoureuses pour protéger ces renseignements personnels.
40. Le bulletin d’interprétation sur les renseignements sensibles^{Note de bas de page 25} du CPVP explique que les renseignements médicaux sont extrêmement sensibles et doivent faire l’objet du plus haut degré de protection^{Note de bas de page 26}. Il y est également indiqué que les renseignements personnels dont la collecte, l’utilisation et la communication révèlent l’origine ethnique d’une personne sont généralement considérés comme sensibles.
41. Dans leur déclaration conjointe publiée en 2017 sur les tests génétiques offerts directement aux consommateurs et la protection de la vie privée^{Note de bas de page 27}, le CPVP et ses homologues provinciaux de l’Alberta et de la Colombie-Britannique indiquent que les renseignements génétiques, lorsqu’ils sont combinés aux coordonnées et aux renseignements sur la santé d’une personne, dressent un portait très détaillé de la personne et, potentiellement, des membres de sa famille. Par conséquent, les entreprises devraient élaborer et mettre en œuvre des politiques rigoureuses et des contrôles de sécurité afin d’assurer une protection contre les risques d’accès non autorisé, de perte ou de vol et veiller à ce que les renseignements personnels ne soient ni divulgués ni utilisés à des fins autres que celles pour lesquelles ils ont été recueillis initialement.
42. La définition des données de catégorie spéciale au paragraphe 9(1) du règlement général sur la protection des données du Royaume-Uni comprend les données personnelles qui révèlent l’origine raciale ou ethnique, les données génétiques et les données concernant la santé.
43. Selon l’orientation Special category data (en anglais seulement) du commissariat à l’information, les attendus du règlement général sur la protection des données du Royaume-Uni^{Note de bas de page 28} expliquent que ces types de données personnelles méritent une protection particulière. En effet, l’utilisation des données pourrait comporter des risques importants pour les droits et libertés fondamentaux d’une personne. Il est présumé que ces types de données doivent être traités avec plus d’attention, car leur collecte et leur utilisation sont plus susceptibles de porter atteinte aux droits fondamentaux d’une personne ou d’augmenter les risques de discrimination.
44. L’orientation du commissariat à l’information indique également que l’un des facteurs à prendre en considération pour déterminer le niveau de sécurité approprié est la sensibilité des données personnelles. Il est possible qu’il faille vérifier si des mesures de sécurité supplémentaires sont nécessaires pour les données de catégorie spéciale^{Note de bas de page 29}.
45. La société 23andMe a traité, et traite toujours au moment de la rédaction du présent rapport, les renseignements personnels de millions de clients. Comme on l’a mentionné précédemment, il peut s’agir de renseignements sur l’ethnicité et la race et, dans certains cas, de données génétiques brutes et de renseignements sur la santé. Ces renseignements, surtout lorsqu’ils sont combinés à d’autres renseignements personnels se trouvant dans les profils DNAR et les comptes touchés par l’attaque, sont considérés comme très sensibles.
46. Par conséquent, notre analyse visait à déterminer si les mesures de protection de 23andMe convenaient au niveau élevé de sensibilité des renseignements personnels qu’elle traitait au moment de l’atteinte et si elles y conviennent toujours au moment où nous rédigeons ce rapport.

Le bourrage d’identifiants en tant que risque

47. Pour évaluer et prioriser efficacement les risques liés à la cybersécurité, une organisation doit tenir compte de la probabilité qu’une menace se concrétise et de l’incidence qu’elle pourrait avoir, le cas échéant. La société 23andMe aurait donc dû déterminer que, tout particulièrement, le bourrage d’identifiants présentait un risque élevé pour la plateforme en raison de sa probabilité et de son incidence.
48. Tout d’abord, les attaques basées sur les identifiants sont les attaques contre des applications Web les plus fréquentes^{Note de bas de page 30}. De nombreuses normes et directives^{Note de bas de page 31} déjà publiées au moment de l’atteinte indiquaient que les attaques basées sur les identifiants, notamment celles par bourrage d’identifiants, étaient une méthode d’attaque très susceptible d’être utilisée.
49. Ensuite, la nature des renseignements personnels très sensibles et possiblement précieux se trouvant dans les comptes des clients de 23andMe a fait d’eux une cible attrayante pour les auteurs de menace. La société 23andMe savait que les renseignements en question étaient très sensibles. Elle aurait donc dû accorder une grande importance à ce facteur lors de son évaluation de la probabilité et de l’incidence d’une atteinte et conclure que ses clients couraient un risque accru d’être les cibles d’attaques basées sur les identifiants.
50. Malgré cela, le dirigeant principal de la sécurité de 23andMe a, lors des entrevues, indiqué aux commissariats que la société n’avait pas déterminé que le bourrage d’identifiants présentait un risque élevé pour sa plateforme. Le fait que la société n’a pas mené d’évaluation des risques adéquate relativement au bourrage d’identifiants a influé sur la conception et la mise en œuvre des mesures de protection en place au moment de l’atteinte.

Mesures de protection en place au moment de l’atteinte

51. La conclusion des commissaires est que 23andMe n’a pas évalué adéquatement le risque d’attaques par bourrage d’identifiants contre sa plateforme. Par conséquent, les mesures de protection décrites ci-dessous étaient insuffisantes pour protéger les renseignements personnels très sensibles qui restent dans les comptes des clients de 23andMe contre les attaques par bourrage d’identifiants. Pour en arriver à cette conclusion, les commissariats ont examiné trois éléments clés : i) la prévention, ii) la détection, et iii) l’intervention en cas d’atteinte à la sécurité. Les éléments sont décrits en détail plus loin.

Méthodes d’authentification

52. Le présent rapport traite de l’AMF, de la vérification en deux étapes (VDE) et de l’AU. Toutefois, nous utilisons principalement le sigle « AMF », sauf s’il est nécessaire de préciser qu’il est plutôt question de la VDE ou de l’AU.
53. L’AMF est un processus visant à renforcer la sécurité de l’authentification en exigeant de l’utilisateur plus qu’un simple mot de passe. Par exemple, en plus de demander un mot de passe, l’AMF peut exiger que l’utilisateur saisisse un code à usage unique envoyé à son appareil, se connecte à un appareil de sécurité de confiance ou déverrouille son compte à l’aide d’une empreinte digitale. Dans le rapport, nous présenterons notamment deux types d’AMF : la VDE par application et par message.
54. L’AMF par application est une méthode d’AMF qui exige au client d’installer une application d’authentification tierce (par exemple, Google Authenticator) et de synchroniser un code de vérification entre son compte et l’application. Bien que cette méthode soit plus complexe pour le client d’un point de vue technique, elle est plus fiable que la méthode de VDE par message décrite ci-dessous.
55. La VDE est un processus d’authentification à deux étapes. Lorsqu’une personne tente de se connecter au compte du client, ce dernier reçoit un courriel ou un message texte à l’adresse courriel ou au numéro de téléphone qu’il a saisi dans son compte. Le courriel ou le message texte contient un code d’accès que la personne doit saisir dans l’application pour que la connexion soit authentifiée. Le niveau de protection de la VDE par message peut être affaibli dans le cas d’une attaque par interception, puisque l’auteur de menace peut déjà avoir compromis l’adresse courriel du compte.
56. L’AU permet à un client d’utiliser un compte existant auprès d’un fournisseur de services de confiance (par exemple, Apple ou Google) pour accéder à un autre service. Dans ce cas, le fournisseur de services de confiance est responsable de veiller à ce que l’utilisateur qui fait la demande soit la bonne personne. Pour ce faire, il peut notamment utiliser l’AMF ou une autre méthode appropriée.

Mesures de protection en place au moment de l’atteinte

57. Pendant l’enquête, nous avons constaté qu’au moment de l’atteinte, 23andMe accordait une plus grande importance à la protection de son infrastructure interne et dorsale (la partie de la plateforme à laquelle les clients n’ont pas directement accès)^{Note de bas de page 32}. Citons, à titre d’exemple, les situations suivantes :
    1. La société 23andMe exigeait que tous les employés ayant accès aux renseignements de la société utilisent l’AMF ou l’AU pour se connecter à leur compte. Cependant, cette fonctionnalité était facultative pour les clients.
    2. Bien que 23andMe ait mené des essais de pénétration^{Note de bas de page 33} pour évaluer la qualité des mesures de protection de l’infrastructure dorsale, elle n’a jamais simulé d’attaque par bourrage d’identifiants dans l’interface frontale.
    3. Les politiques et procédures d’intervention en cas d’incident de 23andMe étaient génériques, et la société n’avait pas mis au point de guide précis (c’est-à-dire, un cadre détaillé sur la gestion des incidents de sécurité) sur l’intervention en cas d’attaque par bourrage d’identifiants^{Note de bas de page 34}.
58. La société 23andMe a informé les commissariats qu’au moment de l’atteinte, des mesures de protection étaient en place pour protéger sa plateforme destinée aux clients (plateforme frontale) contre les accès non autorisés. Des exemples de ces mesures se trouvent ci-dessous.
    1. Une adresse courriel et un mot de passe sont nécessaires pour ouvrir une session.
    2. Il est possible d’utiliser l’AMF par application ou l’AU au moyen d’un compte Google ou Apple.
    3. Des règles fondées sur les pare-feu pour les applications Web^{Note de bas de page 35} et sur les adresses IP^{Note de bas de page 36} permettent à la plateforme de :
       1. dresser un obstacle (par exemple, un captcha^{Note de bas de page 37}) lorsque le système détecte un visiteur jugé suspect;
       2. bloquer l’accès dans des circonstances précises qui donnent lieu à une suspicion d’activité malveillante;
       3. limiter certaines actions.
    4. Une équipe responsable des opérations de sécurité est disponible en tout temps (rotation sur appel) pour intervenir en cas d’alerte ou d’événement de sécurité.
    5. La société utilise un logiciel de gestion des incidents et des événements de sécurité, qui tente de détecter les activités malveillantes et de générer une alerte appropriée. Les alertes sont examinées par l’équipe responsable des opérations de sécurité.
    6. Un programme public de prime aux bogues est en place pour verser une prime aux personnes qui signalent des problèmes logiciels (bogues) susceptibles de créer des vulnérabilités en matière de sécurité.

Prévention

59. Notre conclusion est qu’au moment de l’atteinte, les mesures de prévention en place pour protéger la plateforme de 23andMe contre les attaques par bourrage d’identifiants étaient inadéquates, et ce, principalement par rapports aux trois aspects suivants : l’AMF, la vérification des mots de passe compromis et les exigences minimales relatives aux mots de passe.

Authentification multifacteur (AMF)

