Sélection de la langue

Logo du Commissariat Commissariat à la protection de la vie privée du Canada

Recherche

Communiqué

L’atteinte à la sécurité des données chez 23andMe constitue un rappel à toutes les organisations de prioriser la protection de la vie privée, met en garde le Commissaire à la protection de la vie privée du Canada à la suite de l’enquête

Le 17 juin 2025 – Ottawa (Ontario), Canada

Une atteinte à la sécurité des données à l’échelle mondiale survenue chez 23andMe sert d’avertissement à toutes les organisations quant à l’importance de la protection des données à une époque où les cybermenaces sont de plus en plus nombreuses, a mis en garde le Commissaire à la protection de la vie privée, Philippe Dufresne, à la suite d’une enquête sur l’atteinte.

L’enquête conjointe menée par le Commissariat à la protection de la vie privée du Canada (CPVP) et le Commissariat à l’information du Royaume-Uni (ICO) a révélé que l’entreprise n’avait pas mis en œuvre des mesures de sécurité adéquates pour protéger les renseignements personnels de 7 millions de clients, dont près de 320 000 Canadiennes et Canadiens.

Renseignements sur l’enquête

Entre avril et septembre 2023, un pirate informatique a mené une attaque par bourrage d’identifiants sur la plateforme de 23andMe, en exploitant des identifiants de connexion réutilisés qui ont été volés lors de précédentes atteintes à la sécurité des données sans rapport avec celle-ci.

L’enquête a révélé que 23andMe n’avait pas mis en œuvre des contrôles appropriés pour protéger les données personnelles très sensibles contre tout accès non autorisé et n’avait pas mis en place des systèmes efficaces pour surveiller les cybermenaces ciblant les renseignements sensibles de ses clients, les détecter ou y répondre.

La réaction de l’entreprise face à l’incident a également été inadéquate. Elle n’a pas fait enquête de manière appropriée sur les signaux donnant à penser qu’il y avait peut-être une atteinte en cours, ni sur une allégation crédible selon laquelle des données de clients avaient été volées.

L’enquête met en lumière la nécessité pour toutes les organisations de veiller à prendre des mesures proactives pour se protéger contre les cyberattaques, notamment l’authentification à facteurs multiples, des exigences minimales rigoureuses relatives aux mots de passe, des vérifications des mots de passe compromis et une surveillance adéquate pour détecter toute activité anormale.

L’entreprise n’a pas non plus avisé de manière adéquate les organismes de réglementation et les clients touchés après l’atteinte, comme l’exigent les lois du Canada et du Royaume-Uni.

L’entreprise encourt désormais une amende de 2,31 millions de livres sterling en vertu de la loi sur la protection de la vie privée du Royaume-Uni, ce qui témoigne de l’efficacité de la collaboration internationale en matière d’application de la loi. Le Commissaire Dufresne n’a pas le pouvoir de rendre des ordonnances ou d’imposer des sanctions en vertu de la loi fédérale actuelle sur la protection des renseignements personnels. Il a appelé à une modernisation de la législation qui permettrait au Canada de se mettre au diapason de ses partenaires mondiaux.

Impact sur les individus

Les données compromises comprenaient des renseignements très sensibles sur la santé, la race et l’origine ethnique, ainsi que des renseignements au sujet de membres de la famille, la date de naissance, le sexe assigné à la naissance et le genre. Une grande partie de ces renseignements provenait de l’ADN des individus. Le type et la quantité de renseignements personnels auxquels il a été possible d’accéder variaient en fonction des renseignements figurant sur le compte d’un client.

La responsabilité d’assurer la sécurité des renseignements personnels incombe d’abord et avant tout aux entreprises qui recueillent et utilisent des renseignements personnels. Les organisations qui priorisent la protection de la vie privée en intégrant dès le départ des mesures de protection dans leurs produits et services gagnent la confiance de leurs clients, ce qui peut contribuer au succès de l’entreprise.

