Lettre conjointe sur la protection des renseignements personnels pendant la procédure relative à la faillite de 23andMe Holding Co.

PAR COURRIEL

Le 28 avril 2025

Jerry L. Jensen, syndic de faillite intérimaire pour les États-Unis
Paul A. Randolph, syndic de faillite adjoint pour les États-Unis
Joseph R. Schlotzhauer, avocat plaidant

Copie conforme à : 23andMe Holding Co.

Objet : Procédure relative à la faillite de 23andMe Holding Co., et al. (N^o de cas : 25-40976-357)

Maîtres,

À la suite de l’annonce de la déclaration de faillite par 23andMe Holding Co. au titre du chapitre 11 de la loi américaine sur les faillites, le Commissariat à l’information du Royaume̩‑Uni et le Commissariat à la protection de la vie privée du Canada sont préoccupés par la façon dont les renseignements personnels sensibles de millions de clients seront traités dans le cadre de la procédure relative à la faillite de 23andMe Inc. (23andMe), et par la vente possible de l’entreprise ou de ses actifs.

Dans cette optique, nous vous écrivons pour veiller à ce que tout renseignement personnel concernant des individus situés au Royaume-Uni et au Canada soit traité conformément à nos lois respectives sur la protection des données, et ce, particulièrement en raison des préjudices graves et de la détresse qui pourraient être causés aux individus en cas d’utilisation inappropriée de tels renseignements personnels ou d’accès à ceux-ci.

Pour vous mettre en contexte, en juin 2024, les commissariats ont ouvert une enquête conjointe sur la non-conformité présumée de 23andMe avec le règlement général sur la protection des données (General Data Protection Regulation) et la loi sur la protection des données de 2018 (Data Protection Act 2018) du Royaume-Uni ainsi qu’avec la loi sur la protection des renseignements personnels dans le secteur privé au Canada, la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). L’enquête a été lancée à la suite d’une atteinte à la sécurité des données à l’échelle mondiale qui a entraîné la compromission de renseignements personnels de millions de clients – notamment les données génétiques brutes de certains d’entre eux et d’autres formes de renseignements personnels sensibles – et la mise en vente de ces renseignements sur des plateformes Web cachées. Le 4 mars 2025, nous avons fait part de nos conclusions provisoires à 23andMe. L’organisation a eu l’occasion de répondre à nos conclusions provisoires, et nous examinerons sa réponse avant de régler les derniers détails de nos conclusions et de publier un rapport conjoint au cours des mois à venir.

Étant donné que la faillite de 23andMe pourrait entraîner la vente ou le transfert des renseignements personnels sensibles des clients, notamment des données génétiques et des renseignements sur la santé, il est important pour nous de veiller à ce que vous connaissiez les obligations prévues par les lois en matière de protection des renseignements personnels qui s’appliquent aux renseignements personnels des clients de 23andMe qui résident au Canada^{Note de bas de page 1} et au Royaume-Uni.^{Note de bas de page 2}

La LPRPDE et le règlement général sur la protection des données du Royaume-Uni prévoient que les renseignements personnels soient recueillis et utilisés seulement à des fins déterminées.^{Note de bas de page 3} De plus, tout acheteur de 23andMe ou des renseignements personnels des clients de l’entreprise doit veiller à se conformer à ses obligations prévues par le règlement général sur la protection des données du Royaume-Uni et la LPRPDE, notamment s’il propose d’utiliser ces renseignements personnels à des fins autres que celles pour lesquelles ils ont été initialement recueillis (comme il est précisé dans la politique de confidentialité de 23andMe).^{Note de bas de page 4}

Dans le contexte des transactions commerciales, la LPRPDE permet aux organisations qui sont parties à une transaction commerciale conclue, comme la vente d’une entreprise, d’utiliser et de communiquer les renseignements personnels nécessaires à l’insu des personnes concernées ou sans leur consentement si certaines conditions sont remplies. Cela comprend les organisations qui concluent un accord aux termes duquel l’organisation qui reçoit les renseignements personnels s’est engagée à ne les utiliser et à ne les communiquer qu’à des fins pour lesquelles ils ont été recueillis ou auxquelles l’organisation a l’autorisation de les utiliser ou de les communiquer avant que la transaction soit conclue.^{Note de bas de page 5}

De plus, selon la LPRPDE et le règlement général sur la protection des données du Royaume-Uni, les organisations sont tenues de mettre en œuvre des mesures de sécurité adéquates pour protéger les renseignements personnels dont elles sont responsables.^{Note de bas de page 6} Étant donné la nature hautement sensible des renseignements personnels détenus par 23andMe, les commissariats s’attendent à ce que tout acheteur potentiel de 23andMe ou des renseignements personnels des clients de l’entreprise mette en place des mesures de sécurité rigoureuses pour protéger les renseignements personnels contre l’accès non autorisé ou une mauvaise utilisation.