60. Si l’AMF avait été obligatoire, il est fort probable que la vaste attaque par bourrage d’identifiants, de même que l’atteinte qui en a découlé, auraient été évitées. D’ailleurs, des recherches ont montré que l’AMF est la mesure de protection la plus efficace pour prévenir les attaques basées sur les identifiants^{Note de bas de page 38}. Au moment de l’atteinte, environ 78 % des clients de 23andMe n’avaient activé ni l’AMF ni l’AU, ce qui les rendait vulnérables aux attaques basées sur les identifiants; seulement 0,2 % des clients utilisaient l’AMF par application offerte par 23andMe, 3,2 %, le service d’AU au moyen de leur compte Apple et 18,3 %, le service d’AU au moyen de leur compte Google. La société 23andMe a indiqué aux commissariats qu’elle encourageait ses clients à activer l’AMF au moment de la création de leur compte. Néanmoins, la grande majorité d’entre eux n’ont pas activé cette mesure de protection très efficace.
61. L’auteur de menace n’a eu qu’à se connecter à la plateforme à l’aide d’un seul ensemble d’identifiants valides (nom d’utilisateur et mot de passe) pour parvenir à accéder à tous les comptes touchés par l’attaque. Comme aucune autre mesure de protection n’était en place pour vérifier l’identité de l’utilisateur qui tente de se connecter à un compte, la plateforme a déterminé que l’auteur de menace était le détenteur légitime du compte. En outre, 23andMe n’informait pas les clients des nouvelles connexions à leur compte à partir d’un appareil non reconnu, d’une adresse IP ou d’un emplacement inconnu, ni des tentatives de connexion infructueuses.
62. De plus, il n’y avait aucune autre mesure pour vérifier l’identité d’un utilisateur avant qu’il ait accès à des renseignements sensibles, notamment les données génétiques brutes, ou qu’il puisse les télécharger^{Note de bas de page 39}. Si une étape d’authentification obligatoire supplémentaire avait été en place pour contrôler les actions à risque élevé^{Note de bas de page 40}, par exemple le téléchargement de données génétiques brutes, l’auteur de menace n’aurait peut-être pas été en mesure de télécharger les renseignements personnels très sensibles.
63. En rendant l’AMF facultative, la société allait à l’encontre des normes et des directives pertinentes en vigueur en 2023^{Note de bas de page 41}, selon lesquelles l’AMF devrait être obligatoire pour protéger des renseignements sensibles. La société 23andMe a expliqué aux commissariats qu’elle avait décidé de rendre l’AMF facultative pour la clientèle afin que la plateforme soit plus conviviale, notant que bon nombre de ses clients sont plus âgés et moins susceptibles de posséder des compétences numériques de base. Pour appuyer son affirmation, 23andMe nous a fourni des éléments de preuve sous la forme d’un rapport de recherche sur les compétences numériques de la Commission européenne^{Note de bas de page 42}. Toutefois, les commissariats soulignent que cette étude a été menée après la date de l’atteinte, qu’elle ne s’intéresse pas aux habitants du Canada ni à ceux du Royaume-Uni, et qu’elle ne tient pas directement compte des connaissances des personnes sur l’AMF, la VDE ou l’AU.
64. Au moment de l’incident, les clients de 23andMe ne pouvaient pas activer la VDE par message. Les clients pouvaient choisir entre l’activation de l’AMF par application, l’utilisation de l’AU ou l’emploi d’un simple mot de passe. Si 23andMe doutait des compétences numériques de ses clients, elle aurait pu leur permettre d’activer la VDE par message. Cette solution moins complexe d’un point de vue technique renforce tout de même considérablement la sécurité. Maintenant, 23andMe exige au minimum la VDE.
65. Il existe des éléments de preuve solides suggérant que, même avant que l’atteinte ne se produise, 23andMe savait que l’AMF était beaucoup plus sécuritaire que les courriels et les mots de passe à eux seuls. Les éléments de preuve comprennent des communications internes qui ont eu lieu entre les développeurs de 23andMe avant l’atteinte concernant les pratiques exemplaires en matière d’authentification ainsi que les mesures prises par 23andMe en réponse à l’atteinte. Pourtant, 23andMe a continué d’offrir l’AMF en tant que fonctionnalité de sécurité facultative, et environ 78 % de ses clients ont choisi de ne pas l’activer.
66. Les commissariats ont eu accès à des communications datées d’août 2023 contenant des discussions entre les développeurs de 23andMe au sujet de la mise en œuvre de différentes mesures de sécurité pour un nouveau produit. Les développeurs y discutaient du niveau de sécurité actuel des comptes des clients, mais surtout de l’authentification. Le participant à la discussion occupant le poste le plus élevé était le directeur des produits de 23andMe, qui a affirmé que le groupe devait répondre à une préoccupation concernant la capacité des utilisateurs à gérer adéquatement leurs mots de passe ainsi qu’à un besoin de renforcer la sécurité des comptes des clients, surtout pour ce qui est des transferts de profils et des téléchargements de données génétiques brutes.
67. Dans ces communications, le directeur des produits décrit son scénario idéal pour le nouveau produit : l’AMF par application s’activerait lorsqu’un utilisateur tente de télécharger des données brutes et l’authentification par message texte ou par courriel (nous avons déduit qu’il était question de la VDE) serait activée en tout temps. À l’appui de sa position, il a déclaré que l’authentification par message texte ou par courriel était beaucoup plus sécuritaire que les mots de passe à eux seuls et qu’il s’agissait de l’approche utilisée par un grand nombre d’applications médicales et financières.
68. Lorsque 23andMe a cherché à repérer les comptes compromis immédiatement après l’atteinte, elle a automatiquement exclu de son analyse tous les comptes des clients ayant activé l’AU de Google ou l’AMF, car il lui semblait très peu probable que ces comptes aient pu être compromis lors de l’atteinte. Par la suite, 23andMe a informé les commissariats qu’aucun compte pour lequel l’AMF ou l’AU (avec Apple ou Google) étaient activées n’avait été touché par le bourrage d’identifiants.
69. En réponse à l’atteinte, 23andMe a décidé d’exiger désormais que les clients activent au moins la VDE par courriel (voir le paragraphe 108). Les commissaires sont d’avis que 23andMe aurait dû imposer l’AMF comme mesure nécessaire et appropriée avant l’atteinte.

Vérification des mots de passe compromis

70. Lorsque les commissariats lui ont demandé si elle comparait les mots de passe des clients aux ensembles d’identifiants compromis connus, 23andMe a déclaré qu’elle n’effectuait pas de telles vérifications. Cependant, lors d’une entrevue ultérieure, un architecte de logiciels de 23andMe a indiqué que la société comparait les mots de passe des clients à une liste des 20 000 mots de passe les plus fréquemment répétés provenant de l’ensemble de données de Have I Been Pwned^{Note de bas de page 43} (HIBP) recueilli en 2021. Les commissaires considèrent que cette mesure n’est pas suffisamment rigoureuse, surtout dans le contexte où, pour environ 78 % des clients de 23andMe n’ayant pas activé l’AMF ni l’AU, leur mot de passe était la seule mesure de protection de leur compte.
71. D’autres solutions plus fiables étaient à la disposition de 23andMe à ce moment. La société aurait notamment pu utiliser les services de tiers pour vérifier les mots de passe compromis ou comparer à l’interne les mots de passe des utilisateurs avec un ensemble d’identifiants compromis plus large. Les ressources nécessaires pour effectuer ces vérifications sont disponibles gratuitement, et 23andMe aurait pu renforcer considérablement la sécurité des comptes des clients en les utilisant. D’ailleurs, 23andMe avait un abonnement à un service de sécurité qui offrait une fonctionnalité servant à comparer les identifiants soumis avec les 847 millions de mots de passe compromis figurant dans l’ensemble de données de HIBP. Cependant, 23andMe ne l’avait pas activée. Lorsque les commissariats lui ont demandé pourquoi elle n’avait pas activé la fonctionnalité, 23andMe a déclaré que la structure de son site Web nuisait à son bon fonctionnement, mais n’a fourni aucun détail pour justifier cette allégation.
72. Si 23andMe avait comparé les identifiants de ses clients à un ensemble de données plus large, elle aurait constaté que bon nombre de ses clients réutilisaient des identifiants compromis lors d’atteintes antérieures à la protection des données. Il convient de noter que 23andMe a procédé à cette comparaison à la suite de l’atteinte lorsqu’elle a tenté de déterminer le nombre de comptes dont les mots de passe avaient été préalablement compromis. Si 23andMe avait appliqué avant l’atteinte une mesure préventive et effectué une comparaison plus rigoureuse et systémique avec des mots de passe compromis, elle aurait pu alerter ses clients et leur demander d’utiliser un mot de passe unique et sécurisé, ce qui aurait grandement réduit le risque que ces comptes soient touchés par une attaque par bourrage d’identifiants.

Exigences minimales relatives aux mots de passe

73. Enfin, nous avons constaté qu’au moment de l’atteinte, la politique en matière de mots de passe de 23andMe ne cadrait pas avec les pratiques exemplaires de l’industrie en place en 2023^{Note de bas de page 44} ni avec l’orientation Passwords in online services du commissariat à l’information, qui recommande que les mots de passe contiennent au moins dix caractères^{Note de bas de page 45}. La société 23andMe exigeait que les mots de passe contiennent au moins huit caractères, et ses critères de complexité étaient plutôt souples^{Note de bas de page 46}.
74. De plus, jusqu’en août 2023, 23andMe n’empêchait pas les clients de réutiliser un mot de passe antérieur lorsqu’ils réinitialisaient leur mot de passe, ce qui signifie qu’un même client pouvait réutiliser indéfiniment un mot de passe non sécurisé.

Détection

75. Les commissariats reconnaissent que même les meilleures mesures de protection peuvent ne pas suffire pour protéger une organisation d’une cyberattaque. Par conséquent, il est important que les organisations mettent en place des mesures appropriées pour détecter rapidement les atteintes à la vie privée et éviter qu’elles ne s’aggravent.
76. L’avis des commissaires est que i) les mesures de détection de 23andMe au moment de l’atteinte étaient inadéquates pour protéger la plateforme contre les attaques de bourrage d’identifiants en cours; et ii) 23andMe n’a pas enquêté comme il se doit sur les anomalies une fois qu’elle les a détectées, de sorte qu’elle n’a pas empêché l’atteinte de s’aggraver.

Mesures de détection inadéquates

77. Les commissaires ont conclu que les mesures de détection de 23andMe étaient inadéquates dans trois domaines principaux : i) les systèmes de détection, ii) l’établissement d’empreintes numériques^{Note de bas de page 47} et iii) l’historique des appareils.

Systèmes de détection

78. Rien ne démontre que les mécanismes de détection de 23andMe sont intervenus alors que des signes indiquaient clairement qu’un auteur de menace tentait d’obtenir un accès non autorisé aux comptes des clients, et était parvenu à le faire, d’avril à octobre 2023. En fait, ce n’est qu’après que l’auteur de menace a publié un message sur Reddit en octobre 2023 que 23andMe a découvert l’atteinte. À notre avis, l’atteinte n’était pas le résultat d’une attaque sophistiquée et aurait pu être détectée par des mesures adéquates.
79. Plus précisément, même si l’auteur disposait d’un accès permanent à des milliers de comptes touchés par l’attaque pendant une période de cinq mois, l’atteinte n’a pas été détectée, et aucune alerte n’a été générée. Les mécanismes de détection de 23andMe n’avaient pas été configurés de manière à détecter une attaque de bourrage d’identifiants en cours, notamment parce que la société n’avait pas simulé ce type d’attaque et ne savait pas exactement ce à quoi ressemblerait une attaque de bourrage d’identifiants. Bien que les outils de 23andMe étaient en mesure de détecter une attaque contre la plateforme, ils n’ont pas détecté l’attaque par bourrage d’identifiants, car ces derniers n’avaient pas été configurés adéquatement.
80. Nous notons qu’un indicateur clé des attaques par bourrage d’identifiants est un déséquilibre dans le ratio entre les connexions et les tentatives de connexion infructueuses^{Note de bas de page 48}. À l’exception de quelques petits écarts occasionnels, le ratio doit être raisonnablement semblable à la moyenne à laquelle la société peut s’attendre dans le cours normal de ses activités. Cependant, une attaque par bourrage d’identifiants, lors de laquelle un auteur de menace utilise à répétition des identifiants incorrects et fait augmenter le nombre de tentatives infructueuses, créera un déséquilibre.
81. Les commissariats ont examiné le nombre quotidien de connexions et de tentatives de connexion à la plateforme pendant la période de l’atteinte. Ils ont repéré deux périodes distinctes où d’intenses activités de bourrage d’identifiants ont eu lieu, soit en mai et en septembre 2023. Pendant ces périodes, le ratio a grandement diminué (voir la figure 1). Les périodes correspondent au déroulement des événements décrit par 23andMe dans ses réponses à nos demandes. Les déséquilibres du ratio étaient un signe qui aurait dû interpeller 23andMe et lui permettre de détecter l’attaque par bourrage d’identifiants en cours. Toutefois, il n’y avait alors pas de mesures en place à 23andMe pour détecter ces déséquilibres et la société n’a été mise au courant de ces derniers que lorsqu’elle a mené son enquête interne à la suite de la publication Reddit en octobre 2023.
    

    Version textuelle de la figure 1

    Figure 1 - Connexions et tentatives de connexion du 1er mars 2023 au 1er octobre 2023
    
    Les commissariats ont examiné le nombre quotidien de connexions et de tentatives de connexion à la plateforme pendant la période de l’atteinte. Ils ont repéré deux périodes distinctes où il y a eu une forte activité de bourrage d’identifiants, soit en mai et en septembre 2023, des mois durant lesquels le ratio a grandement diminué (voir la figure 1). Cela concordait avec les renseignements fournis aux commissariats par 23andMe. Ces données indiquent que 23andMe aurait pu, si elle avait porté attention aux fluctuations soudaines, soupçonner qu’une attaque par bourrage d’identifiants était en cours.

82. Enfin, les commissariats comprennent qu’au moment de l’atteinte, 23andMe définissait majoritairement de façon manuelle les critères qui déterminaient quelles activités généreraient une alerte de sécurité. Bien que ce facteur ne semble pas avoir contribué directement à l’atteinte, nous soulignons que le recours à un système purement manuel peut limiter la capacité d’une organisation à s’adapter rapidement à des modèles d’attaque changeants ou à des activités inhabituelles. Un tel processus peut également faire en sorte que les seuils soient trop rigides ou encore désuets, ce qui augmente le risque d’alertes manquées ou de fausses alertes.

