Déclaration du Commissaire à la protection de la vie privée du Canada au terme de l’enquête sur l’atteinte à la sécurité des données survenue chez 23andMe
Le 17 juin 2025
Ottawa (Ontario)
Le Commissaire à la protection de la vie privée du Canada, Philippe Dufresne, a prononcé aujourd’hui la déclaration suivante lors d’une conférence de presse.
Bonjour,
Je suis heureux d’être accompagné par le Commissaire à l’information du Royaume-Uni, John Edwards, pour présenter les conclusions de notre enquête conjointe sur l’atteinte à la protection des données à l’échelle mondiale survenue à l’entreprise 23andMe.
Comme vous le savez peut-être, le Commissaire Edwards est à Ottawa cette semaine afin de participer à la Table ronde des autorités de protection des données et de la vie privée du G7 de 2025 que je tiens demain et jeudi.
La Table ronde offre une occasion d’échanger et de discuter de questions d’intérêt commun avec des homologues internationaux, en mettant l’accent sur les efforts de collaboration visant à faire progresser la protection de la vie privée et des données à l’ère numérique.
Cette enquête constitue un excellent exemple de cette collaboration en action.
Avant que nous répondions à vos questions, le commissaire Edwards et moi prononcerons chacun quelques mots sur l’enquête et les conclusions qui en découlent.
Incidence sur les individus
Nous avons décidé de lancer cette enquête conjointe en raison de la portée internationale de l’atteinte et de la nature très sensible des renseignements personnels en cause.
L’atteinte survenue chez 23andMe a touché près de 7 millions d’individus dans le monde entier, dont près de 320 000 au Canada.
Les données compromises comprenaient des renseignements très sensibles sur la santé, la race et l’origine ethnique, ainsi que des renseignements au sujet de membres de la famille, la date de naissance, le sexe assigné à la naissance et le genre. Une grande partie de ces renseignements provenait de l’ADN des individus.
L’atteinte sert de mise en garde pour toutes les organisations quant à l’importance de la protection des données à une époque où les cybermenaces sont de plus en plus nombreuses.
Ce dossier est particulièrement pertinent à une époque où de plus en plus de renseignements personnels sont recueillis, utilisés et communiqués dans une économie numérique en pleine croissance.
Une protection rigoureuse des données doit constituer une priorité pour les organisations, surtout celles qui détiennent des renseignements personnels sensibles.
Les organisations doivent également prendre des mesures proactives pour se protéger contre les cyberattaques – ces mesures comprennent l’utilisation de l’authentification à facteurs multiples, des exigences minimales rigoureuses relatives aux mots de passe, des vérifications des mots de passe compromis et une surveillance adéquate pour détecter toute activité anormale.
Étant donné que les atteintes à la sécurité des données sont de plus en plus graves et complexes, et que les attaques par rançongiciels et logiciels malveillants sont en forte augmentation, toute organisation qui ne prend pas de mesures pour prioriser la protection des données et faire face à ces menaces est de plus en plus vulnérable.
Notre enquête a révélé que ces types de mesures de sécurité n’étaient pas en place chez 23andMe, ce qui a permis à un pirate informatique de mener une attaque par bourrage d’identifiants.
Nous avons également été préoccupés par le fait de constater que les données volées ont ensuite été mises en vente en ligne, accroissant le risque pour les renseignements personnels des individus touchés.
Avantages de la collaboration
Avant de céder la parole au Commissaire Edwards, je tiens à les remercier, lui et son équipe, d’avoir collaboré avec nous dans le cadre de cette importante enquête.
Des enquêtes conjointes comme celle-ci démontrent que la collaboration réglementaire peut permettre de traiter plus efficacement des questions d’importance mondiale.
En mettant en commun nos pouvoirs, nos ressources et notre expertise, nous sommes en mesure d’optimiser notre impact et de mieux protéger et promouvoir le droit fondamental à la vie privée des individus partout dans le monde.
Liens connexes
- Communiqué: L’atteinte à la sécurité des données chez 23andMe constitue un rappel à toutes les organisations de prioriser la protection de la vie privée, met en garde le Commissaire à la protection de la vie privée du Canada à la suite de l’enquête
- Document d’information : Résumé de l’enquête conjointe sur l’atteinte à la sécurité des données chez 23andMe menée par le Commissaire à la protection de la vie privée du Canada et le Commissaire à l’information du Royaume-Uni
- Communiqué du Commissaire à l’information du Royaume-Uni au sujet de l’enquête sur 23andMe (texte en anglais seulement)
- Date de modification :