Les commissariats font remarquer que 23andMe a récemment fait des déclarations publiques indiquant que tous les acheteurs potentiels seront tenus d’accepter de se conformer à sa politique sur la confidentialité et aux lois qui s’appliquent à l’entreprise.^{Note de bas de page 7} Bien que les commissariats voient ces déclarations d’un bon œil, ils remarquent que la politique de confidentialité de 23andMe prévoit que l’entreprise [traduction] « peut apporter des changements à son énoncé de confidentialité de temps à autre »^{Note de bas de page 8}, ce qui pourrait miner la valeur de tout engagement pris par un acheteur de 23andMe ou des renseignements personnels des clients de l’entreprise qui vise le respect des conditions de la politique de confidentialité telle qu’elle existe au moment de la vente.

Il est important que les acheteurs potentiels sachent que les commissariats n’hésiteront pas à mener une enquête et à prendre les mesures appropriées contre 23andMe ou tout tiers qui acquiert les renseignements personnels des clients de 23andMe si les commissariats considèrent qu’il y a des preuves de non-respect des lois applicables en matière de protection des renseignements personnels dans leurs juridictions respectives.

Enfin, les commissariats appuient votre demande de nommer un ombud de la protection de la vie privée des consommateurs pour protéger les renseignements personnels en cause dans la faillite de 23andMe. D’ailleurs, ils sont prêts à répondre à vos questions et à collaborer davantage afin d’assurer la protection des renseignements personnels des clients de 23andMe pendant la procédure relative au chapitre 11.

Nous vous prions d’agréer, Maîtres, nos salutations distinguées.

(La version originale a été signée par)

Stephen Bonner
Sous-commissaire (surveillance réglementaire)
Commissariat à l’information du Royaume-Uni

(La version originale a été signée par)

Isabelle Gervais
Sous-commissaire (Secteur de la promotion de la conformité et de l’application de la loi)
Commissariat à la protection de la vie privée du Canada

Notes de bas de page

Footnote 1

La LPRPDE s’applique à 23andMe en application de l’alinéa 4(1)a) de cette même loi, car elle est une organisation qui a un lien réel et substantiel avec le Canada et qui recueille, utilise ou communique des renseignements personnels sur les Canadiennes et les Canadiens dans le cadre de ses activités commerciales.

Return to footnote 1 referrer

Footnote 2

Le règlement général sur la protection des données du Royaume-Uni s’applique à 23andMe en application de l’alinéa 3(2)a) de ce même règlement, car, bien que l’organisation soit établie aux États‑Unis, elle traite les données personnelles d’individus au Royaume-Uni dans le cadre de la fourniture de biens ou de services à ces mêmes individus.

Return to footnote 2 referrer

Footnote 3

Voir l’article 5(1)b) du règlement général sur la protection des données du Royaume-Uni et l’article 4.5 Cinquième principe (Limitation de l’utilisation, de la communication et de la conservation) de l’annexe 1 de la LPRPDE.

Return to footnote 3 referrer

Footnote 4

Voir les articles 5(1)b) et 6(4) du règlement général sur la protection des données du Royaume-Uni; l’article 4.2 Deuxième principe (Détermination des fins de la collecte des renseignements), 4.3 Troisième principe (Consentement) et 4.5 Cinquième principe (Limitation de l’utilisation, de la communication et de la conservation) de l’annexe 1 de la LPRPDE.

Return to first footnote 4 referrer

Footnote 5

Voir l’article 7.2 de la LPRPDE.

Return to footnote 5 referrer

Footnote 6

Voir les paragraphes 24(1) et 32(1) du règlement général sur la protection des données du Royaume-Uni et l’article 4.7 Septième principe (Mesures de sécurité) de l’annexe 1 de la LPRPDE.

Return to footnote 6 referrer

Footnote 7

23andMe Confirms All Potential Buyers Must Agree to Comply With Privacy Policy and Applicable Law | 23andMe, Inc. (en anglais seulement); Questions related to 23andMe’s Chapter 11 Filing – 23andMe Customer Care (en anglais seulement).

Return to footnote 7 referrer

Footnote 8

Politique de confidentialité de 23andMe pour le Royaume-Uni (en anglais seulement); politique de confidentialité de 23andMe pour le Canada (en anglais seulement).

Return to footnote 8 referrer

Date de modification :: 2025-05-01

Sélection de la langue

Recherche et menus

Recherche

Lettre conjointe sur la protection des renseignements personnels pendant la procédure relative à la faillite de 23andMe Holding Co.