Établissement d’empreintes numériques

83. L’établissement d’empreintes numériques est le processus qui consiste à utiliser des renseignements recueillis à partir d’un appareil, d’un navigateur et d’une connexion réseau en vue de créer une empreinte numérique pour une personne. L’empreinte numérique du détenteur du compte peut être comparée à celle de la personne qui tente d’accéder au compte. Si les empreintes ne semblent pas correspondre, une mesure appropriée peut être appliquée. Par exemple, l’utilisateur doit confirmer son identité d’une autre manière ou une notification est envoyée à un appareil de confiance, ce qui fait en sorte d’informer le détenteur réel du compte d’une activité potentiellement suspecte afin qu’il puisse prendre des mesures pour protéger son compte.
84. La société 23andMe dispose déjà des renseignements nécessaires à l’établissement d’empreintes numériques lorsque les clients ouvrent une session. Cependant, 23andMe n’utilisait pas ces renseignements au moment de l’atteinte pour établir les empreintes numériques des clients ou détecter des comportements anormaux indiquant qu’une personne non autorisée tente de se connecter au compte d’un client.
85. Si 23andMe avait établi l’empreinte numérique des clients avant l’atteinte, la société et les détenteurs légitimes des comptes auraient pu être informés des accès aux comptes, ou des tentatives d’accès, potentiellement suspects (par exemple, à l’aide d’un nouveau navigateur ou appareil ou d’une nouvelle adresse IP). Ainsi, les clients auraient pu prendre des mesures pour protéger leurs renseignements personnels, et 23andMe aurait pu être informé d’une augmentation des tentatives de connexion suspectes.
86. Pour expliquer sa décision de ne pas établir d’empreintes numériques, 23andMe a évoqué ses autres mesures de sécurité et ses préoccupations en matière de protection de la vie privée de ses clients. Bien que nous reconnaissions l’importance de protéger la vie privée des clients, nous soulignons que la décision de 23andMe ne cadrait pas avec son avis de confidentialité, qui stipulait au moment de l’atteinte que la société recueillait les données nécessaires à l’établissement d’empreintes numériques et qu’elle utiliserait les renseignements personnels pour améliorer la sécurité, l’intégrité et la sûreté de ses services, ce qui comprenait la prévention de la fraude et d’autres activités non autorisées ou illégales dans ses services^{Note de bas de page 49}.

Historique des appareils

87. Enfin, nous notons également qu’aucun historique des appareils n’était à la disposition des clients pour qu’ils puissent connaître les appareils utilisés pour accéder à leur compte 23andMe. Si 23andMe avait mis l’historique à leur disposition, les clients auraient pu repérer les accès suspects à leur compte.

Enquête inadéquate sur les anomalies

88. La société 23andMe a manqué des occasions de détecter et de prévenir l’attaque, ou au moins de l’interrompre. Il y a trois événements distincts survenus pendant la période de l’attaque qui, collectivement, auraient dû faire en sorte que 23andMe détecte l’attaque avant octobre 2023. Si 23andMe l’avait détectée plus tôt, des milliers de comptes n’auraient pas été touchés.

Panne de la plateforme en juillet

89. Après avoir examiné les registres de connexion aux comptes des clients de 23andMe, les commissariats ont repéré une augmentation anormale des tentatives de connexion le 6 juillet 2023 (voir la figure 2). La société 23andMe a expliqué qu’il y avait eu plus d’un million de connexions au même compte pendant une seule journée et que, pour cette raison, la plateforme a cessé de fonctionner. Elle a finalement déterminé que l’auteur de menace avait tenté sans succès d’utiliser la fonctionnalité de transfert de profils^{Note de bas de page 50}.
    

    Version textuelle de la figure 2

    Figure 2 – Panne de la plateforme en juillet
    
    Après avoir examiné les registres de connexion aux comptes des clients de 23andMe, les commissariats ont repéré une augmentation inhabituelle des tentatives de connexion le 6 juillet 2023 (voir la figure 2). L’entreprise 23andMe a expliqué qu’il y avait eu plus d’un million de connexions au même compte pendant une seule journée. Pour cette raison, la plateforme a cessé de fonctionner. Finalement, 23andMe a déterminé que l’auteur de menace avait tenté d’utiliser la fonctionnalité de transfert de profils, mais que cette tentative avait été infructueuse.

Tentatives de transfert des profils de 400 comptes

90. Du 28 au 30 juillet 2023, l’auteur de menace a tenté à maintes reprises d’automatiser le transfert des profils d’environ 400 comptes différents.
91. Il s’agit d’un nombre anormal de tentatives de transfert de profils dans un court laps de temps. Compte tenu de cette activité anormale et du fait qu’un utilisateur doit être connecté au compte associé à un profil^{Note de bas de page 51} pour transférer celui-ci, 23andMe aurait dû détecter qu’on tentait d’obtenir un accès non autorisé à des centaines de comptes, ce qui indiquait qu’une attaque par bourrage d’identifiants était peut-être en cours. Après cet incident, 23andMe a désactivé toutes les demandes de transfert de profils, a verrouillé temporairement les comptes potentiellement touchés et a exigé que les 400 clients réinitialisent leur mot de passe. Elle a aussi ajouté une alerte système dans sa solution de surveillance^{Note de bas de page 52} afin que celle-ci détecte les situations où un nombre anormal de demandes de transfert de profils seraient envoyées. De plus, 23andMe a effectué une enquête interne qui a révélé que, pour les 19 comptes appartenant à des clients aux États-Unis, seuls certains renseignements avaient fait l’objet d’un accès.
92. Cet incident a permis à 23andMe de découvrir qu’un client pouvait réutiliser un ancien mot de passe lorsqu’il réinitialisait son mot de passe^{Note de bas de page 53}. En août 2023, 23andMe a donc apporté des changements pour empêcher la réutilisation de mots de passe. Toutefois, l’enquête relative à l’incident de juillet n’a pas permis de découvrir qu’une attaque par bourrage d’identifiants était en cours.

Allégation du 10 août 2023 par l’auteur de menace

93. Tel qu’il est mentionné précédemment, 23andMe a reçu, en août 2023, une série de messages dans son portail de communication avec les clients de la part d’une personne utilisant le pseudonyme « bionhack », qui alléguait avoir infiltré la plateforme de 23andMe et recueilli plus de 300 téraoctets de données concernant 10 millions de clients. La personne a affirmé que les données volées comprenaient des listes d’ascendance, des données sur la santé et des données génétiques brutes.
94. Selon les registres d’incidents de 23andMe, quelqu’un de l’équipe d’intervention en cas de cyberincident a noté qu’à peu près au même moment, une personne ayant le même nom d’utilisateur avait fait une allégation similaire dans une publication Reddit. Cette dernière contenait apparemment des preuves de l’atteinte présumée à la protection des données. Même si la publication avait été supprimée au moment où 23andMe a été informé de son existence, la personne à 23andMe qui l’avait trouvée a noté que les commentaires sous la publication suggéraient que l’utilisateur avait fourni des preuves de l’atteinte. Dans l’un des commentaires, un utilisateur avait publié une image annotée du profil génétique de deux personnes, soit une personne membre de la haute direction de 23andMe et son ex-conjoint, affirmant qu’il s’agissait d’une preuve de l’atteinte. Selon un autre commentaire sous la publication, les données volées étaient en vente sur une plateforme de piratage.
95. Le billet d’incident a été fermé après quatre jours et s’est vu attribuer le niveau de priorité le plus bas possible. Bien que 23andMe ait réalisé un examen pour déterminer si on avait accédé directement aux comptes des deux personnes sans autorisation, elle a conclu dans les deux premiers jours de son enquête que ce n’était pas le cas. La société a expliqué aux commissariats que des échantillons de renseignements généraux sur la génétique des deux personnes avaient pu être obtenus de façon légitime au moyen de la fonctionnalité DNAR de la plateforme et a noté que la personne membre de la haute direction en question avait publié des renseignements sur son ascendance génétique dans un rapport auquel tous les clients de 23andMe avaient accès. Pour cette raison et étant donné que rien ne démontrait que 300 téraoctets de données avaient été extraits de sa plateforme, 23andMe a conclu qu’elle pouvait raisonnablement considérer les allégations de la publication Reddit comme fausses.
96. En août 2023, 23andMe n’a pas réellement tenté d’obtenir les données prétendument volées ni d’y accéder, malgré les commentaires indiquant qu’elles étaient en vente sur le Web clandestin et la déclaration d’un membre de son équipe d’intervention en cas de cyberincident, selon laquelle les données étaient probablement en vente dans un marché sur invitation uniquement.
97. En revanche, nous soulignons qu’en octobre 2023, 23andMe a embauché un tiers pour obtenir un échantillon des données volées et que celui-ci a pu déterminer que l’allégation d’atteinte était fondée. Si 23andMe avait enquêté de la même manière lorsqu’elle a reçu les messages dans le portail de communication avec les clients en août 2023, elle aurait peut-être pu déterminer l’ampleur de l’incident et mettre en œuvre des mesures de protection appropriées, ce qui aurait pu en fin de compte empêcher l’attaque par bourrage d’identifiants qui a touché près de 5 000 comptes supplémentaires en septembre 2023.
98. La société 23andMe a confirmé qu’il était rare que des individus lui affirment que des atteintes à la sécurité des données avaient eu lieu. Étant donné que cette situation était rare et que deux autres incidents étaient survenus en juillet, la conclusion des commissaires est que 23andMe aurait dû mener une enquête plus approfondie sur l’atteinte présumée.

Intervention en cas d’atteinte

99. Une fois qu’une atteinte est détectée, les organisations doivent immédiatement tenter de la contenir et mettre en œuvre des mesures pour éviter tout autre accès non autorisé aux renseignements personnels.
100. Pour les raisons expliquées ci-dessous, la conclusion des commissaires est que 23andMe a tardé à prendre des mesures correctives une fois qu’elle a confirmé que l’atteinte était réelle en octobre 2023.
101. Le 1er octobre 2023, 23andMe a pris connaissance de la publication Reddit qui mentionnait l’atteinte. Le 5 octobre 2023, elle a confirmé que la publication était vraie et a ouvert une enquête interne sur l’atteinte. Le 6 octobre 2023, 23andMe a annoncé dans un billet de blogue qu’un auteur de menace avait accédé sans autorisation à des profils de clients. Ensuite, dans le cadre de son processus d’intervention, 23andMe a pris les mesures suivantes :
     1. 9 octobre 2023 – Quatre jours après avoir confirmé que l’atteinte était véritable, 23andMe a fermé toutes les sessions actives;
     2. 10 octobre 2023 – La société 23andMe a envoyé un courriel à tous ses clients pour les informer de l’atteinte et leur demander de réinitialiser leur mot de passe. Les clients ont également été invités à activer l’AMF dans leur compte;
     3. 2 novembre 2023 – La société 23andMe a désactivé la fonctionnalité libre-service de téléchargement des données génétiques brutes. Les clients devaient communiquer directement avec l’équipe du service à la clientèle de 23andMe pour demander le téléchargement de données. La fonctionnalité a été réactivée le 27 février 2024, mais les clients devaient désormais fournir leur date de naissance pour pouvoir procéder au téléchargement;
     4. 9 novembre 2023 – La société 23andMe a rendu la VDE obligatoire pour tous les nouveaux clients et les clients existants n’ayant pas encore activé l’AMF par application ou l’AU.
102. Nous soulignons également que 23andMe a offert le service de surveillance du Web clandestin^{Note de bas de page 54} aux clients pour lesquels ce service était, à son avis, approprié compte tenu de la situation des clients et du type de renseignements personnels compromis.

Fermeture tardive des sessions actives et envoi tardif des demandes de réinitialisation des mots de passe

103. Selon la procédure d’intervention en cas d’incident de 23andMe, les atteintes concernant la perte de données de clients sont les incidents les plus prioritaires et nécessitent de prendre immédiatement des mesures correctives. Les commissaires constatent que malgré l’urgence de la situation et le fait que 23andMe savait qu’une attaque basée sur les identifiants était possiblement en cours, il a fallu quatre jours à la société pour fermer toutes les sessions actives des utilisateurs et exiger que tous les clients réinitialisent leur mot de passe^{Note de bas de page 55}.

Désactivation tardive de la fonctionnalité libre-service de téléchargement des données génétiques brutes

104. Malgré la réinitialisation de tous les mots de passe, il y avait un risque résiduel d’accès non autorisé continu aux comptes des clients et donc de téléchargement non autorisé de données génétiques brutes. Par exemple, si les identifiants d’un client étaient les mêmes pour son compte 23andMe et son compte de courriel, l’auteur de menace aurait pu consulter les courriels concernant la réinitialisation du mot de passe et continuer d’avoir accès au compte 23andMe du client. Par conséquent, 23andMe aurait dû se presser de mettre en œuvre des mesures supplémentaires pour protéger les données très sensibles se trouvant dans les comptes.
105. Il a fallu près d’un mois à 23andMe pour désactiver la fonctionnalité libre-service de téléchargement des données génétiques brutes. La société aurait dû savoir que les données génétiques risquaient d’être téléchargées par l’auteur de menace dès qu’elle a déterminé qu’il s’agissait d’une attaque par bourrage d’identifiants, car cela signifiait que l’auteur disposait d’un accès illimité à la fonctionnalité lui permettant de télécharger les données génétiques brutes se trouvant dans les comptes touchés par l’attaque. Bien que rien ne démontre aux commissariats que des téléchargements suspects de données brutes ont eu lieu après la réinitialisation globale des mots de passe le 10 octobre 2023, la désactivation de cette fonctionnalité ou l’ajout d’une couche de protection pour empêcher l’auteur de menace de télécharger d’autres données aurait dû être une priorité immédiate compte tenu de la grande sensibilité des renseignements génétiques.
106. En février 2024, lorsque 23andMe a réactivé la fonctionnalité de téléchargement des données génétiques brutes, elle a ajouté une mesure de vérification qui faisait en sorte que les clients ayant déjà ouvert une session dans leur compte au moyen de l’AMF devaient aussi fournir leur date de naissance pour pouvoir utiliser la fonctionnalité. Les commissaires soulignent l’existence de préoccupations dans l’industrie quant à l’utilisation de la date de naissance comme méthode de vérification, puisque cette donnée peut être accessible de diverses façons, y compris dans des messages publics sur les médias sociaux ou au moyen d’atteintes précédentes à la sécurité des données^{Note de bas de page 56}. Toutefois, ils ont tenu compte du caractère approprié de cette nouvelle mesure dans le contexte des autres améliorations apportées par 23andMe depuis l’atteinte.