Les Canadiennes et les Canadiens touchés par l’atteinte chez 23andMe peuvent également prendre des mesures pour protéger leurs renseignements personnels conservés dans d’autres comptes en ligne, en modifiant leurs mots de passe, en évitant de les réutiliser, en activant l’authentification à facteurs multiples lorsque celle-ci est possible et en surveillant leurs comptes pour détecter toute activité inhabituelle. Les Canadiennes et les Canadiens touchés devraient aussi rester vigilants face aux escroqueries par hameçonnage qui font référence à des renseignements personnels. Le site Web du CPVP offre des conseils supplémentaires sur les façons de protéger des renseignements personnels après une atteinte à la sécurité des données.

Faillite de 23andMe

Depuis le lancement de l’enquête, 23andMe a déclaré faillite au titre du chapitre 11 de la loi américaine sur les faillites. Cette situation a suscité l’inquiétude des clients de 23andMe quant à la manière dont leurs renseignements personnels pourraient être communiqués et utilisés dans l’avenir.

Le CPVP et l’ICO ont écrit au syndic de faillite qui gère les procédures de faillite pour clarifier les exigences juridiques en ce qui concerne le traitement des renseignements personnels des individus au Canada et au Royaume-Uni. Les organismes de réglementation fourniront à l’acheteur des données de 23andMe le rapport de conclusions d’enquête de leur enquête conjointe pour veiller à ce qu’il connaisse ses obligations légales en matière de protection de la vie privée.

Le CPVP et l’ICO n’hésiteront pas non plus à prendre des mesures s’il existe des preuves que le nouveau propriétaire ne respecte pas les lois sur la protection de la vie privée.

Citations

« Une protection rigoureuse des données doit constituer une priorité pour les organisations, surtout celles qui détiennent des renseignements personnels sensibles. Étant donné que les atteintes à la sécurité des données sont de plus en plus graves et complexes, et que les attaques par rançongiciels et logiciels malveillants sont en forte augmentation, toute organisation qui ne prend pas de mesures pour prioriser la protection des données et faire face à ces menaces est de plus en plus vulnérable. »

« Des enquêtes conjointes comme celle-ci démontrent que la collaboration réglementaire peut permettre de traiter plus efficacement des questions d’importance mondiale. En mettant en commun nos pouvoirs, nos ressources et notre expertise, nous sommes en mesure d’optimiser notre impact et de mieux protéger et promouvoir le droit fondamental à la vie privée des individus partout dans le monde. »

Philippe Dufresne
Commissaire à la protection de la vie privée du Canada

« Il s’agit d’une atteinte profondément préjudiciable qui a exposé les renseignements personnels sensibles, les antécédents familiaux et même l’état de santé de milliers de personnes au Royaume-Uni. Comme nous l’a dit l’un des individus touchés, ″une fois que ces renseignements ont été communiqués, ils ne peuvent pas être modifiés ou réémis, comme un mot de passe ou un numéro de carte de crédit″. L’entreprise 23andMe n’a pas pris les mesures élémentaires pour protéger ces renseignements. Ses systèmes de sécurité étaient inadéquats, les signes avant-coureurs étaient là, et l’entreprise a tardé à réagir. Les données les plus sensibles des gens ont ainsi été exposées à l’exploitation et au préjudice. »

« Nous avons mené cette enquête en collaboration avec nos homologues canadiens, et elle met en évidence le pouvoir de la coopération internationale pour responsabiliser les multinationales. La protection des données ne s’arrête pas aux frontières, et nous non plus lorsqu’il s’agit de protéger les droits des résidents du Royaume-Uni. »

John Edwards
Commissaire à l’information du Royaume-Uni

Liens connexes

Relations avec les médias

Commissariat à la protection de la vie privée du Canada
communications@priv.gc.ca

Commissariat à l’information du Royaume-Uni
pressoffice@ico.org.uk

Date de modification :