Mise en œuvre tardive de l’AMF obligatoire

107. Le seul type d’AMF que 23andMe pouvait immédiatement mettre en œuvre au moment où elle a confirmé que l’atteinte était réelle était l’AMF par application. Cette fonctionnalité était déjà offerte aux clients.
108. Comme nous l’avons expliqué au paragraphe 54, pour utiliser l’AMF par application, le client doit installer une application d’authentification tierce (par exemple, Google Authenticator) et synchroniser un code de vérification entre son compte 23andMe et l’application. Comparativement à la VDE, elle est plus complexe pour le client d’un point de vue technique. Même si 23andMe aurait pu rendre l’AMF par application obligatoire immédiatement, la société a plutôt choisi de mettre au point une solution de VDE par courriel, et il lui a fallu plus d’un mois pour la développer.
109. Par conséquent, pendant cette période d’un mois, les comptes 23andMe et les renseignements sensibles qu’ils contiennent sont restés vulnérables à d’autres attaques par bourrage d’identifiants, malgré le fait qu’une AMF par application plus sécuritaire que la solution en développement était déjà disponible. Bien que nous comprenions que 23andMe tienne à ce que sa plateforme soit conviviale, la facilité d’utilisation ne doit pas se faire au détriment d’une sécurité adéquate.
110. En conclusion, en retardant la mise en œuvre des mesures de protection décrites ci-dessus, 23andMe a laissé ses systèmes et les renseignements personnels de ses clients vulnérables à un accès non autorisé plus longtemps que nécessaire. Nous notons que l’absence de guides sur les différents types d’incidents (dans ce cas, un ensemble de protocoles établis d’intervention en cas d’attaque par bourrage d’identifiants) pour informer les intervenants en cas d’incident de 23andMe des mesures prioritaires à prendre pourrait avoir contribué à retarder la mise en œuvre de certaines mesures de protection nécessaires et appropriées, notamment la réinitialisation des mots de passe et la désactivation de l’accès aux données génétiques brutes.

Conclusion relative à l’enjeu 1

111. À la lumière de tout ce qui précède, la conclusion des commissaires est que 23andMe n’a pas mis en œuvre de mesures de protection appropriées pour protéger les renseignements très sensibles qui lui ont été confiés par ses clients. Tel qu’il est expliqué précédemment, les commissaires étaient particulièrement préoccupés par le fait que 23andMe n’a pas :
     1. tenu compte du risque d’attaques basées sur les identifiants lorsqu’elle a conçu son cadre de sécurité de l’information;
     2. mis en place des mesures adéquates pour protéger sa plateforme contre les attaques par bourrage d’identifiants, notamment l’AMF, ni configuré adéquatement des outils pour détecter et signaler les activités suspectes indiquant une attaque par bourrage d’identifiants;
     3. enquêté correctement sur les événements indiquant qu’une atteinte était peut-être en cours, notamment les allégations d’atteinte de l’auteur de menace en août 2023, pour empêcher l’atteinte de s’aggraver.
112. CPVP : Compte tenu de ce qui précède, la conclusion du Commissaire à la protection de la vie privée du Canada est que les mesures de protection mises en œuvre par 23andMe n’étaient pas adéquates ni appropriées au moment de l’atteinte pour protéger la grande quantité de renseignements personnels sensibles sous son contrôle et donc que 23andMe ne respectait pas le principe 4.7 de l’annexe 1 de la LPRPDE.
113. Commissariat à l’information : Compte tenu de ce qui précède, la conclusion du Commissaire à l’information du Royaume-Uni est que 23andMe contrevenait aux alinéas 5(1)(f) et 32(1)(b) et (d) du règlement général sur la protection des données du Royaume-Uni, puisqu’elle n’avait pas mis en œuvre des mesures de protection adéquates pour assurer l’intégrité et la confidentialité de ses systèmes et services de traitement et des renseignements personnels de ses clients.

Évaluation des mesures de protection actuelles de 23andMe

114. Compte tenu des infractions mentionnées ci-dessus, les commissariats ont déterminé les moyens que 23andMe doit mettre en œuvre afin que ses mesures de sécurité soient conformes au principe 4.7 de l’annexe 1 de la LPRPDE et que ses processus soient conformes à l’alinéa 5(1)(f) et au paragraphe 32(1) du règlement général sur la protection des données du Royaume-Uni. Les commissariats ont évalué les exigences de la loi, la convivialité des services de 23andMe et l’harmonisation avec les normes reconnues pour assurer la protection adéquate des renseignements personnels que 23andMe se doit de protéger.
115. Dans le rapport préliminaire, le CPVP a formulé des recommandations détaillées et le commissariat à l’information a énoncé des exigences provisoires à l’intention de 23andMe, qui se résument ainsi :
     1. mettre à niveau la solution actuelle d’évaluation des mots de passe pour qu’elle détecte efficacement les mots de passe compromis;
     2. mettre en œuvre une politique en matière de mots de passe qui offre un niveau de sécurité approprié aux renseignements personnels des clients de 23andMe compte tenu des risques posés par ses activités de traitement, en prenant en considération les conclusions du rapport préliminaire;
     3. améliorer les mesures en place pour protéger l’accès aux données génétiques brutes;
     4. améliorer la consignation et la surveillance des activités de ses clients ainsi que la détection des indicateurs d’activité potentiellement non autorisée dans les comptes des clients;
     5. effectuer régulièrement des simulations d’attaques et des exercices d’infiltration de la plateforme en fonction des méthodes d’attaque les plus probables;
     6. examiner et modifier, au besoin, ses mesures organisationnelles et de gouvernance pour que son programme de sécurité de l’information, notamment les contrôles de sécurité de l’information et les capacités d’intervention en cas d’incident, fasse l’objet d’une évaluation continue et d’examens réguliers;
     7. examiner en continu ses mesures de sécurité, en tenant compte de l’évolution des normes de sécurité et des pratiques exemplaires de l’industrie.
116. En réponse au rapport préliminaire, 23andMe a informé les commissariats des nouvelles mesures de sécurité qu’elle avait mises en place avant le 31 décembre 2024. Nombre de ces mesures répondent à des questions et à des préoccupations précises soulevées par les commissariats dans le cadre de leur enquête. Les commissaires considèrent que, dans l’ensemble, ces mesures répondent aux recommandations et aux exigences provisoires, respectivement, qu’ils ont formulées dans le rapport préliminaire. Les mesures comprenaient ce qui suit :
     

     Mots de passe

     1. augmentation à 12 caractères de la longueur minimale du mot de passe, impossibilité pour les clients d’utiliser l’un de leurs cinq mots de passe précédents ou un mot de passe contenant des caractères répétés ou un terme contextuel, rappel aux clients d’utiliser un mot de passe unique;
     2. comparaison des mots de passe des clients avec ceux qui figurent dans la base de données de Have I Been Pwned, qui contient près d’un milliard d’identifiants compromis (et qui est mise à jour chaque mois) lorsque les clients s’inscrivent, ouvrent une session ou réinitialisent leur mot de passe;

     AMF

     3. mise en œuvre de l’authentification à deux facteurs par courriel obligatoire pour les clients qui ouvrent une session sur la plateforme (tout en leur permettant de continuer à utiliser les services d’AU offerts par Apple et Google);

     Protection améliorée des données sensibles

     4. obligation pour les clients de fournir la date de naissance associée à leur compte pour pouvoir télécharger des données génétiques brutes ou des données relatives à l’état de santé ou effectuer un transfert de profil^{Note de bas de page 57};
     5. ajout d’un délai de 48 heures entre la soumission d’une demande de téléchargement de données génétiques brutes et le courriel envoyé au client indiquant que la demande a été traitée;

     Tests de pénétration

     6. réalisation de tests simulant des attaques par bourrage d’identifiants au moyen de comptes générés;
     7. tenue de cinq exercices de cybersécurité avant la fin de l’exercice financier 2025 de 23andMe (31 mars 2025);

     Surveillance et détection

     8. mise à jour des règles de surveillance et des outils servant à détecter les activités malveillantes d’auteurs de menace potentiels et à générer des alertes, y compris en cas d’incidents de bourrage d’identifiants et de rafales de mots de passe^{Note de bas de page 58};
     9. création de plus de 253 alertes d’information de sécurité et de gestion des événements, qui sont continuellement adaptées en fonction du trafic et des indications d’attaque;
     10. déploiement d’une solution^{Note de bas de page 59} de surveillance basée sur le risque qui va plus loin que la connexion de l’utilisateur, notamment en tenant compte de son comportement sur la plateforme;
     11. recours à un tiers pour surveiller le Web clandestin et signaler toute publication relative à 23andMe;
     12. amélioration de l’étendue des outils de surveillance, de détection et d’intervention, y compris le pare-feu pour les applications Web et les rapports de renseignements sur les menaces;
     13. mise en œuvre d’une fonctionnalité de navigateur de confiance permettant aux clients d’enregistrer un « appareil de confiance » (utilisé pour accéder à leur compte 23andMe) pendant une période de 400 jours et d’obtenir un rapport de l’historique du compte. Ce rapport téléchargeable répertorie les ouvertures de session, les tentatives d’ouverture de session et les téléchargements liés à l’adresse IP associée ainsi que l’emplacement approximatif (établi en fonction de l’adresse IP)^{Note de bas de page 60};
     14. reconfiguration des journaux internes pour permettre à l’équipe de sécurité de 23andMe de mieux suivre et détecter les activités malveillantes;

     Mesures organisationnelles

     15. amélioration de la structure organisationnelle de 23andMe pour ce qui est de la sécurité, notamment grâce à un partenariat plus étroit entre ses équipes de la sécurité, de l’ingénierie et des produits;
     16. mise à jour des processus et procédures de sécurité, notamment sa procédure d’intervention en cas de cyberincident, sa politique d’intervention en cas d’incident lié à la sécurité et à la protection de la vie privée ainsi que sa procédure de suivi et d’intervention en cas d’incident lié à la protection de la vie privée.
117. Les commissaires conviennent qu’ensemble, les mesures de protection supplémentaires mises en œuvre par 23andMe sont suffisantes pour régler les préoccupations qui avaient été soulevées à cet égard durant l’enquête. Compte tenu des mesures que 23andMe a déployées depuis l’atteinte à la vie privée :
     1. le CPVP conclut qu’en ce qui concerne l’enjeu des mesures de protection, et particulièrement les infractions au principe 4.7 de l’annexe 1 de la LPRPDE, ce volet de la plainte est résolu;
     2. le commissariat à l’information conclut qu’en date du 31 décembre 2024, 23andMe a mis en place des mesures techniques et organisationnelles appropriées pour assurer un certain degré de sécurité aux renseignements personnels de ses clients, mesures qui sont appropriées compte tenu des risques posés par ses activités, comme l’exigent l’alinéa 5(1)(f) et le paragraphe 32(1) du règlement général sur la protection des données du Royaume-Uni.

Enjeu 2 : La société 23andMe a-t-elle informé adéquatement les commissariats et les personnes touchées par l’atteinte?

118. Pour les raisons ci-dessous :
     1. le Commissaire à la protection de la vie privée du Canada conclut que 23andMe n’a pas respecté l’article 10.1 de la LPRPDE ni les articles 2 et 3 du Règlement sur les atteintes aux mesures de sécurité^{Note de bas de page 61} (règlement sur les atteintes au titre de la LPRPDE);
     2. le Commissaire à l’information du Royaume-Uni conclut que 23andMe n’a pas respecté les exigences de l’article 33 du règlement général sur la protection des données du Royaume-Uni d’une manière qui constitue une circonstance aggravante relativement aux allégations de non-respect des alinéas 5(1)(f), 32(1)(b) et 32(1)(d) du règlement général sur la protection des données du Royaume-Uni énoncées ci-dessus et qu’elle n’a pas non plus respecté l’article 34 du règlement général sur la protection des données du Royaume-Uni, bien qu’après présentation des observations orales et écrites, cette infraction n’a pas été considérée comme une circonstance aggravante.
119. Comme il est expliqué ci-dessous, les commissaires ont constaté des lacunes dans le contenu des signalements d’atteinte à nos commissariats et des avis d’atteinte aux personnes touchées faits par 23andMe. De plus, le CPVP a noté des problèmes quant au moment de l’envoi des avis aux personnes au Canada ayant un compte auquel l’auteur de menace a directement accédé.

Exigences du CPVP en matière de signalement des atteintes

120. L’article 10.1 de la LPRPDE prévoit qu’en cas d’atteinte aux mesures de sécurité qui a trait à des renseignements personnels dont elle a la gestion, une organisation doit déclarer l’atteinte au CPVP, s’il est raisonnable de croire, dans les circonstances, que l’atteinte présente un risque réel de préjudice grave à l’endroit des personnes touchées.
121. De plus, le paragraphe 10.1(3) de la LPRPDE prévoit qu’à moins qu’une règle de droit ne l’interdise, l’organisation est tenue d’aviser l’intéressé de l’atteinte pour lui permettre de prendre, si cela est possible, des mesures pour réduire le risque de préjudice qui pourrait en résulter ou pour atténuer un tel préjudice.
122. Dans les deux cas, les avis doivent contenir les renseignements prescrits aux articles 2 et 3 du règlement sur les atteintes au titre de la LPRPDE et être envoyés dès que possible après que l’organisation a déterminé qu’une atteinte a eu lieu.

Exigences du commissariat à l’information en matière de signalement des atteintes

123. Le paragraphe 33(1) du règlement général sur la protection des données du Royaume-Uni prévoit qu’en cas d’atteinte à la protection des données personnelles, le contrôleur doit, sans retard indu et, dans la mesure du possible, dans les 72 heures après en avoir pris connaissance, signaler l’atteinte au Commissaire, à moins qu’il soit improbable que l’atteinte à la protection des données personnelles pose un risque aux droits et libertés de personnes. Si l’atteinte n’est pas signalée dans un délai de 72 heures, le contrôleur devra justifier le retard.
124. Selon l’article 34(1) du règlement général sur la protection des données du Royaume-Uni, lorsqu’il est probable qu’une atteinte à la protection des données personnelles pose un risque élevé aux droits et libertés de personnes physiques, le contrôleur doit aviser les personnes concernées par les données sans retard indu.

L’atteinte posait-elle un risque de préjudice pour les personnes touchées?

125. Les obligations en matière de signalement des atteintes prévue par la LPRPDE et le règlement général sur la protection des données du Royaume-Uni s’appliquent à une organisation lorsqu’une atteinte respecte un certain critère de risque pour la ou les personnes touchées. Pour le CPVP, le critère s’applique lorsque l’atteinte « présente un risque réel de préjudice grave à l’endroit [d’une personne]^{Note de bas de page 62} ». Pour le commissariat à l’information, le critère pour le signalement au commissariat à l’information du Royaume-Uni s’applique lorsque l’atteinte pose un risque aux droits et libertés de personnes physiques^{Note de bas de page 63}, tandis que le critère de signalement aux personnes touchées s’applique lorsqu’elle pose un risque élevé aux droits et libertés de personnes physiques^{Note de bas de page 64}. Aux fins du présent rapport, les termes utilisés pour désigner les critères seront « critères de risque de préjudice » ou encore « critères ». Cependant, cela ne signifie pas que les critères sont les mêmes.
126. Pour les raisons expliquées ci-dessous, les commissariats croient que l’atteinte a créé un risque de préjudice qui respecte les critères établis par la LPRPDE et le règlement général sur la protection des données du Royaume-Uni, de sorte que 23andMe était tenue de signaler l’atteinte aux commissariats et d’aviser les personnes touchées.
127. La société 23andMe a bel et bien signalé l’atteinte aux commissariats et informé les personnes touchées. Cependant, lorsque les commissariats ont demandé à 23andMe des précisions sur son évaluation du risque de préjudice, la société a affirmé qu’à son avis, l’atteinte ne créait pas un risque de préjudice pour les personnes qui respecte les critères établis par la LPRPDE et le règlement général sur la protection des données du Royaume-Uni. Les commissaires craignent que l’évaluation inadéquate par 23andMe du risque de préjudice pour les personnes et de l’incidence globale de l’atteinte ait fait en sorte que les signalements, qui sont décrits plus en détail ci-dessous, soient inadéquats. Nous notons également qu’au moment de l’atteinte, 23andMe n’avait pas de cadre en place pour orienter son évaluation du risque de préjudice, ce qui peut expliquer, en partie, les lacunes décrites ci-dessous.
128. Les paragraphes 135 à 154 ci-dessous expliquent comment l’atteinte a créé un risque de préjudice pour les personnes qui respecte les critères établis par la LPRPDE et le règlement général sur la protection des données du Royaume-Uni. Les sections suivantes décrivent les lacunes relevées dans l’évaluation du risque de préjudice de 23andMe et les risques de préjudice possibles que, selon nous, l’atteinte pourrait avoir créés.

Évaluation du risque de préjudice par 23andMe

129. En réponse à la demande de renseignements des commissariats concernant son évaluation du risque de préjudice, 23andMe a déclaré que, pour les personnes dont les données génétiques brutes et les renseignements sur la santé ont été compromis (c’est-à-dire, les personnes dont les comptes ont été touchés par l’attaque), le résultat potentiel le plus grave de la publication de leurs renseignements serait des incidents de discrimination ou une atteinte à la réputation. Cependant, 23andMe a affirmé qu’il était très peu probable que de tels préjudices se produisent parce que les rapports sur la santé et les données génétiques brutes des personnes touchées n’ont pas été rendus publics sur le Web clandestin et que, même si l’auteur de menace avait décidé de les rendre publics sur le Web clandestin, il serait peu probable (et vraisemblablement illégal) que les compagnies d’assurance ou les employeurs fassent des recherches sur le Web clandestin pour trouver de tels renseignements et orienter leurs décisions concernant les personnes touchées.
130. Il apparaissait hautement improbable à 23andMe qu’il y ait préjudice. Toutefois, la société a reconnu qu’une personne dont le compte a fait l’objet d’un bourrage d’identifiants pouvait subir des conséquences négatives si les renseignements contenus dans son compte étaient rendus publics, et nous sommes également de cet avis. En effet, il est possible (même si ce n’est pas légal) qu’une compagnie d’assurance ou un employeur utilise ces renseignements pour orienter ses décisions concernant la personne. Cette dernière pourrait donc subir un traitement préjudiciable, notamment la perte de possibilités d’emploi ou le refus d’une couverture d’assurance maladie. Ces préjudices pourraient être particulièrement graves pour les personnes prédisposées à un problème de santé grave.
131. Nous ne sommes pas d’avis qu’il est très peu probable que de tels préjudices se produisent. Pour en arriver à cette conclusion, nous notons ce qui suit :
     1. D’abord, il n’est pas certain que les données génétiques brutes et les renseignements sur la santé des personnes n’ont pas été vendus ou n’ont pas fait l’objet de publicités sur le Web clandestin. La position de 23andMe selon laquelle les données n’ont jamais été vendues sur le Web clandestin semble reposer sur les résultats d’une recherche faite par un fournisseur de services de renseignement sur les menaces indépendant ainsi que sur les affirmations de l’auteur de menace. D’ailleurs, dans ses publications en août 2023, l’auteur de menace a indiqué qu’il avait vendu des données compromises, notamment des données génétiques brutes, à un homme d’affaires du Moyen-Orient^{Note de bas de page 65}.
     2. Ensuite, même si les données génétiques brutes et les renseignements sur la santé tirés des comptes touchés n’ont, à ce jour, pas été publiés sur le Web clandestin, comme l’a indiqué 23andMe, ils pourraient l’être un jour, car il n’est pas rare que les auteurs de menace attendent un certain temps après une atteinte avant de publier des données compromises. À cet égard, nous notons que 23andMe a offert un service de surveillance du Web clandestin à certaines personnes touchées pour qu’elles puissent recevoir des alertes si leurs renseignements personnels étaient repérés sur le Web clandestin. En plus de pouvoir être publiés sur le Web clandestin, les renseignements pourraient être vendus directement à d’autres entités. Les personnes dont les renseignements personnels sont vendus pourraient être l’objet d’extorsion ou de chantage, notamment dans le cas où un auteur de menace exige un paiement en échange de la non-diffusion de leurs renseignements très sensibles.
     3. Enfin, bien que nous reconnaissions que l’utilisation de renseignements génétiques par les employeurs ou les compagnies d’assurance pour prendre des décisions défavorables concernant des personnes serait généralement illégale sous le régime des lois du Canada et du Royaume-Uni^{Note de bas de page 66}, le risque connexe demeure présent.
132. La société 23andMe a également affirmé que les personnes dont le profil DNAR a été compromis pourraient souffrir d’anxiété ou ressentir de l’embarras si leurs renseignements étaient rendus publics. Cependant, 23andMe a également affirmé qu’il était peu probable que ce préjudice se produise, car les personnes avaient déjà consenti à mettre ces renseignements à la disposition de milliers d’autres clients de 23andMe. La société a également indiqué que les personnes susceptibles de souffrir d’anxiété, de ressentir l’embarras ou de subir un préjudice quelconque si ces renseignements étaient rendus publics n’auraient pas accepté de mettre ces derniers à la disposition de milliers de personnes par l’intermédiaire de la fonctionnalité DNAR. Elle a ajouté que [traduction] « dans le contexte où un client a accepté de participer et de communiquer volontairement les renseignements sur son ascendance avec de parfaits étrangers, les affirmations relatives à l’anxiété et à la crainte de préjudices semblent fallacieuses, surtout si on considère que l’adresse du client ne fait pas partie des renseignements qui ont été divulgués. »
133. Les commissaires ne sont pas d’accord avec 23andMe et considèrent que la nature sociale de la fonctionnalité DNAR ne permet pas d’éliminer ni de diminuer le risque de préjudice pour les personnes qui utilisent cette fonctionnalité afin de mettre leurs renseignements à la disposition d’autres utilisateurs. Plus précisément :
     1. Les clients qui ont accepté de mettre leurs données à la disposition d’autres utilisateurs souhaitant en savoir plus sur leur santé et leur ascendance n’auraient pas prévu que leurs renseignements soient consultés par un auteur de menace ou qu’ils soient rendus publics sur le Web et donc n’auraient pas pu y consentir.
     2. Ils peuvent à tout moment désactiver la fonctionnalité DNAR et faire en sorte que les autres utilisateurs n’aient plus accès à leurs renseignements. En revanche, les personnes touchées par l’atteinte ont perdu la capacité de contrôler leurs renseignements personnels une fois que ceux-ci étaient entre les mains de l’auteur de menace.
134. Enfin, 23andMe a déclaré qu’à sa connaissance, aucune personne touchée n’a subi de préjudice réel à la suite de l’atteinte. Bien que ce facteur doive être pris en considération, il n’est pas concluant en soi. Le fait qu’aucune personne n’a subi de préjudice ne signifie pas qu’il n’y a pas de risque de préjudice. En effet, le commissariat à l’information a reçu de nombreuses plaintes contre 23andMe, et certains des plaignants ont indiqué qu’ils ressentaient beaucoup d’anxiété quant aux répercussions que l’atteinte pourrait avoir sur leurs situations personnelle, financière et familiale à l’avenir et se sont dits préoccupés par la capacité perçue de cibler un groupe précis à l’aide de l’ADN.

Évaluation des commissariats quant au risque de préjudice

135. Le paragraphe 10.1(8) de la LPRPDE prévoit que les éléments qui servent à établir si une atteinte aux mesures de sécurité présente un risque réel de préjudice grave à l’endroit de l’intéressé sont notamment a) le degré de sensibilité des renseignements personnels en cause, b) la probabilité que les renseignements aient été mal utilisés ou soient en train ou sur le point de l’être et c) tout autre élément prévu par règlement^{Note de bas de page 67}.
136. Selon l’orientation sur les atteintes à la sécurité des données personnelles^{Note de bas de page 68} du commissariat à l’information, les organisations doivent tenir compte des conséquences négatives possibles pour les droits et libertés des personnes. Il s’agit d’évaluer à la fois la gravité des répercussions négatives possibles d’une atteinte sur les personnes et la probabilité que les répercussions se concrétisent.

Degré de sensibilité des renseignements personnels

137. Comme il est indiqué au paragraphe 39 du présent rapport, les renseignements personnels en cause dans le cadre de l’atteinte sont considérés comme des données très sensibles par le CPVP et comme des données de catégorie spéciale par le commissariat à l’information. Pour les personnes dont le profil DNAR a été touché, il s’agissait notamment de renseignements sur leur origine ethnique et raciale. Pour les personnes dont le compte a été touché, il s’agissait de renseignements sur leur origine ethnique et raciale, mais aussi de renseignements sur leur santé et de renseignements génétiques (données génétiques brutes).

Probabilité d’un mauvais usage

138. Comme il est expliqué en détail plus loin, les commissaires sont d’avis qu’une utilisation inappropriée de ces renseignements demeure fort probable. Pour arriver à cette conclusion, les commissaires ont déterminé que les circonstances suivantes augmentaient la probabilité d’une utilisation inappropriée :
     1. les renseignements personnels ont été consultés par un auteur de menace qui a démontré avoir l’intention malveillante de nuire aux personnes;
     2. l’auteur de menace a eu accès à une grande quantité de renseignements personnels;
     3. les renseignements personnels n’étaient pas chiffrés^{Note de bas de page 69};
     4. les renseignements personnels n’ont pas été récupérés, et certains renseignements (ceux sur les profils DNAR) ont été mis en vente en ligne à au moins deux reprises.

Démonstration de l’intention malveillante

139. D’abord, l’auteur de menace a eu accès aux renseignements personnels après avoir activement exfiltré des renseignements personnels très sensibles durant plusieurs mois, puis il a tenté de tirer profit de ces données volées, y compris des données génétiques brutes, en les mettant en vente sur au moins deux sites Web (BreachForums^{Note de bas de page 70} and HydraMarket^{Note de bas de page 71}) fréquentés par des individus aux intentions malveillantes. Ces sites ont depuis été fermés.
140. Dans une publication présentant les renseignements touchés par l’atteinte, l’auteur de menace a regroupé les données par origine ethnique et par nationalité et mentionné précisément des personnes ayant des ancêtres juifs ashkénazes ou chinois. Le regroupement des données des clients par origine ethnique et par nationalité suggère que l’auteur de menace pourrait avoir été motivé par le souhait de causer du tort à ces groupes précis ou de rendre l’information disponible à d’autres auteurs désireux d’en faire autant. Dans ses publications, l’auteur de menace a aussi mentionné l’intensification du conflit au Moyen-Orient, ce qui pourrait indiquer que son intention de causer du tort à des personnes d’une nationalité ou d’une origine ethnique en particulier était, du moins en partie, motivée par les tensions géopolitiques en cours à ce moment^{Note de bas de page 72}. Toutefois, 23andMe a indiqué aux commissariats qu’elle n’avait pas vérifié si les regroupements faits par l’auteur de menace étaient exacts et qu’elle n’avait pas essayé de classer les personnes touchées par origine ethnique aux fins de son évaluation du risque.

Volume important de renseignements personnels

141. Ensuite, l’atteinte a touché de nombreux éléments distincts de renseignements personnels liés à des millions d’individus, ce qui pourrait accroître la valeur de ces renseignements. Cela pourrait inciter encore plus d’auteurs malveillants à obtenir les renseignements, augmentant ainsi la probabilité d’un mauvais usage.

Non-chiffrement des renseignements personnels

142. Troisièmement, il semble que les renseignements contenus dans les profils DNAR et dans les comptes touchés par l’attaque n’étaient pas chiffrés. Concernant les renseignements des profils DNAR, 23andMe a indiqué qu’ils étaient publiés en ligne sous forme d’immenses fichiers de valeurs^{Note de bas de page 73} séparées par des virgules (CSV) qui étaient difficiles à télécharger, à visualiser et à interpréter. Toutefois, nous constatons que les fichiers CSV sont organisés de telle façon qu’il est généralement possible de les convertir dans un format plus accessible au moyen d’outils faciles à obtenir. En l’absence de preuves contraires, il nous apparaît qu’un auteur de menace ayant l’expertise technique pour perpétrer une attaque de cette ampleur contre 23andMe (ou un autre auteur de menace qui achèterait les données) serait probablement capable d’interpréter les fichiers CSV non chiffrés et d’extraire les renseignements personnels qu’ils contiennent.
143. Nous constatons aussi que les données génétiques brutes téléchargées par l’auteur de menace, qui n’étaient pas non plus chiffrées, pouvaient être interprétées et ainsi révéler des renseignements supplémentaires sur une personne, par exemple des traits particuliers (sexe, couleur des yeux et des cheveux) ou encore une prédisposition à certaines maladies. En fait, il existe actuellement des logiciels et des technologies accessibles au public qui peuvent analyser des données génétiques brutes et qui sont clairement annoncés comme étant compatibles avec les ensembles de données de 23andMe^{Note de bas de page 74}. Par conséquent, un auteur de menace pourrait utiliser un tel logiciel pour interpréter les données génétiques brutes d’une personne.
144. De plus, comme l’ADN ne change pas, l’information recueillie reste pertinente durant toute la vie d’une personne. Grâce aux progrès constants de la science et de la technologie, les données génétiques brutes pourraient éventuellement fournir des renseignements plus exacts et plus précis sur une personne^{Note de bas de page 75}. Il est donc possible que des auteurs de menace puissent un jour utiliser ces renseignements à des fins que nous ne pouvons envisager en ce moment.

Accessibilité des données

145. Quatrièmement, les données volées n’ont pas été récupérées. Comme il est précisé dans les paragraphes 3 et 101, les renseignements ont été mis en vente en août et en octobre 2023. Ils ont donc potentiellement été rendus disponibles à un nombre inconnu d’auteurs de menace qui ont pu les télécharger et les utiliser à leur guise. En août 2023, l’auteur de menace a publié un message disant que [traduction] « 14 millions de données génomiques ont été vendues à un homme d’affaires iranien^{Note de bas de page 76} ».
146. À la lumière de ce qui précède, nous croyons qu’il est fort probable que les renseignements personnels compromis aient été mal utilisés.

Conclusion relative au risque de préjudice

147. Étant donné la grande sensibilité des renseignements compromis et la forte probabilité d’un mauvais usage, le CPVP et le commissariat à l’information concluent que l’atteinte a créé un risque de préjudice qui respecte les critères établis par la LPRPDE et le règlement général sur la protection des données du Royaume-Uni, respectivement, selon lesquels 23andMe était tenue de signaler l’atteinte aux commissariats et d’aviser les personnes touchées.
148. Les commissaires soulignent qu’en réponse à l’atteinte, 23andMe a commencé à élaborer un cadre visant à évaluer le risque de préjudice pour les personnes afin de s’assurer que toutes les atteintes seront traitées de façon cohérente à l’avenir. Dans leur rapport préliminaire, les commissaires ont encouragé 23andMe à tenir compte de l’analyse et des conclusions de nos commissariats présentées ci-dessus au moment d’élaborer ce cadre.

La société 23andMe a-t-elle signalé l’atteinte au CPVP et au commissariat à l’information de façon adéquate?

149. Pour les raisons expliquées ci-dessous, le CPVP et le commissariat à l’information concluent que les signalements de 23andMe au CPVP et au commissariat à l’information ne respectaient pas la LPRPDE et le règlement général sur la protection des données du Royaume-Uni, respectivement.
150. Le paragraphe 10.1(2) de la LPRPDE prévoit que la déclaration au commissaire doit contenir les renseignements prévus par règlement et être faite, selon les modalités réglementaires, le plus tôt possible après que l’organisation a conclu qu’il y a eu atteinte.
151. L’article 2 du règlement sur les atteintes au titre de la LPRPDE précise qu’une déclaration d’atteinte au CPVP doit contenir certains renseignements, entre autres :
     1. une description des circonstances de l’atteinte;
     2. la date ou la période où il y a eu atteinte (ou une approximation de la période);
     3. la nature des renseignements personnels visés par l’atteinte, pour autant qu’elle soit connue.
152. Selon le paragraphe 33(3) du règlement général sur la protection des données du Royaume-Uni, un signalement fait au titre du paragraphe 33(1) du règlement général sur la protection des données du Royaume-Uni (signalement au commissaire) doit, au moins [traduction] :
     1. décrire la nature de l’atteinte à la protection des données personnelles, y compris, dans la mesure du possible, les catégories et le nombre approximatif de personnes concernées ainsi que les catégories et le nombre approximatif de dossiers concernés;
     2. comprendre le nom et les coordonnées de la personne responsable de la protection des données ou d’une autre personne-ressource qui peut fournir de plus amples renseignements sur l’atteinte;
     3. décrire les conséquences probables de l’atteinte à la protection des données personnelles;
     4. décrire les mesures que le contrôleur a prises ou a proposées pour remédier à l’atteinte à la protection des données personnelles, y compris, s’il y a lieu, les mesures pour en atténuer les effets négatifs possibles.
153. Le paragraphe 33(4) du règlement général sur la protection des données du Royaume‑Uni indique que [traduction] « lorsqu’il n’est pas possible d’inclure au même moment tous les renseignements dans un signalement, ils peuvent être fournis au fur et à mesure sans autre retard indu ».
154. Le paragraphe 33(1) du règlement général sur la protection des données du Royaume‑Uni prévoit, entre autres, que l’atteinte doit être signalée au commissariat à l’information sans retard indu et, dans la mesure du possible, dans les 72 heures après que l’organisation a pris connaissance de l’atteinte.

Contenu des signalements faits par 23andMe au CPVP et au commissariat à l’information

155. Pour les raisons expliquées ci-dessous, le CPVP et le commissariat à l’information concluent tous deux que les signalements faits par 23andMe aux commissariats étaient inadéquats, car ils ne contenaient pas toute l’information sur les renseignements personnels touchés ou susceptibles d’être touchés par l’atteinte, information qui était connue de 23andMe au moment où elle a fait les signalements.
156. La société 23andMe a été mise au courant de l’atteinte alléguée le 1er octobre 2023 et elle a confirmé qu’il s’agissait bien d’une atteinte le 5 octobre 2023. Le 10 octobre 2023, 23andMe a envoyé un courriel à tous ses clients pour les informer de l’atteinte et leur demander de réinitialiser leur mot de passe. Le courriel expliquait que des comptes 23andMe individuels avaient été utilisés pour accéder à certains renseignements des profils – que les clients créent et peuvent choisir de mettre à la disposition d’autres clients au moyen de la fonctionnalité DNAR.
157. Le 13 octobre 2023, le CPVP a été informé de l’atteinte par les médias. Le CPVP a communiqué avec 23andMe pour en savoir plus sur les renseignements personnels en cause et sur le nombre de Canadiennes et Canadiens touchés ainsi que pour demander à la société de soumettre un rapport d’atteinte.
158. La société 23andMe a soumis des rapports d’atteinte au commissariat à l’information et au CPVP^{Note de bas de page 77} à la mi-octobre 2023 et des rapports mis à jour à la fin d’octobre 2023^{Note de bas de page 78}. Ces rapports indiquaient que l’auteur de menace avait accédé à certains comptes de clients et téléchargé les renseignements de leurs profils DNAR. Toutefois, aucun des rapports ne mentionnait la possibilité que des données génétiques brutes, des rapports sur la santé et des rapports d’ascendance puissent avoir été touchés par l’atteinte, même si, comme il est expliqué ci-dessous, 23andMe savait que l’auteur de menace pouvait avoir accès à ces renseignements personnels une fois qu’il avait accédé à un compte.
159. Au moment d’aviser les commissariats, 23andMe savait déjà que l’atteinte était le résultat d’une attaque par bourrage d’identifiants et que les profils DNAR de plus d’un million de personnes avaient été touchés. Par conséquent, même si elle ne connaissait pas à ce moment le nombre exact de comptes touchés par l’attaque, 23andMe savait à tout le moins que l’auteur de menace avait eu accès à tous les renseignements personnels d’un nombre élevé de comptes^{Note de bas de page 79}, y compris des rapports d’ascendance, des rapports sur la santé et des données génétiques brutes. La société 23andMe avait l’obligation d’informer les commissariats que ces renseignements avaient été compromis lorsqu’elle leur a soumis ses déclarations initiales et mises à jour en octobre 2023. Le fait que 23andMe ait omis d’inclure cette information dans ses signalements est particulièrement préoccupant compte tenu de la grande sensibilité des renseignements personnels en cause et du risque de préjudice pour les personnes touchées, comme il est indiqué ci-dessus.
160. Le CPVP a reçu un autre rapport d’atteinte mis à jour en décembre 2023. Ce dernier expliquait que l’auteur de menace avait vu les renseignements suivants sur les personnes dont les comptes avaient été touchés par l’attaque : page des paramètres, renseignements sur l’ascendance et rapports sur la santé. Le rapport indiquait aussi que, dans certains cas, l’auteur de menaces avait eu accès aux renseignements fournis par les clients sur leur état de santé ainsi qu’à des données non interprétées sur le génotype. Le CPVP a constaté qu’après qu’il ait reçu ce rapport d’atteinte, plusieurs articles publiés dans les médias affirmaient que les données génétiques n’avaient pas été touchées par l’atteinte^{Note de bas de page 80}. De plus, la mise à jour que 23andMe a publiée sur son blogue le 5 décembre 2023 ne mentionnait pas que des données génétiques brutes étaient en cause^{Note de bas de page 81}. Le CPVP a donc demandé à 23andMe de lui fournir des éclaircissements à ce sujet. En février 2024, 23andMe a confirmé que sa référence à des [traduction] « données non interprétées sur le génotype » signifiait que des fichiers contenant les données génétiques brutes complètes d’une personne avaient été touchés.
161. Le commissariat à l’information n’a pas reçu de rapport d’atteinte mis à jour en décembre 2023 et ce n’est que le 24 juin 2024 que 23andMe a avisé officiellement le commissariat à l’information que des données génétiques brutes (et d’autres renseignements personnels accessibles dans un compte touché par l’attaque) avaient été touchées par l’atteinte. La société 23andMe a indiqué qu’il s’agissait d’une omission involontaire découlant du fait que la personne responsable d’aviser le commissariat à l’information n’a pas été incluse comme destinataire d’un courriel relatif au signalement aux organismes de réglementation en décembre 2023. Le commissariat à l’information conclut que rien n’indique que 23andMe a intentionnellement omis de lui soumettre un rapport d’atteinte mis à jour en décembre 2023.

Moment des signalements au commissariat à l’information et au CPVP par 23andMe

162. En ce qui concerne le moment du signalement au commissariat à l’information, 23andMe a soumis sa déclaration initiale au commissariat à l’information le 15 octobre 2023, soit 10 jours après avoir confirmé que l’atteinte avait eu lieu et donc en dehors de la période de 72 heures prévue au paragraphe 33(1) du règlement général sur la protection des données du Royaume-Uni. 23andMe a attribué ce retard au fait qu’il lui a fallu jusqu’au 12 octobre 2023 pour déterminer quelles données personnelles et quels clients avaient été touchés et quels organismes de réglementation elle devait prévenir. Par conséquent, même si le premier rapport d’atteinte n’a pas été soumis dans le délai de 72 heures prévu par la loi, 23andMe a pu fournir une explication pour ce retard, que le commissariat à l’information considère comme étant raisonnable dans les circonstances.
163. La LPRPDE ne fixe pas d’échéance précise pour le signalement d’une atteinte; elle prévoit plutôt que la déclaration soit faite « le plus tôt possible ». La société 23andMe a fait son signalement initial au CPVP le 18 octobre 2023, soit 13 jours après avoir confirmé qu’une atteinte avait bien eu lieu (et cinq jours après la demande du CPVP). Le CPVP reconnaît que les organisations peuvent avoir besoin de temps pour faire enquête et confirmer la portée d’une atteinte. Dans le cas présent, l’atteinte touchait des millions de clients et un volume important de renseignements personnels. Par conséquent, dans les circonstances, le CPVP convient que 23andMe a signalé l’atteinte le plus tôt possible.

Conclusion relative au caractère adéquat des signalements au CPVP et au commissariat à l’information par 23andMe

164. Compte tenu de ce qui précède, le CPVP et le commissariat à l’information concluent qu’en omettant d’indiquer dans ses formulaires de signalement d’atteinte d’octobre 2023 que des données génétiques brutes et d’autres renseignements personnels sensibles étaient accessibles dans les comptes touchés par l’attaque, 23andMe a contrevenu, respectivement, au paragraphe 10.1(2) de la LPRPDE et à l’article 2 du règlement sur les atteintes au titre de la LPRPDE ainsi qu’aux exigences des alinéas 33(3)(a) et 33(3)(c) du règlement général sur la protection des données du Royaume-Uni.

La société 23andMe a-t-elle avisé les personnes touchées par l’atteinte de façon adéquate?

165. Pour les raisons expliquées ci-dessous, le CPVP et le commissariat à l’information concluent que les avis envoyés par 23andMe aux personnes touchées ne respectaient pas, dans certains cas, la LPRPDE et le règlement général sur la protection des données du Royaume-Uni, respectivement.
166. Le paragraphe 10.1(4) prévoit que l’avis aux personnes contient suffisamment d’information pour permettre à l’individu de comprendre l’importance, pour lui, de l’atteinte et de prendre, si possible, des mesures pour réduire le risque de préjudice qui pourrait en résulter ou pour atténuer ce préjudice. Il doit aussi contenir tout autre renseignement réglementaire.
167. L’article 3 du règlement sur les atteintes au titre de la LPRPDE précise aussi que l’avis donné aux personnes touchées par l’atteinte doit contenir certains renseignements, dont les renseignements énumérés à l’article 2 du règlement sur les atteintes au titre de la LPRPDE mentionné ci-dessus.
168. Le paragraphe 10.1(6) de la LPRPDE prévoit que des avis soient présentés aux personnes intéressées le plus tôt possible après que l’organisation a conclu qu’il y a eu atteinte.
169. Selon le paragraphe 34(1) du règlement général sur la protection des données du Royaume-Uni, lorsqu’il est probable qu’une atteinte à la protection des données personnelles pose un risque élevé aux droits et libertés de personnes physiques, le contrôleur doit aviser les personnes touchées sans retard indu.
170. Le paragraphe 34(2) du règlement général sur la protection des données du Royaume‑Uni prévoit que l’avis donné aux personnes concernées décrive, dans un langage clair et simple, la nature de l’atteinte à la protection des données personnelles et contienne au moins les informations et les mesures énumérées aux alinéas 33(3)(b), (c) et (d) du règlement général sur la protection des données du Royaume-Uni mentionné ci-dessus.
171. La société 23andMe a avisé par courriel les personnes touchées entre octobre 2023 et janvier 2024. Le contenu et le moment des avis aux personnes touchées varient selon le type de renseignements personnels touchés.
172. Les personnes dont les renseignements sur les profils DNAR ont été publiés par l’auteur de menace ou dont il a été établi qu’ils avaient été consultés par l’auteur de menace ont été les premières informées, en octobre 2023 (les avis d’octobre). Certaines de ces personnes ont reçu à la fin de décembre 2023 un autre avis qui précisait que seuls les renseignements concernant leur arbre généalogique avaient été touchés par l’atteinte. D’autres avis ont aussi été transmis à la fin de décembre 2023 aux personnes dont seuls les renseignements sur l’arbre généalogique avaient été touchés.
173. Les personnes dont le compte a été touché par l’attaque ont été informées plus tard, en janvier 2024, soit près de trois mois après la confirmation de l’atteinte (les avis de janvier). Le contenu de ces avis variait selon les renseignements touchés : profils DNAR, profil d’arbre généalogique, renseignements sur l’état de santé ou données génétiques brutes.
174. La section ci-dessous contient l’analyse des commissaires à savoir si 23andMe a avisé de façon adéquate i) les personnes dont les renseignements des profils DNAR ont été touchés; et ii) les personnes dont le compte a été touché par l’attaque.

Avis aux personnes dont les renseignements des profils DNAR ont été touchés (les avis d’octobre)

175. Même si les commissaires conviennent que les avis d’octobre ont été envoyés rapidement, ils concluent que 23andMe a omis d’inclure dans ces avis tous les renseignements requis selon la LPRPDE et le règlement général sur la protection des données du Royaume-Uni.
176. Bien que 23andMe savait que les renseignements personnels de certaines personnes avaient été mis en vente en ligne par l’auteur de menace, les avis envoyés à ces personnes ne contenaient aucune mention à cet effet. Les commissaires considèrent que cette information était pertinente et qu’elle aurait pu aider les personnes touchées à mieux évaluer le risque de préjudice et à prendre les mesures appropriées pour atténuer ce risque.

Avis aux personnes dont les comptes ont été touchés par l’attaque (les avis de janvier)

177. Les commissaires concluent que 23andMe n’a pas avisé adéquatement les personnes dont les comptes ont été touchés par l’attaque, car elle n’a pas inclus dans les avis tous les renseignements requis. Le CPVP considère également que 23andMe n’a pas envoyé les avis le plus tôt possible.
178. Selon notre compréhension, les profils DNAR de certaines personnes dont les comptes ont été touchés par l’attaque ont aussi fait l’objet de l’atteinte, et ces personnes auraient donc reçu les avis d’octobre. Toutefois, ce n’est qu’en janvier 2024 que ces personnes auraient été avisées que leur compte avait fait l’objet d’une attaque par bourrage d’identifiants. Les avis d’octobre 2023 ne mentionnaient pas la possibilité que l’auteur de menace ait eu accès aux renseignements personnels très sensibles contenus dans leur compte, par exemple les rapports sur leur santé et leurs données génétiques brutes.
179. De plus, comme la fonctionnalité DNAR était facultative, une personne dont le compte avait été touché par l’attaque, mais qui n’avait pas activé la fonctionnalité DNAR n’aurait pas reçu d’avis en octobre. Ces clients auraient été avisés qu’ils avaient été touchés par l’atteinte qu’en janvier 2024, trois mois après que 23andMe a confirmé que l’atteinte avait bien eu lieu.
180. La société 23andMe a déclaré qu’elle avait terminé son enquête judiciaire à la fin de novembre 2023 et que ce n’est qu’à ce moment qu’il avait été confirmé que l’auteur de menace avait consulté et téléchargé les données génétiques brutes de certains clients. Cela dit, 23andMe a confirmé au début de son enquête que l’auteur de menace avait accédé directement aux comptes d’un certain nombre de clients au moyen d’une attaque par bourrage d’identifiants. Par conséquent, lorsque 23andMe a envoyé les avis d’octobre, elle savait qu’il y avait un risque que les renseignements contenus dans un nombre indéterminé de comptes de clients, comme des données génétiques brutes, soient compromis. Toutefois, elle n’a pas mentionné ce risque à ses clients dans les avis d’octobre.
181. Le commissariat à l’information a conclu qu’en omettant de mentionner ce risque dans les avis d’octobre, 23andMe n’a pas respecté les exigences des paragraphes 34(1) et 34(2) du règlement général sur la protection des données du Royaume-Uni relativement au contenu des avis envoyés aux personnes touchées. Le paragraphe 34(2) du règlement général sur la protection des données du Royaume-Uni prévoit que les communications envoyées aux personnes touchées comprennent au moins les renseignements mentionnés aux alinéas 33(3)(b), (c) et (d) du règlement général sur la protection des données du Royaume-Uni, y compris une description des conséquences probables de l’atteinte.
182. Compte tenu de ce qui précède, les avis envoyés aux personnes du Royaume-Uni touchées par l’atteinte auraient dû préciser qu’il était possible que quelqu’un ait accédé sans autorisation à leurs données génétiques brutes.
183. Selon le paragraphe 10.1(4) de la LPRPDE, l’avis doit contenir suffisamment d’information pour permettre à la personne intéressée de comprendre l’importance, pour elle, de l’atteinte. En l’absence de preuves contraires, le fait qu’il était possible que les données génétiques brutes de certaines personnes puissent avoir été compromises était pertinent pour que ces personnes puissent comprendre le risque que présente l’atteinte pour elles. Le CPVP conclut donc que 23andMe a enfreint le paragraphe 10.1(4) de la LPRPDE en n’incluant pas cette information dans ses avis d’octobre.
184. Dans tous les cas, bien que 23andMe ait établi à la fin de novembre 2023 quels comptes avaient été touchés par l’attaque, ce n’est que le 3 janvier 2024 qu’elle a commencé à informer les personnes concernées, soit plus d’un mois plus tard. La société 23andMe n’a pas fourni d’explication acceptable pour justifier ce délai, ce qui est particulièrement préoccupant étant donné les renseignements personnels très sensibles accessibles à partir du compte d’une personne. Par conséquent, le CPVP conclut aussi que 23andMe n’a pas envoyé le plus tôt possible les avis aux personnes dont les comptes ont été touchés par l’attaque.
185. Enfin, nous précisons que les avis de janvier ne mentionnaient pas les éléments suivants :
     1. Le fait que l’atteinte a permis l’accès aux renseignements (paramètres) sur les comptes. La société 23andMe a inclus cette information uniquement dans certains avis de janvier. Selon notre compréhension, ces renseignements pouvaient comprendre le nom complet de la personne, sa date de naissance, son sexe à la naissance, son genre, son adresse courriel, son pays et son code postal de résidence actuelle, son poids et sa taille;
     2. La période durant laquelle l’atteinte est survenue. La société 23andMe a seulement indiqué la date à laquelle l’auteur de menace a publié en ligne des échantillons des données volées. En janvier 2024, 23andMe avait terminé son enquête judiciaire et savait que l’atteinte s’était déroulée entre avril 2023 et septembre 2023. Elle aurait dû inclure cette information dans ses avis de janvier.

Conclusion relative au caractère adéquat des avis envoyés aux personnes touchées

186. CPVP : À la lumière de ce qui précède, le CPVP conclut que 23andMe n’a pas respecté les exigences du :
     1. paragraphe 10.1(4) de la LPRPDE et l’article 3 du règlement sur les atteintes au titre de la LPRPDE en ne mentionnant pas :
        1. dans les avis d’octobre, que l’auteur de menace avait publié en ligne des renseignements relatifs aux personnes dont les profils DNAR avaient été touchés;
        2. dans les avis d’octobre, la possibilité que les données génétiques brutes des utilisateurs concernés puissent avoir été touchées;
        3. dans les avis de janvier, la période durant laquelle l’atteinte est survenue, une information connue de 23andMe;
        4. dans les avis de janvier également, les renseignements sur les comptes qui avaient été touchés par l’atteinte.
     2. paragraphe 10.1(6) de la LPRPDE en n’avisant pas, le plus tôt possible, toutes les personnes dont le compte avait été touché par l’attaque.
187. Commissariat à l’information : À la lumière de ce qui précède, le Commissariat à l’information du Royaume-Uni conclut que 23andMe n’a pas respecté les exigences des paragraphes 34(1) et 34(2) du règlement général sur la protection des données du Royaume-Uni concernant le contenu des avis qu’elle a donnés aux personnes touchées.

La méthodologie utilisée par 23andMe pour trouver et aviser les personnes dont les données génétiques brutes ont été téléchargées par l’auteur de menace était-elle adéquate?

188. En plus d’avoir constaté les lacunes mentionnées ci-dessus dans les avis de janvier envoyés aux personnes dont le compte avait été touché par l’attaque, les commissariats se demandaient si 23andMe avait bien avisé toutes les personnes dont les données génétiques brutes avaient pu être touchées par l’atteinte. Dans le rapport préliminaire, nous avons indiqué avoir relevé de nombreux problèmes dans la méthodologie initiale utilisée par 23andMe durant l’enquête juridique qu’elle a menée après l’atteinte, ce qui nous laisse croire qu’elle n’a possiblement pas bien repéré tous les téléchargements de données génétiques brutes effectués par l’auteur de menace.
189. Il convient de noter que le contenu des avis de janvier variait selon que 23andMe avait déterminé ou non que l’auteur de menace avait téléchargé les données génétiques brutes d’une personne. Dans les cas où 23andMe avait déterminé, selon sa méthodologie judiciaire décrite ci-dessous, que le téléchargement de données génétiques brutes était attribuable à l’auteur de menace, elle a indiqué aux personnes en cause que l’auteur de menace avait [traduction] « téléchargé leurs données non interprétées sur le génotype ou y avait accédé ».
190. La société 23andMe a embauché un tiers chargé de mener une enquête judiciaire sur l’atteinte, avec le soutien du personnel de 23andMe. Comme il est indiqué au paragraphe 17 ci-dessus, 23andMe a invoqué le secret professionnel de l’avocat relativement à certains rapports et communications liés à l’enquête judiciaire et a refusé de transmettre ces documents aux commissariats. Notre analyse du processus judiciaire repose sur les réponses de 23andMe à nos demandes et sur notre propre analyse des données fournies par 23andMe.

Méthodologie initiale de 23andMe pour repérer les téléchargements de données génétiques brutes faits par l’auteur de menace

191. Au moment de l’atteinte, pour pouvoir télécharger des données génétiques brutes, un client devait d’abord en faire la demande par l’intermédiaire de son compte 23andMe. Une fois la demande faite, il fallait prévoir un délai afin que les données soient préparées. Quand elles sont prêtes, les données ont été placées dans une aire de stockage infonuagique tierce et un courriel a été envoyé au client pour l’informer que les données pouvaient être téléchargées. Le client devait ensuite ouvrir une session dans son compte 23andMe, puis cliquer sur un lien pour lancer le processus de téléchargement.
192. Lorsque le client a cliqué sur le lien de téléchargement, l’événement a été consigné par le fournisseur de service infonuagique tiers. Toutefois, durant la période de l’atteinte, 23andMe n’a pas recueilli ni conservé les journaux originaux tiers. Elle a plutôt créé et stocké ses propres journaux d’événements de téléchargement, en utilisant certains renseignements provenant des journaux originaux tiers.
193. En raison d’une mauvaise configuration dans ces journaux personnalisés, une adresse IP non valide a été associée à l’activité de téléchargement. La société 23andMe n’a donc pu utiliser le journal personnalisé pour repérer les téléchargements suspects faits à partir d’adresses IP associées à l’auteur de menace. Elle a plutôt dû corréler des renseignements provenant d’autres journaux d’événements pour déterminer si un téléchargement de données génétiques brutes était possiblement attribuable à l’auteur de menace. Plus précisément, 23andMe a cherché les connexions établies à partir d’une adresse IP qu’elle attribuait à l’auteur de menace, puis vérifié si un événement de téléchargement de données génétiques brutes avait été consigné pour le même compte dans les six heures suivant la connexion.

Repérage de téléchargements de données génétiques brutes faits par l’auteur de menace

194. Dans le rapport préliminaire, les commissaires se sont dits préoccupés par le fait que la méthodologie initiale utilisée par 23andMe pour repérer les téléchargements suspects semblait présenter des lacunes et ont indiqué que la société aurait dû appliquer des mesures plus larges pour repérer les téléchargements de données génétiques brutes qui auraient pu être lancés par l’auteur de menace. En l’absence de moyens permettant d’établir de façon définitive les téléchargements de données génétiques brutes effectués par l’auteur de menace, les commissaires ont suggéré qu’il aurait peut-être été plus approprié d’élargir la portée des méthodes utilisées. Plus précisément, 23andMe aurait pu supposer que tout téléchargement de données génétiques brutes effectué à partir d’un compte touché par l’attaque entre le moment où il a été compromis et le 9 octobre 2023 (la date de la réinitialisation globale des mots de passe) était le fait de l’auteur de menace.
195. D’après l’analyse que les commissariats ont faite des registres fournis par 23andMe, une telle approche aurait permis de trouver plus de 270 comptes à partir desquels l’auteur de menace aurait pu effectuer des téléchargements de données génétiques brutes, alors que 23andMe ne parlait que de 18 comptes. Selon la société, 10 des 270 comptes appartenaient à des personnes au Canada et 8 à des personnes au Royaume-Uni^{Note de bas de page 82}. Les commissaires ont donc recommandé que 23andMe analyse à nouveau les données des registres pour confirmer le nombre de personnes dont les données génétiques brutes avaient probablement été téléchargées par l’auteur de menace et qu’elle avise toutes les personnes qui ne l’avaient pas déjà été.
196. En réponse au rapport préliminaire, 23andMe a réexaminé tous les téléchargements de données génétiques brutes effectués à partir de comptes compromis durant la période de l’atteinte. La nouvelle approche adoptée par 23andMe comprenait l’examen d’un plus grand nombre de points de données que sa méthodologie initiale, notamment des emplacements approximatifs et des fournisseurs de services Internet, afin de mener une évaluation plus complète de chaque événement de téléchargement pour déterminer s’il était suspect. Selon la nouvelle analyse de 23andMe, l’auteur de menace a téléchargé les données génétiques brutes de quatre personnes dans le monde (dont aucune ne se trouvait au Canada ou au Royaume-Uni). Les commissaires n’ont pas vérifié de façon indépendante les chiffres mis à jour fournis par 23andMe.

Conclusion relative à l’enjeu 2

197. Compte tenu de ce qui précède, les commissaires concluent que l’atteinte a posé un risque de préjudice qui répond aux critères de seuils de risque de préjudice établis tant par la LPRPDE que par le règlement général sur la protection des données du Royaume‑Uni, de sorte que 23andMe était tenue de signaler l’atteinte aux commissariats et d’aviser les personnes touchées. Le CPVP et le commissariat à l’information estiment que les signalements faits aux commissariats et les avis donnés aux personnes touchées par 23andMe n’étaient pas conformes, respectivement, à la LPRPDE et au règlement général sur la protection des données du Royaume-Uni.

Évaluation de la conformité actuelle de 23andMe à ses exigences en matière de signalement des atteintes

198. Compte tenu des infractions indiquées ci-dessus, les commissaires, dans leur rapport préliminaire, ont formulé à l’intention de 23andMe des recommandations détaillées visant à ce que la société respecte le paragraphe 10.1(4) de la LPRPDE et l’alinéa 3c) du règlement sur les atteintes au titre de la LPRPDE ainsi que le paragraphe 34(2) du règlement général sur la protection des données du Royaume-Uni (lu conjointement avec l’alinéa 33(3)(c) du règlement général sur la protection des données du Royaume-Uni). Ces recommandations sont résumées ci-dessous :
     1. examiner l’intégration des journaux pour veiller à ce que le système de journalisation visant les activités des clients dans la plateforme soit exempt d’erreurs de configuration ou autres;
     2. mettre à jour ses politiques et ses procédures pour veiller à ce que les organismes de réglementation et les personnes touchées soient informés de façon adéquate en cas d’atteinte;
     3. mettre en œuvre les procédures et les politiques appropriées pour veiller à ce que toutes les atteintes à la sécurité des données personnelles, notamment l’évaluation par 23andMe du risque de préjudice résultant d’une atteinte, soient consignées et documentées de façon appropriée afin que les organismes de réglementation puissent au besoin consulter les renseignements à leur sujet.
199. En réponse au rapport préliminaire, 23andMe a transmis l’information suivante aux commissariats :
     1. elle a reconfiguré ses journaux pour permettre à son équipe de sécurité de mieux suivre et détecter les activités malveillantes;
     2. elle a mis à jour ses processus, entre autres son cadre de gestion du risque, sa procédure d’intervention en cas de cyberincident et sa politique d’intervention en cas d’incident lié à la sécurité et à la protection de la vie privée.
200. Compte tenu de la réponse de 23andMe, les commissaires concluent que la société a résolu les enjeux mentionnés dans le rapport préliminaire. Ainsi, ils sont d’avis que, pour l’enjeu relatif aux signalements et aux avis d’atteinte, ce volet de la plainte est résolu.

Conclusion

201. Compte tenu des éléments mentionnés précédemment, le CPVP et le commissariat à l’information en sont venus aux conclusions ci-dessous :

     Conclusions du CPVP

     1. Enjeu 1 : La société 23andMe a contrevenu au principe 4.7 de l’annexe 1 de la LPRPDE en omettant de mettre en œuvre des mesures de protection appropriées pour assurer la protection des renseignements personnels hautement sensibles de ses clients. Compte tenu des mesures de protection supplémentaires et améliorées mises en œuvre par 23andMe durant l’enquête, le CPVP conclut que ce volet de la plainte est fondé et résolu.
     2. Enjeu 2 : Compte tenu des lacunes (mentionnées précédemment) constatées dans les avis au CPVP et aux personnes touchées visant les atteintes, 23andMe a contrevenu à l’article 10,1 de la LPRPDE et aux articles 2 et 3 du règlement sur les atteintes au titre de la LPRPDE. Toutefois, compte tenu des mesures mises en œuvre par 23andMe pour corriger la situation, le CPVP conclut que ce volet de la plainte est fondé et résolu.

     Conclusions du commissariat à l’information

     1. Enjeu 1 : La société 23andMe a contrevenu à l’alinéa 5(1)(f) et au paragraphe 32(1) du règlement général sur la protection des données du Royaume-Uni en omettant de mettre en œuvre des mesures techniques et organisationnelles adéquates pour assurer l’intégrité et la confidentialité de ses systèmes et services de traitement et des renseignements personnels de ses clients.
     2. Enjeu 2 : La société 23andMe n’a pas respecté les exigences des alinéas 33(3)(a) et 33(3)(c) du règlement général sur la protection des données du Royaume-Uni concernant le contenu des avis qu’elle a envoyés au commissariat à l’information, ce qui a aggravé les infractions énoncées dans l’enjeu 1 ci-dessus. De plus, le commissariat à l’information estime que 23andMe n’a pas respecté les exigences des paragraphes 34(1) et 34(2) du règlement général sur la protection des données du Royaume-Uni, lu avec le paragraphe 33(c) du règlement général sur la protection des données du Royaume-Uni, concernant le contenu des avis qu’elle a envoyés aux clients touchés, mais il n’a pas considéré cela comme une circonstance aggravante.

Autre : Avenir de 23andMe

202. Le 23 mars 2025, à la suite de l’atteinte et devant l’accumulation des pertes financières, 23andMe Holding Co. et certaines de ses filiales, dont 23andMe, ont déclaré faillite au titre du chapitre 11 du Bankruptcy Code des États-Unis devant la Bankruptcy Court américaine pour le district est du Missouri.
203. Bien que les commissaires considèrent que 23andMe a mis en place des mesures pour répondre aux préoccupations exprimées dans le rapport préliminaire, ils comprennent que la faillite de 23andMe peut entraîner la vente ou le transfert de la société ainsi que des renseignements personnels sensibles des clients, notamment des données génétiques et des renseignements sur la santé, à une autre entreprise.
204. Dans le cadre de leur enquête, les commissariats ont écrit aux syndics qui supervisent la procédure de faillite de 23andMe pour les États-Unis afin de veiller à ce que les renseignements personnels concernant des individus situés au Royaume-Uni et au Canada soient traités conformément aux lois sur la protection des données en vigueur dans ces pays^{Note de bas de page 83}.
205. Un ombud de la protection de la vie privée des consommateurs a été nommé afin qu’il examine toute transaction relative à la vente de 23andMe ou de ses actifs et ses répercussions sur les renseignements personnels des clients. Une audience d’approbation de la vente est prévue le 17 juin 2025 devant le tribunal de la faillite des États-Unis pour le district Est du Missouri^{Note de bas de page 84}.
206. Si une entreprise acquiert les renseignements personnels des clients de 23andMe, les commissariats lui fourniront une copie du présent rapport pour qu’elle comprenne ses obligations prévues par la LPRPDE et le règlement général sur la protection des données du Royaume-Uni, notamment la protection des renseignements personnels au moyen de mesures de sécurité rigoureuses. Les commissariats n’hésiteront pas à prendre les mesures appropriées s’ils estiment qu’on ne respecte pas les lois applicables en matière de protection des données dans leur juridiction respective.